MAC Security + telnet как альтернатива VPN

[Yaten]

Вот тут сижу и ломаю голову, как уйти от vpn. не знаю почему мне это захотелось, но захотелось.

 

из истории:

-поначалу юзверей в интернет пускали (да и не только в интернет) через mac security , только это стало не актуально, т.к. мас достаточно легко подделать.

-потом стали авторизировать юзеров на маршрутизаторе через VPN+Radius

-теперь как то через VLAN делают, только как я все не пойму... да и помоему чтоб это сделать, надо чтоб юзверь смотрел на свитч поддерживающий vlan. а я "мыльницы" ставлю. жаба меня пока что давит отдавать 70-120$ за "Vlan каждому юзеру", когда мыльница 12-15$ (может кто дешевле видел?)

 

Что я запланировал:

сеть такая

 

|------------internet

юзеры---узел_сегмента---ядро---свитч_с_mac_security+telnet---платные_сервисы

|___________________| | |_____________________________________________|

| | |

локалка | "защищённая зона"

|

сервер авторизации

 

ну с локалкой думаю все понятно, тут ничего особенного. на "узле_сегмента" ставятся статические MAC и все, никто левый не выйдет в сеть (а даже если и подделают мас, то на бабки никто не попадет, в том числе и я)

 

в один из портов ядра включается сервер (который все видят), в другой порт, включается самый обычный свитч 100Мбит с MAC security.

 

Дак вот. На том порту у "свитч_с_mac_security+telnet" что смотрит в ядро, отключается автоматическое изучение MAC. удаляются все статические, если таковые имелись. Паролится telnet, а лучше всего разрешить его на конкретный ip.

 

Далее берём в руки например Delphi (под винду если) и пищем систему авторизации юзеров (логин/пароль) так же можно эту систему привязать к билингу, чтоб база с логин/пароль была единая.

 

т.е. серверная часть, на сервере, клиентская у клиента. Клиент вводит логин/пароль, и если все ОК, то сервер посылает по telnet на свитч команду, и MAC клиента прописывается в таблице, и вот счастье!! клиенту доступны платные сервисы!!!

Так же допустим раз в 5 мин. клиент должен будет послать подтверждение мол "я тут, я авторизирован". если этого подтверждения не пришло - "вали отсюда вшивый мас" и из таблицы MAC у свитча удаляется этот адрес. и никто другой не сможет вылезти в инет под чужой учетной записью.

 

Плюсы:

-скорость сохраняется 100Мбит. вместо 1-10 через маршрутизатор с VPN.

-не надо дорогостоящего оборудования. (маршрутизатор, например Cisco 3620 от 460$ + модули на 420$ и в сравнении с обычным комутатором, например Planet wgsd-1020. только вот ставить его бы я не советовал, лучше что нибудь аналогичное найти - глючный он. купил 4 шт, и все глючные)

-несколько проще чем VPN на мой взгляд.

 

Минусы:

-в этот интервал 5 мин, если юзер ушел и не отключился, злоумышленник может за эти 5 мин посадить юзера на бабки.

-нужны достаточно прямые руки чтоб написать клиент/сервер для авторизации (ну чтоб не так просто было покрячить его)

 

Жду критики! ))

 

А может я велосипед изобретаю ?

[Yaten]

просто собрался организовать такую систему. и заранее решил спросить, кто как на это смотрит и оценить актуальность.

[Kuzmich]

Клиенское приложение под Symbian писать будешь? А под China-noname коробочку-маршрутизатор?

[Yaten]

под Symbian не буду писать. если кому надо, через писюк подключат.

 

что такое China-noname ?

[GateKeeper]

Да в принципе...

 

Было дело - организовывал примерно такое же:

Сетка Highly Restricted и сетка Public. Из второй организовать доступ к первой. ВПН и прочие не захотел. Зато обнаружил всё необходимое для этого в функционале ssh + /bin/sh + sudo в поставке FreeBSD:

добавляем нужных пользователей (можно через PAM - в базу), на шелл им ставится некий скрипт (это чтоб не вырвались за пределы авторизующего sleep-скрипта), а далее:

выяснить IP, откуда подключились - в шелле выставляется соответствующая переменная,

над этим IP проделать всё необходимое (например, добавить в нужные таблицы файрвола, занести информацию в билинг и т.д., сделать отметку о входе...)

повесить скрипт на незавершение:

while true; do sleep 3600; done

всё. Пользовательский login есть, вторым скриптом можно уже по крону отстреливать завершенные сессии и прочее. В общем, в определенных случаях идея не лишена смысла.

 

PS. Для реализации этого НЕ на венде достаточно знать простейшие операторы из набора Bourne Shell и освоить через man вспомогательный софт, типа cut, sed, tail и т.д., что проще, чем извраты с дельфёй.

[Kuzmich]

под Symbian не буду писать. если кому надо, через писюк подключат.

Спасибо, не надо. Зачем мне комп покупать, если меня и мобило устраивает в качестве абонентского устройства?

 

что такое China-noname ?

Безродные аналоги DLink 604... без исходных кодов прошивок...

[UglyAdmin]

Мдя...

Каждый пионэр считает своим долгом изобретать собственный велосипед.

Начинают с моделей с колёсами разной степени угловатости: треугольными, квадратными.

[Kuzmich]

выяснить IP, откуда подключились - в шелле выставляется соответствующая переменная

Если уж пошло изобретение велосипедов, то гораздо более универсально будет сделать то-же саоме с помошью браузера. Открыть по https страничку, и релоад ее каждую минуту. В cgi-скрипте будет доступна вся необходимая информация, и ввод пароля можно сделать красивее - либо в вем-мордочке, либо через .htaccess. Заодно не придется давать юзерам потенциально опасный shell-доступ в систему, хоть и с измененным шеллом.

 

Плюс очевиден - браузеры есть под всеми интерактивными платформами... правда, China-noname всё-равно будет в пролёте.

[zyxman]

Yaten, VLAN и вообще управляемые свитчи используют не только для запрета доступа вообще, а еще и для более точного контроля загрузки сети и для ускорения/упрощения поиска и решения проблем.

конечно, если у вас "сеть друзей", то там все вопросы решаются общественным порицанием, собственно как и в сетях предприятий.

но в таком случае вы уверены что эта тема будет еще кому-то интересна на данном форуме?

[Барий]

2Yaten:

 

Это маразм чистой воды.

 

В маршрутизируемых сетях либо PPTP, либо PPPoE с релеями меджу подсетями.

 

Я не вижу разницы (с точки зрения телодвижений юзера) между кликаньем мыши по ярлыку удаленного соединения и ярлыку авторизатора. Тогда спрашивается зачем так заморачиваться.

 

Авторизатор сделать можно, с привязкой к MAC адресу, но гарантия, что это именно тот юзер, а не его сосед Вася Пупкин будет только при выполнении следующих условий:

1) Авторизировать нужно по EPROM MAC адресу, а не по программному

2) Обязательная передача логина/пароля на сервер авторизации

3) Обязательное шифрование при обмене данными с сервером авторизации, желательна собсвтенная реализация протокола авторизатора.

 

Я вообще не вижу смысла (ради чего?), но если уж очень надо, то подобный авторизатор написать можно, за $.

 

Вот и подумай, стоит ли заморачиваться с подобной авторизацией когда есть PPTP и PPPoE.

[Барий]

Мдя...

Каждый пионэр считает своим долгом изобретать собственный велосипед.

Начинают с моделей с колёсами разной степени угловатости: треугольными, квадратными.

А вы, уважаемый, сразу комсомольцем стали?

[UglyAdmin]

Слава кому-то там, сей маразм меня миновал. Всё-таки классическое математическое образование даёт себя знать. Да и в провайдинг пришел относительно поздно, после 30 лет...

Edited September 14, 2006 by UglyAdmin

[GateKeeper]

выяснить IP, откуда подключились - в шелле выставляется соответствующая переменная

Если уж пошло изобретение велосипедов, то гораздо более универсально будет сделать то-же саоме с помошью браузера. Открыть по https страничку, и релоад ее каждую минуту. В cgi-скрипте будет доступна вся необходимая информация, и ввод пароля можно сделать красивее - либо в вем-мордочке, либо через .htaccess. Заодно не придется давать юзерам потенциально опасный shell-доступ в систему, хоть и с измененным шеллом.

 

Плюс очевиден - браузеры есть под всеми интерактивными платформами... правда, China-noname всё-равно будет в пролёте.

ССХ тоже практически везде есть (греп putty -> yandex/google), пихаете свой ссх в джейл, пароли запрещаете, пользователям раздаёте SSH-key. И пароли надо вводить в таком случае вообще только локально, что даже чуть посекурнее будет. А цги-скрипту в любом случае надо повышать привилегии, так какая разница? (кстати, апач чуть потяжелее будет, чем ссхд, а в моём случае под эти извраты кажется DX4-100 - не помню уже точно - попер).

 

Да, для пианЭрав типа углиадмин - угловатость вашего лица уже понятна. Вас больше округлые формы прельщают, но для танкистов повторяю: ЭТО было не операторское решение. Это было решение частного характера, вполне устраивавшее заказчика и обеспечивавшее всё, что было необходимо, без ущерба для секурити.

[edwin]

Мдя...

Каждый пионэр считает своим долгом изобретать собственный велосипед.

Начинают с моделей с колёсами разной степени угловатости: треугольными, квадратными.

А вы, уважаемый, сразу комсомольцем стали?

Есть понятие стандартов и вменяемых решений, которые кстати реализуются не так и сложно.

Кроме того я посмотрю как Вы будете получать лицензию на такое "творение"

[Барий]

Есть понятие стандартов и вменяемых решений, которые кстати реализуются не так и сложно.

Эти "стандарты и вменяемые решения" тоже когда-то кто-то придумал. Велосипед уже изобретают не один век - и все ни как изобрести не могут. Нынешние пионеры-Кулибины в скором времени еще дадут фору старичкам-комсомольцам...

Кроме того я посмотрю как Вы будете получать лицензию на такое "творение"

А зачем она нужна? Для пионеров лицензий не надо, на то они и пионеры. Это как синдикат по продаже водки - сделал свою прибыль и, либо ушел вообще (когда запахло жареным), либо начал работать официально и открыл свой трактир, в котором паленую водку тоже наливают, но только из под полы.

А тех, кому нужны лицензии и прочие юридические прибамбасы, изобретение велосипедов попросту не интересует, у них свои Кулибины и абсолютно другие проблемы.