MiPSus Публикувано 16 Януари, 2015 Доклад Сподели Публикувано 16 Януари, 2015 Един фундаментале проблем и въпрос. Какви приоми използвате за да контролирате достъпа на клиентите освен панацеята наречена MAC адрес? Всички се сблъсквате редовно със какви ли не "хакери" опитващи се да минат метър, та мисля че малко обмен на опит ще ни дойде добре. ... и яз можем, и тате може, ма козата си сака пръч! Адрес на коментара Сподели в други сайтове More sharing options...
master Отговорено 16 Януари, 2015 Доклад Сподели Отговорено 16 Януари, 2015 Статични ип адреси, заключени по мак като на всеки клиент има рутер към който той няма достъп и знае само паролата за WiFi то. Забрана на трацерт и пинг. Проблеми до момента не е имало. Analog Audio™ Адрес на коментара Сподели в други сайтове More sharing options...
MiPSus Отговорено 16 Януари, 2015 Автор Доклад Сподели Отговорено 16 Януари, 2015 Какво го спитра да 1. включи лаптопа вместо рутера и да сканира локалната за да научи IP/MAC на околните? 2. да си монтира друг рутър с клониран MAC? 3. да ресетне сегашния и да има достъп до него? Как разбираш, че този MAC/IP не е на правилния клиент в момента? ... и яз можем, и тате може, ма козата си сака пръч! Адрес на коментара Сподели в други сайтове More sharing options...
master Отговорено 16 Януари, 2015 Доклад Сподели Отговорено 16 Януари, 2015 Пропуснах влан и на радиата исолатион. Ако спре някъде нета звънят на минутата. Едно време имало един хакер... и колегата го е предопредил 2-3пъти след което му пуснал 3фазен нет, а е нямал рутер. Мисля, че няма 100% защита. Analog Audio™ Адрес на коментара Сподели в други сайтове More sharing options...
Null Отговорено 16 Януари, 2015 Доклад Сподели Отговорено 16 Януари, 2015 pppoe с 1 сесия и мак ауторизация чиста работа.. и скрипт които следи за дублирани мак адреси в дб-то и съответно ако има такива реже мак-а докато клиента не ни потърси Адрес на коментара Сподели в други сайтове More sharing options...
Администратор kokaracha Отговорено 16 Януари, 2015 Администратор Доклад Сподели Отговорено 16 Януари, 2015 Фундаментален отговор,с радиус Автентикация с потребителско име и парола,възможност потребителя да ползва единственно 1 сесия едновременно,записване и фиксиране на 1 мак след първата успешна автентикация. Use since OpenBSD 3.x FreeBSD 4.x Centos 5.x Debian 3.x Ubuntu 7.x Аз съм фен на OpenWRT. Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена. _____________________________ ___|____|____|____|____|____|__ _|____|____|____|____|____|____ ___|____|_ Удряй _|____|____|__ _|____|___ главата ___|____|____ ___|____|_ си тук!! |____|____|__ _|____|____|____|____|____|____ ___|____|____|____|____|____|__ Адрес на коментара Сподели в други сайтове More sharing options...
MiPSus Отговорено 16 Януари, 2015 Автор Доклад Сподели Отговорено 16 Януари, 2015 ... сесия едновременно,записване и фиксиране на 1 мак след първата успешна автентикация. Какво деактивира сесията и как откриваме/регистрираме, че авантаджията е наследил сесията чрез мака ... ... и яз можем, и тате може, ма козата си сака пръч! Адрес на коментара Сподели в други сайтове More sharing options...
Mupo neTkoB Отговорено 16 Януари, 2015 Доклад Сподели Отговорено 16 Януари, 2015 най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип Теория - това е когато знаете всичко, но нищо не работи Практика - това е когато всичко работи, но не знаете защо При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!! Адрес на коментара Сподели в други сайтове More sharing options...
Tsunami Отговорено 16 Януари, 2015 Доклад Сподели Отговорено 16 Януари, 2015 сесията няма как да наследи ако не са му казани усер и парола . най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип То че е хубаво е хубаво. Струва си да се приложи за бизнес абонат. Ама за всеки абонат влан си е .... адинистрацията. ПППОЕ си е достатъчно прилично. Адрес на коментара Сподели в други сайтове More sharing options...
Mupo neTkoB Отговорено 16 Януари, 2015 Доклад Сподели Отговорено 16 Януари, 2015 Ако билинга ти е направен добре може сам да ги добавя вланите както в суича на клиента и порт примерно 5 така и в рутера ти или кор-суич-а Теория - това е когато знаете всичко, но нищо не работи Практика - това е когато всичко работи, но не знаете защо При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!! Адрес на коментара Сподели в други сайтове More sharing options...
MiPSus Отговорено 16 Януари, 2015 Автор Доклад Сподели Отговорено 16 Януари, 2015 (Редактирано) сесията няма как да наследи ако не са му казани усер и парола . Е как , нали истинския абонат вече се е аутентикирал примерно в 7 сутринта преди работа да погледне новините с кафето и в 8 гаси и заминава на работа, а в 9ч. става "хакера" и решава, че днес няма да ходи на училище .... Един мой абонат имаше на компютъра програмка която сменяше мака от списък и проверяваше има ли интернет в рамките на половин секунда, ако няма сменя пак ... най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип Колегата има предвид IPoE (ip unnumbered) залегнало в руските мрежи Редактирано 16 Януари, 2015 от MiPSus ... и яз можем, и тате може, ма козата си сака пръч! Адрес на коментара Сподели в други сайтове More sharing options...
Tsunami Отговорено 16 Януари, 2015 Доклад Сподели Отговорено 16 Януари, 2015 Ако билинга ти е направен добре може сам да ги добавя вланите както в суича на клиента и порт примерно 5 така и в рутера ти или кор-суич-а Всяко нещо може да стане по няколко начина. Аз предпочитам просто, лесно и надежно. Предпочитам да не се пипа в коре суич/рутер освен при необходимост. Е как , нали истинския абонат вече се е аутентикирал примерно в 7 сутринта преди работа да погледне новините с кафето и в 8 гаси и заминава на работа, а в 9ч. става "хакера" и решава, че днес няма да ходи на училище .... Един мой абонат имаше на компютъра програмка която сменяше мака от списък и проверяваше има ли интернет в рамките на половин секунда, ако няма сменя пак ... Колегата има предвид IPoE (ip unnumbered) залегнало в руските мрежи говоря за пппое сесията. Какво ме топли мак адреса ще го сменя ли или не хакера. Заключвам по мак сам при проблеми. Няма да си играя да сменям макове в билинга при всяка смяна на рутер/комп. Колкото по-малко ме търсят (създават абота) по-добре за мен. Адрес на коментара Сподели в други сайтове More sharing options...
Администратор kokaracha Отговорено 16 Януари, 2015 Администратор Доклад Сподели Отговорено 16 Януари, 2015 Зависи какво ще се позлва за брас/нас,атрибутите който изпраща клиента са различни. Ако ти е интересно спокoйно можеш да седнеш и да си изчетеш раздела за Radius concurrent logins/simultaneous logins/accounting/idle timeout/session timeout/radius parameters ... и можеш да бъдеш сигурен че това няма да е загубено време. Общо взето програма/билинга проверява активните сесии на рутера и ги сравнява с тези на билинга и забранява/прекъсва незарегистрираните,като регистрираните примерно се проверяват през интервакл от време ( най често 5 мин). Имаш достаtчно богат избор от възможности за авторизация въпроса е какво ти поддържат железата или мрежовата схема PAP, CHAP, MsChap, MsChap V2 IEEE 802.1x по логин + парола по логин + парола + IP по логин + парола + MAC по логин + парола + IP + MAC по логин по логин + IP по логин + MAC по логин + IP + MAC по парола по парола + IP по парола + MAC по парола + IP + MAC по IP по MAC по IP + MAC Малка подсказка,за етернет- пппое за,радиата -хотспот,ако държите на ниския разход на енергия и нискобюджетни рутери - хотспот. Голяма подсказка - Mikrotik-Rate-Limits например Mikrotik-Rate-Limit=1M 1536k 768k 8 8 1M rx-rate – 1 Mbps rx-burst-rate – 1536 kbps rx-burst-threshold – 768 kbps rx-burst-time – 8 секунди priority – 8 rx-rate-min – 1 Mbps т.е ограничаваме канала на 1 мегабит (както гарантирано, така и максимално), но ако потребителя за 8 секунди не превишава 768 кбит, може да му се даде 1.5 мегабита. Абе въобще с радиуаса могат да се направят много и големи неща. Какво деактивира сесията и как откриваме/регистрираме, че авантаджията е наследил сесията чрез мака ... Use since OpenBSD 3.x FreeBSD 4.x Centos 5.x Debian 3.x Ubuntu 7.x Аз съм фен на OpenWRT. Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена. _____________________________ ___|____|____|____|____|____|__ _|____|____|____|____|____|____ ___|____|_ Удряй _|____|____|__ _|____|___ главата ___|____|____ ___|____|_ си тук!! |____|____|__ _|____|____|____|____|____|____ ___|____|____|____|____|____|__ Адрес на коментара Сподели в други сайтове More sharing options...
Networker Отговорено 16 Януари, 2015 Доклад Сподели Отговорено 16 Януари, 2015 Още един глас за PPPoE + RADIUS и скрипт който следи дублирани IP-та. Стартираш си сървъра с 1 сесия за MAC, даден user си взима един и същи адрес при автентификация. Скрипта засича дублирането и разкача по pid-ове (и логва). При нас имаме заключване по MAC на user, като системата сама си засича и записва първия MAC, който се оторизира с user/pass за даден user. “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Адрес на коментара Сподели в други сайтове More sharing options...
Администратор kokaracha Отговорено 16 Януари, 2015 Администратор Доклад Сподели Отговорено 16 Януари, 2015 Че то за МТ почти вече няма разлика,дали ще е пппое или хотспот атрибутите са почти еднакви. http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client - NAS-Port-Type - async PPP - "Async"; PPTP and L2TP - "Virtual"; PPPoE - "Ethernet"; ISDN - "ISDN Sync"; HotSpot - "Ethernet | Cable | Wireless-802.11" (according to the value of nas-port-type parameter in /ip hotspot - NAS-Port - unique session ID - Acct-Session-Id - unique session ID - Calling-Station-Id - PPPoE and HotSpot- client MAC address in capital letters; PPTP and L2TP - client public IP address; ISDN - client MSN - Called-Station-Id - PPPoE - service name; PPTP and L2TP - server IP address; ISDN - interface MSN; HotSpot - name of the HotSpot server - NAS-Port-Id - async PPP - serial port name; PPPoE - ethernet interface name on which server is running; HotSpot - name of the physical HotSpot interface (if bridged, the bridge port name is showed here); not present for ISDN, PPTP and L2TP Use since OpenBSD 3.x FreeBSD 4.x Centos 5.x Debian 3.x Ubuntu 7.x Аз съм фен на OpenWRT. Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена. _____________________________ ___|____|____|____|____|____|__ _|____|____|____|____|____|____ ___|____|_ Удряй _|____|____|__ _|____|___ главата ___|____|____ ___|____|_ си тук!! |____|____|__ _|____|____|____|____|____|____ ___|____|____|____|____|____|__ Адрес на коментара Сподели в други сайтове More sharing options...
Recommended Posts
Създайте нов акаунт или се впишете, за да коментирате
За да коментирате, трябва да имате регистрация
Създайте акаунт
Присъединете се към нашата общност. Регистрацията става бързо!
Регистрация на нов акаунтВход
Имате акаунт? Впишете се оттук.
Вписване