Jump to content

Мрежова аутентификация/ауторизация на клиентите ни


Recommended Posts

Един фундаментале проблем и въпрос. Какви приоми използвате за да контролирате достъпа на клиентите освен панацеята наречена MAC адрес?

Всички се сблъсквате редовно със какви ли не "хакери" опитващи се да минат метър, та мисля че малко обмен на опит ще ни дойде добре. :)

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

  • Отговори 32
  • Created
  • Последен отговор

Top Posters In This Topic

  • MiPSus

    8

  • Mupo neTkoB

    6

  • kokaracha

    4

  • smacker

    4

Статични ип адреси, заключени по мак като на всеки клиент има рутер към който той няма достъп и знае само паролата за WiFi то.

Забрана на трацерт и пинг.

 

Проблеми до момента не е имало.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

Какво го спитра да

1. включи лаптопа вместо рутера и да сканира локалната за да научи IP/MAC на околните?

2. да си монтира друг рутър с клониран MAC?

3. да ресетне сегашния и да има достъп до него?

 

Как разбираш, че този MAC/IP не е на правилния клиент в момента?

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

Пропуснах влан и на радиата исолатион.

Ако спре някъде нета звънят на минутата. Едно време имало един хакер... и колегата го е предопредил 2-3пъти след което му пуснал 3фазен нет, а е нямал рутер.

Мисля, че няма 100% защита.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

pppoe с 1 сесия и мак ауторизация чиста работа.. и скрипт които следи за дублирани мак адреси в дб-то и съответно ако има такива реже мак-а докато клиента не ни потърси :)

Адрес на коментара
Сподели в други сайтове

  • Администратор

Фундаментален отговор,с радиус :)

Автентикация с потребителско име и парола,възможност потребителя да ползва единственно 1 сесия едновременно,записване и фиксиране на 1 мак след първата успешна автентикация.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

... сесия едновременно,записване и фиксиране на 1 мак след първата успешна автентикация.

 

Какво деактивира сесията и как откриваме/регистрираме, че авантаджията е наследил сесията чрез мака ...

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

сесията няма как да наследи ако не са му казани усер и парола ;).


най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип

То че е хубаво е хубаво. Струва си да се приложи за бизнес абонат. Ама за всеки абонат влан си е .... адинистрацията. ПППОЕ си е достатъчно прилично.

Адрес на коментара
Сподели в други сайтове

Ако билинга ти е направен добре може сам да ги добавя вланите както в суича на клиента и порт примерно 5 така и в рутера ти или кор-суич-а

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

сесията няма как да наследи ако не са му казани усер и парола ;).

 

Е как , нали истинския абонат вече се е аутентикирал примерно в 7 сутринта преди работа да погледне новините с кафето и в 8 гаси и заминава на работа, а в 9ч. става "хакера" и решава, че днес няма да ходи на училище ....

 

Един мой абонат имаше на компютъра програмка която сменяше мака от списък и проверяваше има ли интернет в рамките на половин секунда, ако няма сменя пак ...

най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип

 

Колегата има предвид IPoE (ip unnumbered) залегнало в руските мрежи :)

Редактирано от MiPSus

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

Ако билинга ти е направен добре може сам да ги добавя вланите както в суича на клиента и порт примерно 5 така и в рутера ти или кор-суич-а

Всяко нещо може да стане по няколко начина. Аз предпочитам просто, лесно и надежно. Предпочитам да не се пипа в коре суич/рутер освен при необходимост.

 

 

Е как , нали истинския абонат вече се е аутентикирал примерно в 7 сутринта преди работа да погледне новините с кафето и в 8 гаси и заминава на работа, а в 9ч. става "хакера" и решава, че днес няма да ходи на училище ....

 

Един мой абонат имаше на компютъра програмка която сменяше мака от списък и проверяваше има ли интернет в рамките на половин секунда, ако няма сменя пак ...

 

Колегата има предвид IPoE (ip unnumbered) залегнало в руските мрежи :)

говоря за пппое сесията. Какво ме топли мак адреса ще го сменя ли или не хакера. Заключвам по мак сам при проблеми. Няма да си играя да сменям макове в билинга при всяка смяна на рутер/комп. Колкото по-малко ме търсят (създават абота) по-добре за мен.

Адрес на коментара
Сподели в други сайтове

  • Администратор

Зависи какво ще се позлва за брас/нас,атрибутите който изпраща клиента са различни. Ако ти е интересно спокoйно можеш да седнеш и да си изчетеш раздела за Radius concurrent logins/simultaneous logins/accounting/idle timeout/session timeout/radius parameters ... и можеш да бъдеш сигурен че това няма да е загубено време.

Общо взето програма/билинга проверява активните сесии на рутера и ги сравнява с тези на билинга и забранява/прекъсва незарегистрираните,като регистрираните примерно се проверяват през интервакл от време ( най често 5 мин).

Имаш достаtчно богат избор от възможности за авторизация въпроса е какво ти поддържат железата или мрежовата схема :)

    PAP, CHAP, MsChap, MsChap V2
    IEEE 802.1x
    по логин + парола
    по логин + парола + IP
    по логин + парола + MAC
    по логин + парола + IP + MAC
    по логин
    по логин + IP
    по логин + MAC
    по логин + IP + MAC
    по парола
    по парола + IP
    по парола + MAC
    по парола + IP + MAC
    по IP
    по MAC
    по IP + MAC

 

 

 Малка подсказка,за етернет- пппое за,радиата -хотспот,ако държите на ниския разход на енергия и нискобюджетни рутери - хотспот.

 Голяма подсказка - Mikrotik-Rate-Limits  например Mikrotik-Rate-Limit=1M 1536k 768k 8 8 1M

 

rx-rate – 1 Mbps
rx-burst-rate – 1536 kbps
rx-burst-threshold – 768 kbps
rx-burst-time – 8 секунди
priority – 8
rx-rate-min – 1 Mbps

 

т.е  ограничаваме канала на 1 мегабит (както гарантирано, така и максимално), но ако потребителя за 8 секунди не превишава 768 кбит, може да му се даде 1.5 мегабита.

 

Абе въобще с радиуаса могат да се направят много и големи неща.

 

 

Какво деактивира сесията и как откриваме/регистрираме, че авантаджията е наследил сесията чрез мака ...

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

Още един глас за PPPoE + RADIUS и скрипт който следи дублирани IP-та.

Стартираш си сървъра с 1 сесия за MAC, даден user си взима един и същи адрес при автентификация.

Скрипта засича дублирането и разкача по pid-ове (и логва).

При нас имаме заключване по MAC на user, като системата сама си засича и записва първия MAC, който се оторизира с user/pass за даден user.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Адрес на коментара
Сподели в други сайтове

  • Администратор

Че то за МТ почти вече няма разлика,дали ще е пппое или хотспот атрибутите са почти еднакви.

 

http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client

 

- NAS-Port-Type - async PPP - "Async"; PPTP and L2TP - "Virtual"; PPPoE - "Ethernet"; ISDN - "ISDN Sync"; HotSpot - "Ethernet | Cable | Wireless-802.11" (according to the value of nas-port-type parameter in /ip hotspot

- NAS-Port - unique session ID
- Acct-Session-Id - unique session ID

- Calling-Station-Id - PPPoE and HotSpot- client MAC address in capital letters; PPTP and L2TP - client public IP address; ISDN - client MSN
- Called-Station-Id - PPPoE - service name; PPTP and L2TP - server IP address; ISDN - interface MSN; HotSpot - name of the HotSpot server
- NAS-Port-Id - async PPP - serial port name; PPPoE - ethernet interface name on which server is running; HotSpot - name of the physical HotSpot interface (if bridged, the bridge port name is showed here); not present for ISDN, PPTP and L2TP

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.