Jump to content

Мрежова аутентификация/ауторизация на клиентите ни


MiPSus

Recommended Posts

Един фундаментале проблем и въпрос. Какви приоми използвате за да контролирате достъпа на клиентите освен панацеята наречена MAC адрес?

Всички се сблъсквате редовно със какви ли не "хакери" опитващи се да минат метър, та мисля че малко обмен на опит ще ни дойде добре. :)

... и яз можем, и тате може, ма козата си сака пръч!

Link to comment
Share on other sites

  • Replies 32
  • Created
  • Last Reply

Top Posters In This Topic

  • MiPSus

    8

  • Mupo neTkoB

    6

  • kokaracha

    4

  • smacker

    4

Статични ип адреси, заключени по мак като на всеки клиент има рутер към който той няма достъп и знае само паролата за WiFi то.

Забрана на трацерт и пинг.

 

Проблеми до момента не е имало.

Analog Audio™

Link to comment
Share on other sites

Какво го спитра да

1. включи лаптопа вместо рутера и да сканира локалната за да научи IP/MAC на околните?

2. да си монтира друг рутър с клониран MAC?

3. да ресетне сегашния и да има достъп до него?

 

Как разбираш, че този MAC/IP не е на правилния клиент в момента?

... и яз можем, и тате може, ма козата си сака пръч!

Link to comment
Share on other sites

Пропуснах влан и на радиата исолатион.

Ако спре някъде нета звънят на минутата. Едно време имало един хакер... и колегата го е предопредил 2-3пъти след което му пуснал 3фазен нет, а е нямал рутер.

Мисля, че няма 100% защита.

Analog Audio™

Link to comment
Share on other sites

pppoe с 1 сесия и мак ауторизация чиста работа.. и скрипт които следи за дублирани мак адреси в дб-то и съответно ако има такива реже мак-а докато клиента не ни потърси :)

Link to comment
Share on other sites

  • Administrator

Фундаментален отговор,с радиус :)

Автентикация с потребителско име и парола,възможност потребителя да ползва единственно 1 сесия едновременно,записване и фиксиране на 1 мак след първата успешна автентикация.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

... сесия едновременно,записване и фиксиране на 1 мак след първата успешна автентикация.

 

Какво деактивира сесията и как откриваме/регистрираме, че авантаджията е наследил сесията чрез мака ...

... и яз можем, и тате може, ма козата си сака пръч!

Link to comment
Share on other sites

най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

сесията няма как да наследи ако не са му казани усер и парола ;).


най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип

То че е хубаво е хубаво. Струва си да се приложи за бизнес абонат. Ама за всеки абонат влан си е .... адинистрацията. ПППОЕ си е достатъчно прилично.

Link to comment
Share on other sites

Ако билинга ти е направен добре може сам да ги добавя вланите както в суича на клиента и порт примерно 5 така и в рутера ти или кор-суич-а

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

сесията няма как да наследи ако не са му казани усер и парола ;).

 

Е как , нали истинския абонат вече се е аутентикирал примерно в 7 сутринта преди работа да погледне новините с кафето и в 8 гаси и заминава на работа, а в 9ч. става "хакера" и решава, че днес няма да ходи на училище ....

 

Един мой абонат имаше на компютъра програмка която сменяше мака от списък и проверяваше има ли интернет в рамките на половин секунда, ако няма сменя пак ...

най-добре ми се струва с влани до потребителя/порта му на суича. от там да си пуска каквото иска вътре - 1 ип

 

Колегата има предвид IPoE (ip unnumbered) залегнало в руските мрежи :)

Edited by MiPSus

... и яз можем, и тате може, ма козата си сака пръч!

Link to comment
Share on other sites

Ако билинга ти е направен добре може сам да ги добавя вланите както в суича на клиента и порт примерно 5 така и в рутера ти или кор-суич-а

Всяко нещо може да стане по няколко начина. Аз предпочитам просто, лесно и надежно. Предпочитам да не се пипа в коре суич/рутер освен при необходимост.

 

 

Е как , нали истинския абонат вече се е аутентикирал примерно в 7 сутринта преди работа да погледне новините с кафето и в 8 гаси и заминава на работа, а в 9ч. става "хакера" и решава, че днес няма да ходи на училище ....

 

Един мой абонат имаше на компютъра програмка която сменяше мака от списък и проверяваше има ли интернет в рамките на половин секунда, ако няма сменя пак ...

 

Колегата има предвид IPoE (ip unnumbered) залегнало в руските мрежи :)

говоря за пппое сесията. Какво ме топли мак адреса ще го сменя ли или не хакера. Заключвам по мак сам при проблеми. Няма да си играя да сменям макове в билинга при всяка смяна на рутер/комп. Колкото по-малко ме търсят (създават абота) по-добре за мен.

Link to comment
Share on other sites

  • Administrator

Зависи какво ще се позлва за брас/нас,атрибутите който изпраща клиента са различни. Ако ти е интересно спокoйно можеш да седнеш и да си изчетеш раздела за Radius concurrent logins/simultaneous logins/accounting/idle timeout/session timeout/radius parameters ... и можеш да бъдеш сигурен че това няма да е загубено време.

Общо взето програма/билинга проверява активните сесии на рутера и ги сравнява с тези на билинга и забранява/прекъсва незарегистрираните,като регистрираните примерно се проверяват през интервакл от време ( най често 5 мин).

Имаш достаtчно богат избор от възможности за авторизация въпроса е какво ти поддържат железата или мрежовата схема :)

    PAP, CHAP, MsChap, MsChap V2
    IEEE 802.1x
    по логин + парола
    по логин + парола + IP
    по логин + парола + MAC
    по логин + парола + IP + MAC
    по логин
    по логин + IP
    по логин + MAC
    по логин + IP + MAC
    по парола
    по парола + IP
    по парола + MAC
    по парола + IP + MAC
    по IP
    по MAC
    по IP + MAC

 

 

 Малка подсказка,за етернет- пппое за,радиата -хотспот,ако държите на ниския разход на енергия и нискобюджетни рутери - хотспот.

 Голяма подсказка - Mikrotik-Rate-Limits  например Mikrotik-Rate-Limit=1M 1536k 768k 8 8 1M

 

rx-rate – 1 Mbps
rx-burst-rate – 1536 kbps
rx-burst-threshold – 768 kbps
rx-burst-time – 8 секунди
priority – 8
rx-rate-min – 1 Mbps

 

т.е  ограничаваме канала на 1 мегабит (както гарантирано, така и максимално), но ако потребителя за 8 секунди не превишава 768 кбит, може да му се даде 1.5 мегабита.

 

Абе въобще с радиуаса могат да се направят много и големи неща.

 

 

Какво деактивира сесията и как откриваме/регистрираме, че авантаджията е наследил сесията чрез мака ...

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

Още един глас за PPPoE + RADIUS и скрипт който следи дублирани IP-та.

Стартираш си сървъра с 1 сесия за MAC, даден user си взима един и същи адрес при автентификация.

Скрипта засича дублирането и разкача по pid-ове (и логва).

При нас имаме заключване по MAC на user, като системата сама си засича и записва първия MAC, който се оторизира с user/pass за даден user.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

  • Administrator

Че то за МТ почти вече няма разлика,дали ще е пппое или хотспот атрибутите са почти еднакви.

 

http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client

 

- NAS-Port-Type - async PPP - "Async"; PPTP and L2TP - "Virtual"; PPPoE - "Ethernet"; ISDN - "ISDN Sync"; HotSpot - "Ethernet | Cable | Wireless-802.11" (according to the value of nas-port-type parameter in /ip hotspot

- NAS-Port - unique session ID
- Acct-Session-Id - unique session ID

- Calling-Station-Id - PPPoE and HotSpot- client MAC address in capital letters; PPTP and L2TP - client public IP address; ISDN - client MSN
- Called-Station-Id - PPPoE - service name; PPTP and L2TP - server IP address; ISDN - interface MSN; HotSpot - name of the HotSpot server
- NAS-Port-Id - async PPP - serial port name; PPPoE - ethernet interface name on which server is running; HotSpot - name of the physical HotSpot interface (if bridged, the bridge port name is showed here); not present for ISDN, PPTP and L2TP

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.