Jump to content

про 802.1x

GM
 Share

Recommended Posts

GM

GM

Posted
Posted

думаем как управлять доступом клиентов в ДС

подскажите

предположим проводная сеть со свичём поддерживающим 802.1x с радиусом, "Multiple 802.1X users per port"

я так понимаю что не обязательно втыкать клиента напрямую в порт, можно через неуправляемый свич например?

и ктонибудь делал аутентификатор 802.1x из линуха?

  • Replies 58
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

vIv

vIv

Posted
Posted

бррр!

Multiple 802.1X users per port - это "семья толпою и все вместе считаются одним клиентом"

 

ОДИН авторизовался - порт открылся и все работают.

 

Это же всё-таки защита порта....

 

На Линухе поднимаешь к примеру FreeRADIUS - и вперёд

GM

GM

Posted
  • Author
Posted

сам я такое не делал, представляю только теоретически -)

цитата

"Второй способ защиты от Piggy backng базируется на новых возможностях прошивок (E.09.00 и выше) для коммутаторов 53хх. В которых реализован реализован 802.1X протокол с расширенным контролем доступа, где появилась возможность ограничивать подключение индивидуально для каждого пользователя. Работает этот способ следующим образом. В первоначальном состоянии порт закрыт. После успешной аутентификации 802.1x суппликанта порт активируется, при этом в таблицу MAC адресов на этом порту (первоначально пустую) заносится MAC подключившегося клиента. При попытке обмена данными через этот порт с другого Ethernet-адреса (которого нет в таблице) запустится механизм аутентификации для нового пользователя, после чего его MAC будет добавлен в таблицу (в случае успеха), либо в доступе будет отказано. На данный момент HP Procurve 53xx способен запомнить до 32 адресов на каждом порту, где сконфигурирован 802.1x. Запомненные MAC-адреса удаляются из таблицы по мере истечения таймаута после прекращения передачи кадров с данного адреса. Не исключена возможность подмены MAC-адреса в промежуток времени между выключением "законного владельца" и удалением его MAC'а из таблицы коммутатора. В этом случае злоумышленник сможет завладеть каналом, не проходя аутентификации. Чтобы избежать подобной ситуации, в коммутаторе имеется возможность проведения реаутентификации с заданным промежутком времени, чтобы проверить подлинность работающего клиента. Данная процедура при использовании метода EAP/TLS проходит незаметно для пользователя, т.к. не требуется ввода логинов и паролей."

естественно про HP Procurve 53xx это только пример, есть и другие

GM

GM

Posted
  • Author
Posted

а про линух, интересует не сервер аутентификации(с радиусом), а аутентификатор, к которому клиенты обращаются чтоб доступ открыть (ну типа точки доступа в беспроводном варианте)

vIv

vIv

Posted
Posted

Ты цитируешь текст из совместной разработки не скажу кого с кем, взято с сайта ЛанБиллинга :-)

 

Текст из другой оперы малость. Там решалась беда как-раз со врезанным в кабель посторонним свитчём. 53хх умеет в sFlow отдавать UserID, полученный из 802.1x, нотебе это вряд ли нужно, так-как 53хх мало кто будет на уровень доступа ставить. Дороговаты они. Так-что множественный 802.1x с 32-мя МАС-ами тебе вряд ли поможет ;-)

 

Так-что не думай об этом и бери коммутаторы с 802.1x, ставь там ПО-УМОЛЧАНИЮ жёсткую привязку авторизовавшегося МАСа и чужаков не пускай, - а то начнут тебе кабель резать все кому не лень.

 

Каждого юзера в VLAN и кидай до "умного" устройства, н.п. того же 53хх - там посчитаешь трафик, отроутишь, что нужно.

 

С малтикстом пока вопрос официально не решён (если только Cat6500+ на уровень доступа не совать), но скоро будет решён, - прототип железки работает у нас на стенде.

vIv

vIv

Posted
Posted
а про линух, интересует не сервер аутентификации(с радиусом), а аутентификатор, к которому клиенты обращаются чтоб доступ открыть (ну типа точки доступа в беспроводном варианте)

 

Сколько ты сетевух насуваешь в линух? Сейчас проще и дешевле купить свитч с 802.1x и не ломать голову :-))

 

Если не заморачиваться с групповым вещанием, то можно 8-портовый свитчик около 140 долларов найти, или даже 16-портовый за 180-200

 

---

Andrew,

сотрудник того самого Вимкома из твоей цитатки =)

GM

GM

Posted
  • Author
Posted

vIv как раз про sflow там в статье был "первый способ" -)

и такие штуки типа Multiple 802.1X per port я находил ещё в других железках не hp

хотя может быть они все не для уровня доступа...

GM

GM

Posted
  • Author
Posted
Сколько ты сетевух насуваешь в линух? Сейчас проще и дешевле купить свитч с 802.1x и не ломать голову :-))

 

Если не заморачиваться с групповым вещанием, то можно 8-портовый свитчик около 140 долларов найти, или даже 16-портовый за 180-200

сетевуху одну с vlan`ами

просто если каждому юзеру выделять по одному порту свича с 802.1x то больно дохрена свичей понадобится -)

поэтому и мысли либо про несколько юзеров на порт либо с линухом сотварить

vIv

vIv

Posted
Posted

Да почти на любом дешёвом оборудовании это есть - для СЕМЕЙного доступа.

Когда папа на ноутбуке авторизовался - и холодильник, и СОНИ ПлейСтейшн, и детишки - толпой повалили в интернет.

 

В любом случае ПОРТ открывается ВЕСЬ. Если это не семья, - то появляется проблема "врезанного свитча/хаба". Как только о её возможности узнают куль-хацкеры - появляется дикий спрос на пятипортовые хабы ;-)

А оператор бегает и чинит разрезанные кабели, в перерывах обьясняясь с абонентами, куда делись их деньги.

 

Так-что по-умолчанию нужно при авторизации брать МАС, с которого авторизовались и больше никого не пускать. А множественный доступ открывать отдельно взятым желающим "по очень большому секрету" или лучше за дополнительные деньги и под роспись, что они понимают, что просят.

vIv

vIv

Posted
Posted

Виланы, боюсь, тут ничем не помогут....

Каким способом ты думаешь их сюда прикрутить?

 

А про много свитчей - это зависит от того, на чём ты зарабатываешь. Я не зря упомянул 8-ми и 16-портовые коммутаторы.

GM

GM

Posted
  • Author
Posted
В любом случае ПОРТ открывается ВЕСЬ. Если это не семья, - то появляется проблема "врезанного свитча/хаба". Как только о её возможности узнают куль-хацкеры - появляется дикий спрос на пятипортовые хабы ;-)

А оператор бегает и чинит разрезанные кабели, в перерывах обьясняясь с абонентами, куда делись их деньги.

ну я предполагал что, как в цитате, есть свичи, которые при авторизации открывают не порт целиком, а только доступ определённому маку

остальные юзеры на томже порту должны авторизоваться

 

тоже и про линух, юзер для получения доступа должен авторизоваться по протоколам из 802.1x

авторизовался, мак пускают, нет - не пускают

vIv

vIv

Posted
Posted

Ну есть такие, только вот.... толку от этого НОЛЬ! Так-как МАС подменяется на раз-два любым, кто набрёл на ксакеп.ру.

 

Если ты МАС не перепроверяешь, - то нельзя ему верить. А перепроверять индивидуально по МАС и каждый держать на разных аккаунтах, - это совсем не то же самое, что "Multiple 802.1X users per port" в дешёвых коммутаторах.

Я_рядом

Я_рядом

Posted
Posted
В любом случае ПОРТ открывается ВЕСЬ. Если это не семья, - то появляется проблема "врезанного свитча/хаба". Как только о её возможности узнают куль-хацкеры - появляется дикий спрос на пятипортовые хабы ;-)

А оператор бегает и чинит разрезанные кабели, в перерывах обьясняясь с абонентами, куда делись их деньги.

ну я предполагал что, как в цитате, есть свичи, которые при авторизации открывают не порт целиком, а только доступ определённому маку

остальные юзеры на томже порту должны авторизоваться

 

тоже и про линух, юзер для получения доступа должен авторизоваться по протоколам из 802.1x

авторизовался, мак пускают, нет - не пускают

GM, абсолютно прав. Есть такие коммутаторы, сразу оговорюсь ценой выше 300$.

Метод аутентификации называется "EAPOL Multiple Host Multiple Authentification"

Ограничение у него есть правда - индивидуальное динамическое назначение VLAN-ов для каждого SOURCE MAC невозможно.

Примеры устройст Nortel Ethernet Switch (ранее известный как BayStack не путать с BPS 2000) 460 и Nortel Ethernet Switch 470.

Описание функций ПО для коммутаторов:

http://www.nortel.com/products/announcemen..._v3.6_final.pdf

Nag

Nag

Posted
Posted
Примеры устройст Nortel Ethernet Switch (ранее известный как BayStack не путать с BPS 2000) 460 и Nortel Ethernet Switch 470.

Описание функций ПО для коммутаторов:http://www.nortel.com/products/announcemen..._v3.6_final.pdf

 

На сколько знаю, в BPS2000 вполне льется софт от 460. ;-)

В Nortel 420 - от 425...

 

Вообще, нормальные конторы пишут софт по 3-5 лет.

3ком даже - уж на что 1100-3300 старые модели, 98 кажись года. А последний софт - от января 2005. А уж сколько Сиска тянет Катос тот же на 4000 серию например...

 

Это не Длинк, который продавал меньше года 3228, убил в пользу 3526, продавал е полгода, а теперь эту модель убивает в пользу 3828. И они с разным софтами все, что характерно.

Защита инвестиций по китайски, вернее для китайцев. ;-)))

GM

GM

Posted
  • Author
Posted
Есть такие коммутаторы, сразу оговорюсь ценой выше 300$.

Примеры устройст Nortel Ethernet Switch (ранее известный как BayStack не путать с BPS 2000) 460 и Nortel Ethernet Switch 470.

ага, один 2500$ второй 1500$

боюсь что мне придётся поискать чтото другое -)

vIv

vIv

Posted
Posted

GM 180 баков за абсолютно новый свитч, но noname, но работающий, - за 16 портов - намана? ;-)

 

Скоро привезём в Россию, просто чудо-машинка, и малтикаст умеет администрированно доставлять абонентам, без иска для секурности

vIv

vIv

Posted
Posted

Multiple Hosts/Multiple Authentication - more than one user

with unique MAC addresses are allowed access to a port

upon successful authentication

---

 

Кстати, в доке так и не нашёл, а reauthentification по таймеру 460-е умеют? Если нет, то дырка-с...

Nag

Nag

Posted
Posted
Ну BPS2000 даже б/у и то 500-600 баков "серый"

Белый новый - "малость будет подороже"

 

Во-первых, BPS2000 белый, хоть и б.у. ;-)

Могу дать номер ГТД кто не верит.

Во-вторых, 350 в розницу, а по опту или проектам надо говорить. ;-)

vIv

vIv

Posted
Posted

Nag: да-дад! Я всё прекрасно понимаю! :-) А куда _тут_ на гарантию?

НР вот то, что продано не в РФ, принципиально в гарантию не примет и на вопросы отвечать откажется

 

И что делать, если надо, скажем, 54 таких? Одинаковых?

Nag

Nag

Posted
Posted
Nag: да-дад! Я всё прекрасно понимаю! :-) А куда _тут_ на гарантию?

НР вот то, что продано не в РФ, принципиально в гарантию не примет и на вопросы отвечать откажется

 

И что делать, если надо, скажем, 54 таких? Одинаковых?

 

Я даю гарантию 3 месяца штатно, и далее по 10% к цене в год.

А что?

Если надо 54 штуки - велкам. У меня их сейчас по складу (Екатеринбург) ... 204 штуки. В чем проблема? ;-)

Прохожий

Прохожий

Posted
Posted
vIv, Испугалссси? Вот так Павел рынок и валит... Это еще он до Москвы не добрался, вот дотянет туда свои шупальцы, и кирдык московским интеграторам. Будет Связьинвесту вагонами BPS2K продавать :)))))))))))))

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.