Sergey M. Posted June 25, 2006 Posted June 25, 2006 Существует задача закрыть несколько торговых центров своими hotspot-ами, есть свои карточки по которым продаем диалап. Хотелось бы сделать возможность по этим же карточкам пользоваться услугами wi-fi в этих торговых центрах на максимально широком количестве устройств. Биллинг свой прикрутить карты можем к чему угодно. вопрос скорей в другом.. а как обеспечить максимальную безопасность авторизации? Дабы пионер вася пупкин засев с ноутбуком не смог насобирать мешок пинкодов к картам и потом пользоавться другими услугами по этим картам? Что предложите использовать с целью и авторизацию безопасно провести и сохранить максимально возможный круг устройств. Вставить ник Quote
zander Posted June 25, 2006 Posted June 25, 2006 Сертификаты ? http://www.microsoft.com/technet/itsolutio...fi/default.mspx Вставить ник Quote
Sergey M. Posted June 26, 2006 Author Posted June 26, 2006 Таким образом отсекаются все не windows устройства - телефоны, КПК и т.д. Сертификаты ? http://www.microsoft.com/technet/itsolutio...fi/default.mspx Вставить ник Quote
zander Posted June 26, 2006 Posted June 26, 2006 Отсекаются только те, кто не поддерживает сертификаты. Очень тяжело организовать хоть как-то безопасную сеть, если туда должны коннектится всякие микроволновки. Вставить ник Quote
Sergey M. Posted June 26, 2006 Author Posted June 26, 2006 требуется только безопасность авторизации, дальнейшая судьба данных малоинтересна. Вставить ник Quote
zander Posted June 26, 2006 Posted June 26, 2006 Как раз сертификаты и спасут. Придётся жертвовать либо безопасностью, либо зоопарком подключаемых устройств. Вставить ник Quote
San Posted June 26, 2006 Posted June 26, 2006 Какое железо для хот спотов планируете использовать? Вставить ник Quote
San Posted June 26, 2006 Posted June 26, 2006 Блин, из за жары мысли путаются.... Собственно, система авторизации для хотспотов в общемировой практике стандартна.... Вам нужно какие то особые вензеля? Вставить ник Quote
Sergey M. Posted June 26, 2006 Author Posted June 26, 2006 Как раз сертификаты и спасут. Придётся жертвовать либо безопасностью, либо зоопарком подключаемых устройств. А как же быть? Нужна же массовость и простота... Вставить ник Quote
Sergey M. Posted June 26, 2006 Author Posted June 26, 2006 Какое железо для хот спотов планируете использовать?А разве есть какая-то разница? Вроде радиочасть в данном случае значения не имеет...предположительно будет линксис или длинк Вставить ник Quote
Sergey M. Posted June 26, 2006 Author Posted June 26, 2006 Блин, из за жары мысли путаются....Собственно, система авторизации для хотспотов в общемировой практике стандартна.... Вам нужно какие то особые вензеля? Просто не владею вопросом по общемировой практики авторизации на хотспотах. Если не трудно, просвятите пожайлуста. Особых вензелей мне не надо.. просто чтобы не было вороства пинкодов и все. Пока на ум приходят варианты типа WAP \WEP + тунель по PPPoE (похоже поддерживается всем зоопарком что я встречал) Вставить ник Quote
nuclearcat Posted June 26, 2006 Posted June 26, 2006 (edited) Для полной безопасности необходима проверка авторизатора, точнее его принадлежности к вашей сети. Сертификаты даже в Windows Mobile 5 работают, например WPA EAP-TLS. Длинки EAP-TLS + radius понимают, ЛинкСиськи тоже. Естественно от поддержки древних устройств прийдется отказаться. Edited June 26, 2006 by nuclearcat Вставить ник Quote
nuclearcat Posted June 26, 2006 Posted June 26, 2006 Блин, из за жары мысли путаются.... Собственно, система авторизации для хотспотов в общемировой практике стандартна.... Вам нужно какие то особые вензеля? Просто не владею вопросом по общемировой практики авторизации на хотспотах. Если не трудно, просвятите пожайлуста. Особых вензелей мне не надо.. просто чтобы не было вороства пинкодов и все. Пока на ум приходят варианты типа WAP \WEP + тунель по PPPoE (похоже поддерживается всем зоопарком что я встречал) В Windows Mobile я его так и не нашел. Вставить ник Quote
San Posted June 27, 2006 Posted June 27, 2006 Как бы ни банально это звучало я советую ставить микротик, в котором хот спот реализован так как надо. То есть при подключении абонент попадает на окно авторизации по имени и паролю. Насколько я помню авторизация идет по ssl. Сертификаты, на мой взгляд, излишни. Вставить ник Quote
zander Posted June 27, 2006 Posted June 27, 2006 Как бы ни банально это звучало я советую ставить микротик, в котором хот спот реализован так как надо. То есть при подключении абонент попадает на окно авторизации по имени и паролю. Насколько я помню авторизация идет по ssl. Сертификаты, на мой взгляд, излишни. А почему-бы васе пупкину с ноутбуком не настроить у себя АП с Вашим ссидом и предоставлять такую-же страничку, собирая при этом пасворды|пинкоды ? Там хоть ССЛ, хоть трипл-дес Вставить ник Quote
San Posted June 27, 2006 Posted June 27, 2006 Ну знаете ли начинается.... От атаки мэн ин а мидл не застрахована ни одна из систем в том числе и сертификаты... Вставить ник Quote
nuclearcat Posted June 27, 2006 Posted June 27, 2006 Ну знаете ли начинается.... От атаки мэн ин а мидл не застрахована ни одна из систем в том числе и сертификаты...Криптостойкие сертификаты - застрахованы. Расскажите мне как проломить сертификат при PEAP авторизации? Это при том, что даже в PEAPv0 пароль никак не схаваешь, ну поставит себе хакер похожий сертификат, допустим, и клиент полный лопух, и в лучшем случае получит хеш через CHAP/MSCHAP. Номер карточки(или логин-пасс) он никак не получит. SSL просто секурный способ передачи информации, вопрос авторизации он никак не решает. Вставить ник Quote
Bormoglot Posted June 27, 2006 Posted June 27, 2006 Как бы ни банально это звучало я советую ставить микротик, в котором хот спот реализован так как надо. То есть при подключении абонент попадает на окно авторизации по имени и паролю. Насколько я помню авторизация идет по ssl. Сертификаты, на мой взгляд, излишни. Можно использовать так же Chillispot(chillispot.org) + Radius + Mysql + биллинг (свой или готовый) причем это все можно засетапить на PC либо выносить сам chillispot на Wifi AP, В моем случае это Buffalo AirStation WHR-G54S с DD-WRT на борту. Вставить ник Quote
nuclearcat Posted June 27, 2006 Posted June 27, 2006 Можно использовать так же Chillispot(chillispot.org) + Radius + Mysql + биллинг (свой или готовый)причем это все можно засетапить на PC либо выносить сам chillispot на Wifi AP, В моем случае это Buffalo AirStation WHR-G54S с DD-WRT на борту. А безопасность? Вставить ник Quote
San Posted June 28, 2006 Posted June 28, 2006 Логично что SSL не более чем средство организации канала. Я сделал на нем акцент чтобы уточнить что какое то подобие тунеля при авторизации используется. Хотя, если мы все ещё говорим о сферической лошади в вакууме то давайте все таки раздельно обсуждать авторизацию и аутентификацию. Для авторизации все таки достаточно логина и пароля, а вот аутентифицировать пользователя и базу, вот это уже второй вопрос. Насколько я понимаю стандартных средств вообщем то два потому и начинаются извраты. Городить огород из криптостойких сертификатов не имеет смысла. Мы упираемся в совместимость и совместность использования этих средств. Кто его знает какая ОС у меня на буке. Работать не будет, реноме хот спота пострадает, а деньги я уже заплатил. На мой взгляд решение вопроса лежит в плоскости социальной инженерии, а не технических прибамбасах. Как таковой пароль от перехвата защитили. Надо подумать о том как клиенту аутентифицировать АР. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.