implantação de controle em redes wi-fi

dpsspfc
(usa Outra)

Enviado em 16/09/2009 - 10:22h

Bom dia.

Agente tem 4 aps linksys do modelo wAP54G ligados em um switch que recebo a velox do modem, só que nós e vamos fecha-las para quem não tem acesso autorizado, estamos pensando em colocar um servidor Radius, minha dúvida é os seguinte o radius controla por MAC, como faço para os aps distribuir a net para os MACs definidos no servidor? temos a opção de controlar por proxy mas queremos controlar p/MAC pq fica mais legal porque não precisamos ficar mechendo em configuração de maquina.

Seu eu criar um servidor dhcp e controlar os macs pelo mesmo funciona? ou as aps vão distribui de acordo a su configuração?

Já ouvi falar no Mikrotic também, mas nesse eu preciso ter algum hardware especial?

Vocês me sugere alguma coisa?

renato_pacheco
(usa Debian)

Enviado em 16/09/2009 - 13:04h

Radius controla por MAC? O q eu saiba ele controla por chaves pública e privada, não? O próprio proxy (squid) pode controlar por MAC tb, se quiser.
O servidor DHCP faz a associação do IP ao MAC (DHCP estático), mas pra fazer lista branca, só com proxy.
Com relação ao mikrotik, ele não precisa d um hardware especial, só q a empresa possui alguns equipamentos especiais q utilizam do sistema mikotik. Se vc quiser testar, veja:

http://www.mikrotik.com/download.html

miura 787
(usa Ubuntu)

Enviado em 16/09/2009 - 13:39h

Geralmente as próprias APs tem a opção se executar filtros por MACs, porque não usá-los?

dpsspfc
(usa Outra)

Enviado em 16/09/2009 - 14:18h

O radius não faz associação pelo mac?

O dhcp faz a associação só que eu tenho varios aps mas cada ap distribui conexão, a dúvida é que: se eu cadastrar as maquinas clientes no dhcp eles vão acessar a net certo? mas as que eu não cadastrar tbm vão acesar pq cada ap faz a distribuição independente de dhcp no servidor. a dúvida é como faço para associar a distribuição de ips dos aps ao servidor para as maquinas clientes?

O ap faz o controle do mac o detalhe é que temos varios aps, e não queriar ter que cadastrar todos os macs(que são muitos) nos 4 aps ficaria muito trabalhoso.

gesousa
(usa Ubuntu)

Enviado em 16/09/2009 - 14:42h

Vc não precisa usar o DHCP do AP, há a opção de desativar, ficando somente o do gateway distribuindo para a rede ...

Outro detalhe é deixar o ap totalmente aberto não é bom, pois qualquer programa sniffer e o cara consegue capturar a transmissão entre o ap e o pc conectado..

Para o controle por mac, apenas o o DHCP e o squid já dão conta do trabalho, o radius é interessante, pela opção de usar o tkip para a encriptação da conexão, como a bilhetaria de tempo do usuario conectado.


Melhor solução no seu caso seria utilizar o mikrotik o zero-shell, distribuições para o controle de hotspot e gateway wireless.

http://www.mikrotik.com/download.html
http://www.zeroshell.net/download/

miura 787
(usa Ubuntu)

Enviado em 17/09/2009 - 00:32h

Roteadores wi-fi de boa qualidade (como parece que os seus são) geralmente tem o recurso de salvar as configurações em arquivos para possibilitar a restauração da configuração somente utilizando este arquivo, Levando em conta a facilidade de se entrar em um roteador via navegador e fazer toda a configuração via rede sem ter que se deslocar até ele e levando em conta que vc teria que cadastrar a lista de MACs pelo menos 1 vez em qualquer solução que vc adote, acredito que a solução mais simples e segura é barrar o acesso por filtro de MAC da própria AP (roteador), deixando o serviço DHCP de cada roteador habilitado.

Você iria configurar um roteador e usar o arquivo de restauração para configurar os outros com um simples upload.

Adicionalmente vc pode ocultar o SSID (nome da rede wi-fi) e usar criptografia WPA2 (Senha prédeterminada).

Além destas configurações, alguns roteadores wi-fi de uso profissional tem um recurso chamado "Client-Isolator" que não permite que os clientes se comuniquem entre si diretamente pelo wi-fi, isso é bom porque evita mapeamentos de recursos compartilhados sem senha e impossibilita o uso de sniffers via wi-fi.

É a solução mais barata e fácil de implantar.