PPPoE+RADIUS: несанкционированный доступ.

[Buxpb]

Использование PPPoE для подключений физ. лиц в настоящее время стало одним из стандартов дефакто для сетей доступа Ethernet.

Я намерен внедрить в распределительной сети решение на базе netup utm: PPPoE+RADIUS с выдачей IP-адреса через radius-атрибут, снятие статистики по нетфлову и управление доступом к сети на основе dynamic ACL (NAS, конечно, Cisco). Покрутил так и сяк и не увидел очевидных способов несанкционированного доступа.

Поэтому такая просьба к тем, кто с таким решением работает/работал, подскажите, как злоумышленник может получить несакционированный доступ к ресурсам подобной сети?

Готовые механизмы меня не интересуют, достаточно пары слов об алгоритме такого рода атаки.

[rs]

Самый главный недостаток при авторизации только логин/паролем то что у абонента он может уйти на сторону. Решается проблема пппое релеем на железке уровня доступа(если умеет) которая отдает BRASу информацию с какого порта пришел запрос.

[Buxpb]

В таком случае пользователь, получается, нарушил договор о предоставлении услуг. Потому как разгласил сведения. Ведь просто заснифить аутентификационные данные не получится?

 

Отдавал бы радиусу данные порта, да на доступ встанут мыльницы :(

[sirmax]

в Calling-Station-ID что попадает?

[Buxpb]

этот атрибут при pppoe не отсылается биллингу сейчас

как я понимаю, мак привязывается к порту и логину одновременно, чтобы запретить выход под логином пользователя с другого порта?

Edited July 4, 2007 by Buxpb

[rs]

К макам лучше сразу не привязываться. Когда абонентов перевалит за тысячу это превратится в настоящий кошмар(двойные маки, подмена их абонентами и пр.). Или PPPoE, PPtP или DHCP(opt82) + NAT (здесь опять умная железка нужна).

[Buxpb]

Зато с точки зрения стоимости активного оборудования, вариант PPPoE + MAC самый недорогой, можно использовать неуправляемые коммутаторы. В качестве конкурентной фишки можно, конечно, разрешить аутентификацию с любого порта на сети любым логином, но это не очень интересно.