Gateway autenticado com Apache, Iptables e CGI em shell

capitainkurn

Procurando uma solução que fosse ao mesmo tempo simples de ser implementada e de grande eficiência comparados aos gateways mais sofisticados que empregam bancos de dados e etc, cheguei a esta solução ideal para ser usada em provedores wireless ou a cabo. Ela ainda está em desenvolvimento e dada a sua enorme simplicidade de seu conceito pode servir de base para projetos mais elaborados.

[ Hits: 86.072 ]

Por: Carlos Affonso Henriques. em 27/07/2007

0 0

Denuncie Favoritos Indicar Impressora

O arquivo de contas

O arquivo de contas é um simples arquivo texto com os seguintes parâmetros delimitados por vírgula:

login,senha,ip,mac,banda,marca de pacote hexadecimal

Em nosso caso é um arquivo chamado .users localizado no /var/www/cgi-bin/.users.

ap101,senha123,192.168.10.10,00:1B:24:13:EF:78,512,a
ap102,senha456,192.168.11.10,AA:1C:D3:54:32:91,128,b
ap201,QualquerSenha,192.168.12.10,00:11:5B:26:A3:23,1024,c

Certamente muitos de vocês diriam que poderíamos implementar isso com um banco de dados, mas isso tiraria muito da simplicidade do projeto, que é apenas um conceito, um ponto de partida para projetos mais sofisticados. Por esse motivo não adotei um database neste projeto, embora eu esteja desenvolvendo um mais sofisticado onde há inclusive integração com sistemas financeiros por meio do MySQL semelhante ao MyAuth 2 do amigo Patrick Brandão (http://www.patrick.eti.br), que é um dos melhores projetos de gateway autenticado que já ví.

Página anterior Próxima página

Páginas do artigo

   1. Preparando o Apache
   2. Configurando o SSL no Apache
   3. A topologia da rede
   4. O firewall
   5. A página de autenticação
   6. O arquivo de contas
   7. O script CGI de autenticação
   8. O script para desfazer a autenticação
   9. A tabela ARP estática
   10. O controle de banda
   11. Notas e agradecimentos

Outros artigos deste autor

Docker: Uma abordagem didática para tempos obscuros

SSHFS no CentOS, Slackware e Windows - Simples e rápido

Recuperando senha de administrador Windows NT/2000/XP/ com o Slax e Captive

Filtro de conteúdo autenticado com níveis de privilégio

Customizando e atualizando o Slax

Leitura recomendada

ProFTPD + ClamAV - FTP livre de vírus

Introdução ao Personal Firewall (PF)

Wmap web scanner

OpenBSD IDS - Solução Snort e BASE

Backup automatizado e seguro usando SSH / SCP / SFTP

Comentários

[1] Comentário enviado por removido em 27/07/2007 - 15:57h

Olá Amigo,

Bom, para deixar seu artigo ainda mais rico eu gostaria de dar uma opinião! No caso de um hijack bem feito (roubo de seção), quando o cliente cai e em seguida entra o hijack seu arping vai consultar ele tranqüilamente! Concorda!? Espero que sim, pois eu já fiz testes com isso e infelizmente da certo! A solução é simples, ao invés de fazer o servidor consultar quem está de pé ou não, o que dependendo do número de estações tem um tempo elevado, eu sugiro mudar para o comando at. Como já uso o servidor Radius, foi fácil, no comando AT eu agendo uma verificação pra saber se o IP tal é do fulano de tal conectado no radius, aí sim, se não for a regra dele é derrubada! Pra substituir o uso do radius, pode-se pensar em cookie, por exemplo!

T+

0 0

[2] Comentário enviado por capitainkurn em 27/07/2007 - 17:50h

Boa! nem havia me ocorrido o at.

Quando elaborei aquele while de arping, pensei em coloca-los isoladamente rodando sob um shell filho do mac_accept4.cgi que seria chamado em background, mas esbarrei em um problema... não entendí ainda o por que de não conseguir rodar um loop em um shell filho a partir de um CGI, mas é uma coisa que estou bolando e a sua idéia do at foi grande.
Obrigado pela dica, e espero que tenha gostado do artigo.

0 0

[3] Comentário enviado por fabiorvs em 22/04/2008 - 19:07h

Ola tem como fazer a autenticação só por usuário, sem o MAC e ip, pois trabalho em uma faculdade e preciso cadastrar todos os alunos.

0 0

[4] Comentário enviado por capitainkurn em 23/04/2008 - 10:03h

É mais fácil ainda, a única razão para eu atrelar o ip ao mac address é o controle de banda, pois provedores em geral possuem planos de velocidade diferentes e se não houver vínculo entre o IP e o login e senha o usuário poderia configurar um IP manualmente e usar uma velocidade maior do que a contratada.

0 0

[5] Comentário enviado por cleibson em 03/05/2009 - 22:57h

Como o cliente será diretionado para autenticação, sendo que não há nenhuma regra redirecionando sua navegação para a porta 443 obrigando-o a autenticar antes de navegar

0 0

[6] Comentário enviado por removido em 06/05/2010 - 09:29h

òtima dica para o combate de ataques do TIPO MITM, originados por arpspoof.

0 0

[7] Comentário enviado por douglassironi em 28/06/2011 - 18:38h

Sobre a questão de atrelar MAC, podemos fazer isso com PHP, no momento que o cliente se cadastra e cria seu usuario e senha, podemos tranquilamente pegar o MAC dele com a função, abaixo tem um link explicando como fazer.

http://scriptbrasil.com.br/forum/index.php?showtopic=70543

No momento que o usuario/cliente se cadastrar, pode ser gerado o arquivo do DHCP atrelando um ip para o mac capturado.

Recomendo ultilizar um banco de dados para salvar as informações dos clientes/usuarios.
O freeradius tem as tabelas prontas em vários tipos de BD.

Qualquer duvida, estou a disposição.
contato@douglassironi.com

0 0