Implementação de LAN (wireless e cabo) numa freguesia

Jotenko

Jotenko

Power Member
Boa noite Techzonianos, espero que me ajudem aqui.

Então é assim. Estou a fazer um projecto para o meu curso, que consiste em oferecer Internet a uma freguesia Inteira, através de Wireless.

Eis o esquema geral da rede:
esquemaredegeralactivazt3.png


Começando...

Temos o Internet Firewall que é uma firewall embutida no router, para bloqueio de tráfego vindo da Internet.

Depois, temos um Switch Layer 3, a partir do qual vamos implementar 3 VLANs:

- A Rede Serviços (Proxy, armazenamento de ficheiros, email, VoIP, etc.)
- A Rede Junta (contém os computadores da Junta de Freguesia, ligados por cabo)
- A Rede Wireless (a partir daqui temos Access Points a espalhar o sinal.

Cada vez que um utilizador da rede Wireless quisesse ir à NET, passava pelo Wireless Firewall, que reencaminhava todo o tráfego para o proxy, e este encaminhava para a Net. A firewall do router, por seu lado, só deixaria passar tráfego vindo do proxy.

O problema agora é tratar da autenticação dos users por wireless (tipo e-U). Como acham que eu poderia implementar um serviço de autenticação (user/password) para os utilizadores da rede Wireless se autenticaram?

E em relação aos visitantes da freguesia, que quisessem apenas utilizar a rede durante a sua visita, como trataria da autenticação destes?

Último problema, vamos supor que usavamos um servidor para autenticação (conheço alguns, mas desconheço o seu funcionamento). O tráfego vindo da rede wireless iria primeiro ao proxy e só depois ao servidor de autenticação, ou iria primeiramente ao servidor de autenticação?

Por favor ajudem-me, mas leiam bem por favor o que eu escrevi para sermos objectivos ;)

Cumps, obrigadão Techzonianos somos os maiores
 
Para que autenticação.

Faz como a cidade de Leiria, que colocou wireless no centro da cidade, não é preciso autenticação. Quem tiver wireless, é só ligar e pronto ;)


Isso de autenticação ia dar grande prob, ias obrigar as pessoas a ir á junta inscreverem-se nisso, e quem passa-se por lá de passagem não podia aproveitar esse projecto.


Que por acaso era um projecto bom, pois iam-se lembrar, e noutras alturas que tivessem lá por perto, iam lá dar um pulo á net.
 
Ansatsu disse:
Para que autenticação.

Faz como a cidade de Leiria, que colocou wireless no centro da cidade, não é preciso autenticação. Quem tiver wireless, é só ligar e pronto ;)


Isso de autenticação ia dar grande prob, ias obrigar as pessoas a ir á junta inscreverem-se nisso, e quem passa-se por lá de passagem não podia aproveitar esse projecto.


Que por acaso era um projecto bom, pois iam-se lembrar, e noutras alturas que tivessem lá por perto, iam lá dar um pulo á net.
Clicar para expandir...

Pois, eu tou na ESTG Leiria, isto é para a freguesia da Bajouca. A tua ideia é porreira, o problema é a segurança.

Como achas que implemento as firewalls? Achas que a configuraçao actual (a do desenho e explicação) tá boa?
 
usa uma autenticação para wifi baseada em 802.1X com autenticação de nivel 2 em AD ou Radius.

em relacao a questão do trafego: podes sem dificuldade fazer uma firewall redireccionar pacotes de uma rede para outra.
ou seja redireccionar dos que vao para a internet para o proxy.
as vantagens seriam duas: primeiro terias o teu acesso controlado a segunda diminuirias a utilização de banda na tua gateway para a internet
 
Última edição:
xupetas disse:
em relacao a questão do trafego: podes sem dificuldade fazer uma firewall redireccionar pacotes de uma rede para outra.
ou seja redireccionar dos que vao para a internet para o proxy.
as vantagens seriam duas: primeiro terias o teu acesso controlado a segunda diminuirias a utilização de banda na tua gateway para a internet
Clicar para expandir...

Pois, eu vou mesmo fazer isso! Tipo todo o tráfego é reencaminhado para a proxy (o que vai ou o que vem para a Internet)

xupetas disse:
usa uma autenticação para wifi baseada em 802.1X com autenticação de nivel 2 em AD ou Radius.
Clicar para expandir...

Como funcionaria esse serviço? Teria de redireccionar o tráfego vindo da rede wireless para esse servidor, ou poderia ir para o proxy à mesma?
 
Terias que implementar um servidor RADIUS que consiga ler tanto de BDs de utilizadores locais em **sql ou AD via LDAP ...
 
jotenko disse:
Pois, eu vou mesmo fazer isso! Tipo todo o tráfego é reencaminhado para a proxy (o que vai ou o que vem para a Internet)



Como funcionaria esse serviço? Teria de redireccionar o tráfego vindo da rede wireless para esse servidor, ou poderia ir para o proxy à mesma?
Clicar para expandir...

Sim. Podias utilizar o acesso via proxy.

O acesso era controlado em fase inicial pelo 802.1X. O controle de trafego em si era no proxy ou na firewall
 
Experimenta o FreeRadius em Linux para o controlo 802.1x e configuras o AP para o Radius.

Caso só tenhas Windows Server 2000/2003, usa o IAS que faz a mesma função.
 
Em relação ao teu esquema não entendo porque tens uma firewall no wireless e não na Rede de Trabalho da Junta.
Se vais dar acesso a toda a malta, não vejo a necessidade da firewall no wireless, mas sim na rede de trabalho e nessa mesma firewall, os servidores em DMZ.
Quanto a autenticação, concordo que o melhor será RADIUS no AP com Proxy (Linux claro).
 
Última edição:
lbsimoes disse:
Em relação ao teu esquema não entendo porque tens uma firewall no wireless e não na Rede de Trabalho da Junta.
Se vais dar acesso a toda a malta, não vejo a necessidade da firewall no wireless, mas sim na rede de trabalho e nessa mesma firewall, os servidores em DMZ.
Quanto a autenticação, concordo que o melhor será RADIUS no AP com Proxy (Linux claro).
Clicar para expandir...

Simplesmente porque assumimos que o pessoal da rede da junta (que é apenas um pequeno edifício) pode ter acesso total aos serviços para os configurar.

A firewall da rede wireless, essa sim, apenas permite que os utilizadores se liguem ao proxy e nada mais.

Achas que está algo mal nesta abordagem?:(
 
jotenko disse:
Simplesmente porque assumimos que o pessoal da rede da junta (que é apenas um pequeno edifício) pode ter acesso total aos serviços para os configurar.

A firewall da rede wireless, essa sim, apenas permite que os utilizadores se liguem ao proxy e nada mais.

Achas que está algo mal nesta abordagem?:(
Clicar para expandir...

podes colocar mais que duas interfaces na firewall sabes? ;) Podes colocar uma para o wireless e outras para a junta e afins.

... absolutamente sem stress
 
Gostaria de saber se poderia usar a firewall D-LINK DFL-800 (7 portas 10/100) como Firewall da Internet e Firewall Wireless simultaneamente. sto é possivel?
 
Inicie sessão ou registe-se para poder participar.
Back
Topo