Você está na página 1de 24

Autenticao de

i!i com "#T$%&$S'(

Rubens Marins Schner Gerente de Tecnologia e Desenvolvimento <rubens@brisanet.com.br>

Sobre a ;risanet &nternet

$rovedor de &nternet no nordesde) atende mais de *+ Munici,-os nos estados do (ear.) Rio Grande do /orte e $ara-ba /ossa Rede tem um raio de 0++ 1M Tem 2 ,ontos de intercone3o com a &nternet Mais de #++ servidores linu3 entre torres e ($D A,ro3imadamente 40.5++ lin6s de r.dio Tinha a,ro3imadamente 7+++ clientes 8uando o ,ro9eto comeou) todos os modelos de ,laca de r.dio : usado na ,onta do cliente

Alcance da Rede Brisanet

Desa?io

Autenticar os usu.rios do ,rovedor) evitando uso no autori<ado =,erar inde,endente do modelo de r.dio Ser inde,endente de Sistema =,eracional ;ai3o custo de im,lementao Grande n>mero de usu.rios 9. instalados) 8ue ,recisa alterar

C=TS$=T

$r@sA

= metodo de maior ?acilidade ,ara &nstalao e con?igurao no lado do servidor /o : ,reciso recon?igurar a ,onta do usu.rio !unciona com 8ual8uer to,ologia de Rede (usto muito bai3o &m,lementao instantBnea

C=TS$=T

(ontraA

!.cil de ser vencido) mac ,ode ser clonado e ,egar carona na sesso autenticada $ode ser ,reciso dei3ar um ,o,Du, aberto no lado do cliente ,ara revalidao da sesso de tem,os em tem,os) isso no : bem aceito ,elos usu.rioE

$$$='

$r@sA

!.cil im,lementao e con?igurao no lado do servidor $adro de mercado) e3istindo ,ara muitas ,lata?ormas) inclusive A$s e Roteadores 8ue os usu.rios ,ossam ter ,ara com,artilhar o acesso

$$$='

(ontraA

A (ri,togra?ia e segurana da senha : ?raca) ,odendo inclusive ser ca,turada e reenviada cri,togra?ada Somente os ,acotes de dados so cri,togra?ados) os ,acotes de controle da sesso no so $ode ser ?eito re,laF da autenticao) ,ara se autenticar Gulner.vel a ManD&nDtheDMiddle) ,ois no h. validao do servidor $recisa Recon?igurar a ,onta do usu.rio $recisa ?a<er um scri,t%,rograma ,ara controlar a banda de,ois da cone3o

$A 'nter,rise

$r@sA

Atual ,adro do mercado) ,ara segurana de acesso sem ?io Galida o servidor 8uando usado com certi?icados (ri,togra?ia Robusta HA'SI !.cil im,lementao no lado do usu.rio) encontrando su,orte em diversas ,lata?ormas

$A 'nter,rise

(ontraA

$recisa Recon?igurar a ,onta do usu.rio /o h. su,orte em hardJare antigo H mais de K anosI (ausa sobrecarga de ,rocessamento no Access $oint) devido a cri,togra?ia adicional)redu<indo o n>mero m.3imo de clientes ,or A$

"#T$%&$S'(

$r@sA

$adro de Mercado Galida o lado do usu.rio e o lado do servidor '3tremamente Seguro Su,orte nativo em v.rias ,lata?ormas

"#T$%&$S'(

(ontraA

$recisa recon?igurar a ,onta do usu.rio Di?-cil im,lementao no lado do servidor $ara ser segura ,recisa de certi?icados) o 8ue e3ige so?tJare adicional ,ara gerao e manuteno dos mesmos Di?-cil con?igurao ,elo usu.rio ?ora do mundo Microso?t H es,ecialmente em linu3I C. duas camadas de tuneis) um de i,sec e outro de l#t,) isso ,ode di?icultar o diagn@stico de ,roblemas =verhead de ,acotes) $$$ sobre "#T$ sobre &$S'() : ,reciso lidar com a MTL

So?tJare%CardJare Ltili<ado

Dual (ore%#Gh<) #Gb de RAM) su?iciente ,ara uns 4+++ tuneis Slac6Jare devido sim,licidade e ?acilidade em montar um sistema en3uto !reeradius ,ara servidor radius !oram ?eitos scri,ts $C$%=,enssl ,ara gerar os certi?icados de clientes (lientes logam em uma ,agina do ,rovedor onde ,ode ser gerado o certi?icado /esta ,agina ,ode ser bai3ado o certi?icado do cliente H usuario.,4#I ) e os ,rogramas ,ara im,ortar certi?icado e instalador da G$/

1ernel do "inu3
'vitando ata8ues de MarteA
net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.icmp_ignore_bogus_error_responses = 1 net.ipv4.conf.all.log_martians = 0

Aumentar a mem@ria dis,onivel ,ara o 1ernel) $adrao : 5+D5+ ) Alterar ,ara 4++
CONFIG_ !"#$I%_1G=&

=,ensJan

$ara &$S'( =,ensJan


'3celente $er?ormance MemorF lea6 com muitas cone3MesE


$recisa alterar o tam ma3imo de memoria ,ara uso do 6ernel do "inu3 resolvido com reboot na madrugada

"#T$/S

Servidor "#T$ usado ?oi l#t,ns

Tudo em um >nico daemon) ,arte ,,, e ,arte l#t, (on?igurao ciscoDli6e) usa a libcli Tem uma inter?ace telnet ciscoDli6e) ,ara visuali<ar usuarios e alterar ,arametros onDtheD?lF !a< controle de banda nativo) ,odendo ler velocidade ,or usu.rio e ter um ,arBmetro ,adro '3celente estabilidade !acilidade em Ngram,earN o tr.?ego) ,ara 9ustia '3,ansibilidade via ,lugins) bem documentado

"#T$/S

Su,orta cluster de Autenticadores Lsa ;G$) onde deve ser con?igurado o multi,ath loadD balance

"#T$/S

= controle de banda do l#t,ns a,resenta ,roblemas de ?airness de cone3Mes tc,) 8uando tem muitos usu.rios conectados) H acima de 7++ o ,roblema comea a a,arecerI !oi criado um ,lugin ,ara usar o CT; do linu3 ,ara controle de banda) o linu3 abriu o bico 8uando ,assou de 4+++ tuneis = indoJs su,orta com,resso de $$$) no de &$S'() no h. esse su,orte no l#t,ns) ,rovavelmente iremos im,lementar

"ado do (liente

&m,ortar o certi?icado no JindoJs da muito trabalho) ,recisa ?a<er um Jra,,er ,ara resolver !eli<mente no (D do indoJs Server vem uma ?erramenta ,ara criar instaladores de Tuneis l#t,%i,sec Alguns clientes usam sistemas de v,n cor,orativo) ainda no ?oi resolvido esta ,arte 'sta ,ara ser escrito um scri,t%gui ,ara automati<ar o ,rocesso de (erti?icados) l#t, e i,sec no "inu3

So?tJare ,ara &m,ortar (erti?icado no

indoJs

Tela de "ogon na G$/ ,ersonali<ada

&cone na bande9a do Sistema

Re?erOncias

Re?erOnciasA
htt,A%%JJJ.9acco#.dds.nl%netJor6ing%o,ensJanDl#t,.html "ivroA =,ensJanA ;uilding and &ntegrating Girtual $rivate /etJor6s

=brigado
Rubens Marins Schner <rubens@brisanet.com.br>