Gateway autenticado com Apache, Iptables e CGI em shell
Procurando uma solução que fosse ao mesmo tempo simples de ser implementada e de grande eficiência comparados aos gateways mais sofisticados que empregam bancos de dados e etc, cheguei a esta solução ideal para ser usada em provedores wireless ou a cabo. Ela ainda está em desenvolvimento e dada a sua enorme simplicidade de seu conceito pode servir de base para projetos mais elaborados.
[ Hits: 87.153 ]
Por: Carlos Affonso Henriques. em 27/07/2007
Notas e agradecimentos
Agradecimentos
Ao Patrick Brandão, que me inspirou o projetoAo Julio Cesar Neves que fez um excelente em seu livro "Programação Shell Linux" que muito me ajudou e ainda ajuda no projeto e em praticamente tudo que faço em GNU/Linux e Unix.
E a todos os amigos daqui do VOL e das comunidades "Linux Brasil" e "Unix Linux Shell Script [<o>]" do Orkut, que com uma dica ou outra colaboraram para o artigo.
Bom trabalho a todos!
2. Configurando o SSL no Apache
3. A topologia da rede
4. O firewall
5. A página de autenticação
6. O arquivo de contas
7. O script CGI de autenticação
8. O script para desfazer a autenticação
9. A tabela ARP estática
10. O controle de banda
11. Notas e agradecimentos
Autenticando Documento com Blockchain e Ethereum
Customizando e atualizando o Slax
Reconhecimento de placas de veículos com OpenALPR
Obtendo TimeStamps da Blockchain com OpenTimestamps
Rodando contêineres e aplicações Linux x86 no Raspberry Pi
Teste de Intrusão com Metasploit
Descobrindo serviço através das portas
Hardening em sistemas operacionais Linux (Completo)
Bloqueio de usuários com página de aviso
Recon and Scan with Metasploit
Olá Amigo,
Bom, para deixar seu artigo ainda mais rico eu gostaria de dar uma opinião! No caso de um hijack bem feito (roubo de seção), quando o cliente cai e em seguida entra o hijack seu arping vai consultar ele tranqüilamente! Concorda!? Espero que sim, pois eu já fiz testes com isso e infelizmente da certo! A solução é simples, ao invés de fazer o servidor consultar quem está de pé ou não, o que dependendo do número de estações tem um tempo elevado, eu sugiro mudar para o comando at. Como já uso o servidor Radius, foi fácil, no comando AT eu agendo uma verificação pra saber se o IP tal é do fulano de tal conectado no radius, aí sim, se não for a regra dele é derrubada! Pra substituir o uso do radius, pode-se pensar em cookie, por exemplo!
T+
Boa! nem havia me ocorrido o at.
Quando elaborei aquele while de arping, pensei em coloca-los isoladamente rodando sob um shell filho do mac_accept4.cgi que seria chamado em background, mas esbarrei em um problema... não entendí ainda o por que de não conseguir rodar um loop em um shell filho a partir de um CGI, mas é uma coisa que estou bolando e a sua idéia do at foi grande.
Obrigado pela dica, e espero que tenha gostado do artigo.
Ola tem como fazer a autenticação só por usuário, sem o MAC e ip, pois trabalho em uma faculdade e preciso cadastrar todos os alunos.
É mais fácil ainda, a única razão para eu atrelar o ip ao mac address é o controle de banda, pois provedores em geral possuem planos de velocidade diferentes e se não houver vínculo entre o IP e o login e senha o usuário poderia configurar um IP manualmente e usar uma velocidade maior do que a contratada.
Como o cliente será diretionado para autenticação, sendo que não há nenhuma regra redirecionando sua navegação para a porta 443 obrigando-o a autenticar antes de navegar
òtima dica para o combate de ataques do TIPO MITM, originados por arpspoof.
Sobre a questão de atrelar MAC, podemos fazer isso com PHP, no momento que o cliente se cadastra e cria seu usuario e senha, podemos tranquilamente pegar o MAC dele com a função, abaixo tem um link explicando como fazer.
http://scriptbrasil.com.br/forum/index.php?showtopic=70543
No momento que o usuario/cliente se cadastrar, pode ser gerado o arquivo do DHCP atrelando um ip para o mac capturado.
Recomendo ultilizar um banco de dados para salvar as informações dos clientes/usuarios.
O freeradius tem as tabelas prontas em vários tipos de BD.
Qualquer duvida, estou a disposição.
contato@douglassironi.com
Patrocínio
Destaques
Artigos
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Título: Descobrindo o IP externo da VPN no Linux
Armazenando a senha de sua carteira Bitcoin de forma segura no Linux
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Dicas
Instalando Brave Browser no Linux Mint 22
vídeo pra quem quer saber como funciona Proteção de Memória:
Encontre seus arquivos facilmente com o Drill
Mouse Logitech MX Ergo Advanced Wireless Trackball no Linux
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Tópicos
Remoção de propaganda com o programa Comskip[AJUDA] (5)
Linux Lite Demorando Muito Para Ligar (2)
Top 10 do mês
-
Xerxes
1° lugar - 72.960 pts -
Fábio Berbert de Paula
2° lugar - 54.632 pts -
Mauricio Ferrari
3° lugar - 16.449 pts -
Andre (pinduvoz)
4° lugar - 15.340 pts -
Alberto Federman Neto.
5° lugar - 15.228 pts -
Daniel Lara Souza
6° lugar - 14.613 pts -
Diego Mendes Rodrigues
7° lugar - 14.322 pts -
Buckminster
8° lugar - 13.476 pts -
edps
9° lugar - 12.299 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.560 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
