Prolemas com configuração de servidor

1. Prolemas com configuração de servidor

cleberson barbosa
clebrsonn

(usa Ubuntu)

Enviado em 29/12/2013 - 19:57h

Sou novato com servidores, mas seguindo os tutoriais daqui consegui configurar um servidor de internet com ubuntu server 13.10 NAT com DHCP utomático, mas no momento não uso nenhum tipo de autenticação ou controle de acesso.
A "arquitetura" da rede é mais ou menos assim:
modem -- servidor -- router(wirelles e cabeado) -- hosts (wirelles e cabeados).
No momento estou em dúvida como implementar algum tipo de controle de banda e de acesso.
Para o controle de acesso estou pensando que seja assim:
O Cliente pede acesso através de browser e/ou conexão pppoe, onde cada usuário vai ter login e senha para autenticação tanto por cabo quanto wirelles.
Qual programa posso usar para resolver isso?
Desde já,
Obrigado!


  


2. Re: Prolemas com configuração de servidor

Buckminster
Buckminster

(usa Debian)

Enviado em 29/12/2013 - 23:33h

clebrsonn escreveu:

Sou novato com servidores, mas seguindo os tutoriais daqui consegui configurar um servidor de internet com ubuntu server 13.10 NAT com DHCP utomático, mas no momento não uso nenhum tipo de autenticação ou controle de acesso.
A "arquitetura" da rede é mais ou menos assim:
modem -- servidor -- router(wirelles e cabeado) -- hosts (wirelles e cabeados).
No momento estou em dúvida como implementar algum tipo de controle de banda e de acesso.
Para o controle de acesso estou pensando que seja assim:
O Cliente pede acesso através de browser e/ou conexão pppoe, onde cada usuário vai ter login e senha para autenticação tanto por cabo quanto wirelles.
Qual programa posso usar para resolver isso?
Desde já,
Obrigado!


Use o Squid com autenticação.


3. Re: Prolemas com configuração de servidor

cleberson barbosa
clebrsonn

(usa Ubuntu)

Enviado em 30/12/2013 - 09:15h

Mas o Squid tenho que configura proxy em cada cliente certo?
Se sim, queria evitar isso



4. Re: Prolemas com configuração de servidor

Buckminster
Buckminster

(usa Debian)

Enviado em 01/01/2014 - 18:08h

Pesquise por Squid com autenticação e WPAD (PAC).

Seguem dois links para te dar uma luz:

http://www.vivaolinux.com.br/dica/Configurando-WPAD

http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD

Sempre usei o Squid. Existem outros programas que fazem autenticação, mas não sei te informar.


5. Re: Prolemas com configuração de servidor

Jean Lazarin
jeanlazarin

(usa Ubuntu)

Enviado em 02/01/2014 - 02:39h

Realmente, como os colegas já citaram, o que se tem por questões de segurança e confiabilidade, o Squid com Autenticação é a melhor saída, entretando como nada é perfeito, existirá o trabalho de cada usuário, você ter que cadastrar e configurar no Squid. Isso, também pode ser resolvido com a criação de um script, ai, irá lhe dar trabalho somente uma vez.


6. Re: Prolemas com configuração de servidor

Wilker Azevedo
cytron

(usa Slackware)

Enviado em 05/01/2014 - 16:51h

Autenticação via squid é sempre uma boa opção. Entretanto, no meu caso, uso pppoe, é muito simples implementar, fácil e rápido de configurar. Na questão se segurança, vejo pppoe como um dos recordistas no assunto, já que posso BLOQUEAR TODO TRÁFEGO IP na rede matando qualquer esperança de alguém "passear" pela rede. Libero apenas o tráfego pppoe. Já na questão do pppoe a mascara é 255.255.255.255 em um túnel fechado de comunicação somente entre o host e o server. Num ambiente mais avançado (exagerado) ainda pode criptografar a conexão com chaves de 128, 256.
Usando pppoe pode deixar o squid transparente só para cache mesmo. Sem falar que o cliente não depende de autenticação no navegador para conseguir continuar o download dele. Ou seja, ligou a máquina e o download já inicia no gerenciador. Ou caso tenha voip direto no "roteador", ou pode usar um gadget qualquer sem precisar autenticar via web, tipo ... chegou em casa e o celular já entra no wifi e recebe e-mails, whatsapp, hangout, ..., tudo sem precisar abrir o navegador para autenticar.

Não estou desmerecendo a autenticação via web, apenas mostrando que cada caso é um caso. Tem situações em que o pppoe não é útil.


7. Re: Prolemas com configuração de servidor

Buckminster
Buckminster

(usa Debian)

Enviado em 05/01/2014 - 19:40h

cytron escreveu:

Autenticação via squid é sempre uma boa opção. Entretanto, no meu caso, uso pppoe, é muito simples implementar, fácil e rápido de configurar. Na questão se segurança, vejo pppoe como um dos recordistas no assunto, já que posso BLOQUEAR TODO TRÁFEGO IP na rede matando qualquer esperança de alguém "passear" pela rede. Libero apenas o tráfego pppoe. Já na questão do pppoe a mascara é 255.255.255.255 em um túnel fechado de comunicação somente entre o host e o server. Num ambiente mais avançado (exagerado) ainda pode criptografar a conexão com chaves de 128, 256.
Usando pppoe pode deixar o squid transparente só para cache mesmo. Sem falar que o cliente não depende de autenticação no navegador para conseguir continuar o download dele. Ou seja, ligou a máquina e o download já inicia no gerenciador. Ou caso tenha voip direto no "roteador", ou pode usar um gadget qualquer sem precisar autenticar via web, tipo ... chegou em casa e o celular já entra no wifi e recebe e-mails, whatsapp, hangout, ..., tudo sem precisar abrir o navegador para autenticar.

Não estou desmerecendo a autenticação via web, apenas mostrando que cada caso é um caso. Tem situações em que o pppoe não é útil.


Agora fiquei curioso. E como se faz isso com pppoe?

Usa-se algum programa?


8. Re: Prolemas com configuração de servidor

cleberson barbosa
clebrsonn

(usa Ubuntu)

Enviado em 09/01/2014 - 21:46h

Buckminster escreveu:

cytron escreveu:

Autenticação via squid é sempre uma boa opção. Entretanto, no meu caso, uso pppoe, é muito simples implementar, fácil e rápido de configurar. Na questão se segurança, vejo pppoe como um dos recordistas no assunto, já que posso BLOQUEAR TODO TRÁFEGO IP na rede matando qualquer esperança de alguém "passear" pela rede. Libero apenas o tráfego pppoe. Já na questão do pppoe a mascara é 255.255.255.255 em um túnel fechado de comunicação somente entre o host e o server. Num ambiente mais avançado (exagerado) ainda pode criptografar a conexão com chaves de 128, 256.
Usando pppoe pode deixar o squid transparente só para cache mesmo. Sem falar que o cliente não depende de autenticação no navegador para conseguir continuar o download dele. Ou seja, ligou a máquina e o download já inicia no gerenciador. Ou caso tenha voip direto no "roteador", ou pode usar um gadget qualquer sem precisar autenticar via web, tipo ... chegou em casa e o celular já entra no wifi e recebe e-mails, whatsapp, hangout, ..., tudo sem precisar abrir o navegador para autenticar.

Não estou desmerecendo a autenticação via web, apenas mostrando que cada caso é um caso. Tem situações em que o pppoe não é útil.


Agora fiquei curioso. E como se faz isso com pppoe?

Usa-se algum programa?


COnsegui implementar usando o mikrotik, mas ainda vou tentar usar o squid após alguns estudos mais aprofundados.
Assim como o amigo acima, fiquei curioso quanto à essa parte com o ppoe. Como seria?
Dá pra autenticar os pc's wirelles tbm?


9. Re: Prolemas com configuração de servidor

Wilker Azevedo
cytron

(usa Slackware)

Enviado em 10/01/2014 - 01:50h

Voltei pra responder galera!

pppoe é um dos recursos mais utilizados no mundo para conexão com clientes de provedores.
A instalação é fácil e nativa do linux. Bastando ter os pacotes rp-pppoe e pppd. Aqui no vol tem toneladas de artigos sobre o uso.

Quando o pppoe-server está ativo, basta o cliente iniciar um discador no windows como se fosse conecar em uma adsl qualquer, caso ele esteja cadastrado no servidor a interface logo levanta e pronto, ganha ip, gateway e dns. O conjunto melhor para se usar é pppoe + freeradius + mysql (mariaDB agora).

Em termos de freeradius este é um dos melhores artigos aqui no vol:

http://www.vivaolinux.com.br/artigo/Freeradius-servidor-radius-eficiente-e-completo/

Obre pppoe procurei aqui no vol e por mais incrível que possa parecer, não achei artigo, usei a palavra-chave "pppoe-server". Mas certamente algum outro amigo aí vai citar um bom link.

Para os mais aventureiros, pode deixar o freeradius de lado e fazer alguns scripts em php ou c++ para substituir o freeradius, que no meu ver, fica bem melhor (mais leve e mais personalizado, sem aqueles zilhões de coisas desnecessárias). No meu caso cansei do freeradius e fiz meus scripts php. O freeradius tem recuros demais, um provedor wireless nunca vai precisar de tais recursos. Sobre meus scripts em php, não posso publicá-los pois fazem parte do sistema de aviso que desenvolvi, este sistema é meu produto de venda.

O pppoe usa uma porta para o handshaking e outra para o túnel, basta bloquear na torre o restante do tráfego e pronto. Não fica 100% seguro, mas nem o kevin mit... de cabeça para baixo pulando numa mão só consegue invadir. kkkkkkkkk

Uso pppoe a mais de 8 anos no provedor, por enquanto ainda sou o único provedor na cidade com pppoe, os demais usam ip + mac, "eu mesmo", a título de "teste", já naveguei "grátis" em todos os outros provedores, já congelei torres ao clonar mac, ip, ao gerar tráfego pesado e tudo mais (nas redes dos provedores). Mas nas minhas torres... bom, o mikrotik (no modo bridge) barra tudo que não for pppoe, então como posso trafegar algo para causar lentidão? de que adianta clonar um ip ou mac? A única tentativa do invasor seria criar um servidor pppoe e jogar na minha rede para que alguns clientes se conectam com ele e não comigo, assim poderia receber usuários e senhas dos clientes. Daria certo.... SE, meus mikrotiks não cuidassem do tráfego, pois comunicação entre clientes está bloqueado e todo tráfego pppoe é sistematicamente direcionado para meu servidor pppoe.

Estou cansado de ver provedores que simplesmente não sabem que existe a palavra "segurança" e acabam sendo "desleixados¨ com o cliente e não fazem a menor idéia do risco que estão correndo. Basta você entrar no sinal da torre, usar o wireshark para ver alguns ips, localizar o gateway, ou até mesmo usar rádio de algum cliente como gateway e pronto, net grátis, mas o problema maior é enxergar as máquinas dos clientes, empresas que deixam HD compartilhado e dá para arrebentar com documentos. Onde isso vai dar? processo para o provedor que deveria ter segurança na rede ao invés de ter "escrito" segurança no site do provedor.

Não me entendam mal galera, não é puxão de orelha em ninguém aqui, nem sermão. Só estou esclarecendo os riscos que pode haver a não aplicar segurança "de verdade" em uma rede wireless. Afinal, autenticação via squid só impede um invasor de navegar grátis "diretamente" no servidor. Digo diretamente pois se usar o rádio de um cliente como gateway já vai navegar assim que o cliente passar pela senha. Sei que nem todos os rádios permite roteamento vindo de fora, mas assim que você puder, faz um teste, vai ficar impressionado com a quantidade de rádios (incluindo ubiquiti) que fazem roteamento. Sem falar na velha porta 22 (ssh) ativado por padrão, que em muitos rádios a senha não é a mesma da interface web. O invasor entra via ssh usando a senha padrão e faz a festa.

Nós de provedores fazemos o "possível" para deixar a rede segura, mas sabemos que o cliente não tem obrigação de ser um anti-hacker. Por isso devemos pensar por ele. Usando pppoe (com bloqueio do resto), o cliente pode "arreganhar" a rede dele até virar do avesso, ainda assim um invasor não vai conseguir xeretar. A menos que seu servidor gateway permita.

Mas é isso aí. Vou parar por aqui senão meu comentário vira um artigo kkkkkkk.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts