mefer Posted March 30, 2020 Posted March 30, 2020 С ростом количества оборудования возник острый вопрос по авторизации администраторов на оборудовании. Есть оборудование Mikrotik, Eltex и прочие Есть ли какой то софт для централизованной авторизации администраторов на оборудовании чрез радиус кроме freeipa? Вставить ник Quote
VolanD666 Posted March 31, 2020 Posted March 31, 2020 13 часов назад, mefer сказал: С ростом количества оборудования возник острый вопрос по авторизации администраторов на оборудовании. Есть оборудование Mikrotik, Eltex и прочие Есть ли какой то софт для централизованной авторизации администраторов на оборудовании чрез радиус кроме freeipa? FreeRadius? Вставить ник Quote
Ivan_83 Posted March 31, 2020 Posted March 31, 2020 Тоже делал на фрирадиус, правда до продакшена не дошло, по не техническим причинам. http://www.netlab.linkpc.net/download/software/FreeRadius/radius_acc/ тут конфиги как минимум начальные. Вставить ник Quote
Saab95 Posted March 31, 2020 Posted March 31, 2020 17 часов назад, mefer сказал: Есть оборудование Mikrotik, Eltex и прочие Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя. То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно. Вставить ник Quote
NiTr0 Posted March 31, 2020 Posted March 31, 2020 Только что, Saab95 сказал: То же самое и других устройств. у "других устройств" все таки более-менее стандартизированно. ну а то что у некротиков в зависимости от версии и веществ, употребляемых говнокодерами, все работает совершенно по-разному и несовместимо друг с другом - так это уже классика... Вставить ник Quote
Saab95 Posted March 31, 2020 Posted March 31, 2020 7 минут назад, NiTr0 сказал: работает совершенно по-разному и несовместимо друг с другом - так это уже классика... Они изменили для повышения безопасности, вся авторизация через радиус теперь идет в зашифрованном виде. В отличии от дырявых остальных производителей. Вставить ник Quote
alibek Posted March 31, 2020 Posted March 31, 2020 11 минут назад, Saab95 сказал: В отличии от дырявых остальных производителей. Ну да, у дырявых производителей просто используются устаревшие технологии, вроде management vlan или следования стандартам. Но если под оборудованием подразумеваются коммутаторы, то я бы скорее смотрел на TACACS+, там обычно поддержка лучше и шире. Вставить ник Quote
hsvt Posted March 31, 2020 Posted March 31, 2020 4 часа назад, Ivan_83 сказал: Тоже делал на фрирадиус, правда до продакшена не дошло, по не техническим причинам. http://www.netlab.linkpc.net/download/software/FreeRadius/radius_acc/ тут конфиги как минимум начальные. А какие модули можно безопасно отключить которые автоматически идут в стандартной поставке с Freeradius если используется пока что обычный файл users ? mods-enabled/ lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 always -> ../mods-available/always lrwxrwxrwx 1 root radiusd 29 Aug 26 2019 attr_filter -> ../mods-available/attr_filter lrwxrwxrwx 1 root radiusd 27 Aug 26 2019 cache_eap -> ../mods-available/cache_eap lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 chap -> ../mods-available/chap lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 date -> ../mods-available/date lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 detail -> ../mods-available/detail lrwxrwxrwx 1 root radiusd 28 Aug 26 2019 detail.log -> ../mods-available/detail.log lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 digest -> ../mods-available/digest lrwxrwxrwx 1 root radiusd 33 Aug 26 2019 dynamic_clients -> ../mods-available/dynamic_clients lrwxrwxrwx 1 root radiusd 21 Aug 26 2019 eap -> ../mods-available/eap lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 echo -> ../mods-available/echo lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 exec -> ../mods-available/exec lrwxrwxrwx 1 root radiusd 28 Aug 26 2019 expiration -> ../mods-available/expiration lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 expr -> ../mods-available/expr lrwxrwxrwx 1 root radiusd 23 Aug 26 2019 files -> ../mods-available/files lrwxrwxrwx 1 root radiusd 25 Aug 26 2019 linelog -> ../mods-available/linelog lrwxrwxrwx 1 root radiusd 27 Aug 26 2019 logintime -> ../mods-available/logintime lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 mschap -> ../mods-available/mschap lrwxrwxrwx 1 root radiusd 27 Aug 26 2019 ntlm_auth -> ../mods-available/ntlm_auth lrwxrwxrwx 1 root radiusd 21 Aug 26 2019 pap -> ../mods-available/pap lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 passwd -> ../mods-available/passwd lrwxrwxrwx 1 root radiusd 28 Aug 26 2019 preprocess -> ../mods-available/preprocess lrwxrwxrwx 1 root radiusd 25 Aug 26 2019 radutmp -> ../mods-available/radutmp lrwxrwxrwx 1 root radiusd 23 Aug 26 2019 realm -> ../mods-available/realm lrwxrwxrwx 1 root radiusd 27 Aug 26 2019 replicate -> ../mods-available/replicate lrwxrwxrwx 1 root radiusd 21 Aug 26 2019 soh -> ../mods-available/soh lrwxrwxrwx 1 root radiusd 26 Aug 26 2019 sradutmp -> ../mods-available/sradutmp lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 unix -> ../mods-available/unix lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 unpack -> ../mods-available/unpack lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 utf8 -> ../mods-available/utf8 Вставить ник Quote
Ivan_83 Posted March 31, 2020 Posted March 31, 2020 11 часов назад, Saab95 сказал: Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя. То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно. Как минимум в конфиге можно три разных инстанса сделать, но вообще то там логика описывается на том же анленг и её можно менять легко. 11 часов назад, Saab95 сказал: Они изменили для повышения безопасности, вся авторизация через радиус теперь идет в зашифрованном виде. В отличии от дырявых остальных производителей. Ссылка на рфк будет или опять какой то костыль? И покажите как вы взломали hmac-md5 на общем секрете, так чтобы остальных производителей сделать несекурными. 7 часов назад, hsvt сказал: А какие модули можно безопасно отключить которые автоматически идут в стандартной поставке с Freeradius если используется пока что обычный файл users ? Я уже не помню. Кажется там и так всё отключено кроме необходимого. Ну или отключить всё и возвращать пока ошибки не уйдут :) Вставить ник Quote
NiTr0 Posted April 1, 2020 Posted April 1, 2020 9 часов назад, Ivan_83 сказал: Ссылка на рфк будет или опять какой то костыль? ну а как иначе? нужно сначала героически изобретать ни с чем не совместимые костыли, потом - героически страдать от того, что костыли не стандартизированы и от версии к версии меняются, постоянно что-то ломая. Вставить ник Quote
jffulcrum Posted April 1, 2020 Posted April 1, 2020 16 часов назад, Ivan_83 сказал: Ссылка на рфк будет или опять какой то костыль? https://tools.ietf.org/html/rfc6614 если речь о RadSec Вставить ник Quote
Ivan_83 Posted April 1, 2020 Posted April 1, 2020 1 час назад, jffulcrum сказал: https://tools.ietf.org/html/rfc6614 если речь о RadSec Это да, но смысла в этом нет даже когда приватного влана для этого нет: никто не показал взлом hmac-md5 Вставить ник Quote
mefer Posted April 26, 2020 Author Posted April 26, 2020 В 31.03.2020 в 13:54, Saab95 сказал: Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя. То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно. В нашем случае в первую очередь это авторизация админов на олтах Eltex, BDcom, на оборудовании микротик 6.ххх Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает. Вставить ник Quote
LostSoul Posted April 27, 2020 Posted April 27, 2020 а что вы будете делать в случае компрометации своего радиус сервера? :-) Вставить ник Quote
VolanD666 Posted April 27, 2020 Posted April 27, 2020 8 часов назад, mefer сказал: В нашем случае в первую очередь это авторизация админов на олтах Eltex, BDcom, на оборудовании микротик 6.ххх Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает. А в чем проблемы с оперативностью смены? Прикрутите вебку к этому и вперед. Вставить ник Quote
NiTr0 Posted April 27, 2020 Posted April 27, 2020 2 часа назад, LostSoul сказал: а что вы будете делать в случае компрометации своего радиус сервера? :-) сменить пароли админов - делов-то. а потом - сменить радиус secret на железках для спокойствия. а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :) Вставить ник Quote
LostSoul Posted April 27, 2020 Posted April 27, 2020 2 минуты назад, NiTr0 сказал: а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :) у нас нету одинакового админ пароля к всем железкам. и нету такого единого сервера, взлом которого позволил бы получить доступ к всем остальным и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром ) или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory? Вставить ник Quote
NiTr0 Posted April 27, 2020 Posted April 27, 2020 14 минут назад, LostSoul сказал: у нас нету одинакового админ пароля к всем железкам. ок, уволился админ. с жопой в мыле по 100500 железкам менять пароли? :) Вставить ник Quote
mefer Posted April 27, 2020 Author Posted April 27, 2020 23 минуты назад, LostSoul сказал: у нас нету одинакового админ пароля к всем железкам. и нету такого единого сервера, взлом которого позволил бы получить доступ к всем остальным и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром ) или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory? Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю. Вставить ник Quote
LostSoul Posted April 27, 2020 Posted April 27, 2020 36 минут назад, NiTr0 сказал: ок, уволился админ. с жопой в мыле по 100500 железкам менять пароли? :) а конфиги вы на 100500 железок тоже руками через гуй кляк-кляц что ли раскидываете? Те же скрипты что занимаются деплоем прочей конфигурации - они же и пароли сменят 27 минут назад, mefer сказал: Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю. а если по ним пешком ходить по всему глобусу , без использования транспорта, то наверняка даже 100 жизней не хватит. Я так понимаю, сами конфиги вы тоже по какому-нибудь модному TR-69 на устройства распостраняете? ну раз единственным кошерным способом хранения паролей на железку считаете вариант с централизованной базой в radius Вставить ник Quote
ichthyandr Posted April 28, 2020 Posted April 28, 2020 22 часа назад, NiTr0 сказал: сменить пароли админов - делов-то. а потом - сменить радиус secret на железках для спокойствия. а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :) управляющий влан для этого делают, который "наружу" не выходит Вставить ник Quote
Saab95 Posted April 29, 2020 Posted April 29, 2020 В 27.04.2020 в 00:39, mefer сказал: Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает. На микротиках, например, можно иметь учетку админ, пароль от которой знает лишь один человек. Каждому админу делать свою учетку, с ограниченными правами в части заведения администраторов, но тут минус - нет возможности перезагрузить микротик. Если используется некая система управления, например дуда, то на карте можно вбивать логин/пароль, по которому радиус сервер авторизует администратора на основе его IP адреса. В 27.04.2020 в 12:46, mefer сказал: Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю. Поменять можно за 5-10 минут. Достаточно иметь список IP адресов устройств (можно получить пингом), далее зайти под старым паролем и заменить на новый, например через ssh клиента автоматически. В 28.04.2020 в 10:55, ichthyandr сказал: управляющий влан для этого делают, который "наружу" не выходит Какой еще управляющий влан, например, на маршрутизаторах? Ранее он пошел при использовании управляемых коммутаторов, что бы отделить управление от остальных данных. В первые поры L2 коммутаторы часто так и использовали, влан управления и влан абонентов, т.к. авторизация была или по маку или через PPPoE. И по мере развития редко кто делал влан на порт, потому что центр не умел так авторизовывать, вешали всякие там опции и т.п. Но сейчас держать влан управления, прокидывать его по все сети, растягивая L2 сегменты - это уже устарело. Вставить ник Quote
rz3dwy Posted April 29, 2020 Posted April 29, 2020 41 минуту назад, Saab95 сказал: Какой еще управляющий влан, например, на маршрутизаторах? На L3-устройствах либо для управления отдельный VRF, либо для оставить его в глобале, а все остальное в свои vrf. Вставить ник Quote
Ivan_83 Posted April 29, 2020 Posted April 29, 2020 В 27.04.2020 в 12:22, LostSoul сказал: и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром ) Там всегда можно зайти под юзерами в локальной базе свича. В 27.04.2020 в 12:22, LostSoul сказал: или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory? Никто ничего не кеширует, нет в этом потребности. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.