А можно про 802.11x похвастаюсь?

[LostSoul]

Сделал тему, которую давно собирался.

 

Наконец дошли руки проверить что работает на практике.

 

Квартира, локалка, дешевый неуправляемый свитч, линукс-роутер.

 

Несколько компов с Windows XP в квартире.

 

Берем стандартно настроенный комп с Windows XP, втыкаем в свитч ( ну или загружаем ).

Доступа к интернету нету, закрыт.

 

В области оповещений около значка сетевой карты появляется приглашение ввести логин-пароль.

 

Вводим логин-пароль ( как при WiFi-сети ) и роутер открывает Internet для нашего MAC.

 

А в радиус падает сессия:)

 

Fri Aug 10 21:57:39 2007

Acct-Session-Id = "46BCA6F4-00000000"

Acct-Status-Type = Start

Acct-Authentic = RADIUS

User-Name = "axxx"

NAS-IP-Address = 127.0.0.1

NAS-Port = 0

Called-Station-Id = "00-E0-4C-E0-40-C5:"

Calling-Station-Id = "00-50-22-8A-16-8C"

Connect-Info = "CONNECT 0Mbps 802.11"

Client-IP-Address = 127.0.0.1

Acct-Unique-Session-Id = "d89f9f209283c919"

Timestamp = 1186768659

 

Отрубаем комп более чем на 30 секунд -- и наш MAC протухает на роутере, доступ закрывается.

 

Красота... один минус -- можно на дублированном маке сидеть.

 

Жуть как не люблю VPN-ы всякие.

[SmalleR]

И чем тут хвастать? :D

 

Это вариант должен быть дополнительным элементом условного доступа в сети, а не заменой VPN или другим "нелюбимым" вариантам!

[LostSoul]

И чем тут хвастать? :D

 

Это вариант должен быть дополнительным элементом условного доступа в сети, а не заменой VPN или другим "нелюбимым" вариантам!

 

А по моему , при достаточно малых сегментах ( ну скажем 1 дом 1 сегмент ) это вполне достаточная мера чтоб обходиться без всяких VPN.

[Kirya]

Прверь чтоб доступ именно маку открывался, а не целому порту. Для личного пользования конечно разницы нет, но вот в условиях домосети...

[LostSoul]

Прверь чтоб доступ именно маку открывался, а не целому порту. Для личного пользования конечно разницы нет, но вот в условиях домосети...

как он может открыватся порту если скрипт дергающий через sudo iptables я сам написал)

[Kirya]

Прверь чтоб доступ именно маку открывался, а не целому порту. Для личного пользования конечно разницы нет, но вот в условиях домосети...

как он может открыватся порту если скрипт дергающий через sudo iptables я сам написал)

Упс, не заметил. :) Edited August 11, 2007 by Kirya

[LostSoul]

Упс, не заметил. :)

Я просто давно предлагал это теоретически ( сетям использующим привязку по MAC-IP перейти на такой механизм. ).

 

А тут наконец лично сам доказал что это работает на практике.

[~AsmodeuS~]

н да

 

ABillS это уже 2 года как предлагает

[LostSoul]

н да

 

ABillS это уже 2 года как предлагает

На неуправляемых мыльницах и с настройками винды по умолчанию? это что-то новое.....

 

P.S. Я это предлагал гораздо раньше, чем 2 года назад :)

Edited August 11, 2007 by LostSoul

[martin74]

хм... а в какую хоть сторону копать насчет аутентификатора? ;)

[LostSoul]

хм... а в какую хоть сторону копать насчет аутентификатора? ;)

http://hostap.epitest.fi/hostapd/

[martin74]

а без wifi не бывает?

[LostSoul]

а без wifi не бывает?

 

Так у меня без WiFi. Типа устройства wired.

[nuclearcat]

Кстати да, я у себя тестил - действительно по wired работает

[vpnet]

Умница, а вот по конкретнее можно, конфиг коммутатора например:) ??

[Барий]

Не совсем понятно...

 

Как сервер определит включение (появление компа) в сети? После этого сервер должен принудительно запросить авторизацию у клиента. Или приглашение появляется только тогда, когда юзер чего-то там тыкнет и это что-то начнет ломиться наружу через роутер?

[LostSoul]

Не совсем понятно...

 

Как сервер определит включение (появление компа) в сети? После этого сервер должен принудительно запросить авторизацию у клиента. Или приглашение появляется только тогда, когда юзер чего-то там тыкнет и это что-то начнет ломиться наружу через роутер?

В моей конфигурации он ничего не определяет, а просто тупо рассылает по сети броадкаст каждые 5 секунд с предложением авторизироваться.

 

Согласен, недоработка.

 

Легко можно сделать и перехват dhcp-запроса к примеру.

Поймали dhcp-запрос -- провели авторизацию, по её итогам - ответили dhcp-ответ.

 

А при жесткой настройке компьютер шлёт ARP-запрос , чтоб убедится в отсутствии конфликтов адресов.

Можно его отлавливать и слать запрос на авторизацию.

 

Сам интерфейс проще некуда

echo "new_sta $MAC" | hostapd_cli

 

и клиенту уже направляются запросы

 

P.S. В винде авторизация проходит как системный сервис, даже если клиент не логинился в систему.

( при наличии авторизации ключем )

Edited August 15, 2007 by LostSoul

[Барий]

С виндой все понятно, впн... - имхо проще создать подключение, при необходимости ввести логин/пароль и готово, а вот для однозначной идентификации узла в неуправляемом Ethernet (в отличии от классической привязки MAC/IP) есть смысл пораскинуть мозгами.

Я давно рассматриваю реализацию 802.1х в L2NG, есть конечно свои ньюансы в сетях на "мыльницах", но вывести на более высокий уровень "пионернеты", думаю, можно. "Защитой от дурака", как принято тут высказываться о подобных продуктах, это назвать уже будет сложно.

[LostSoul]

Я для себя ещё в далёкие 90-е годы сформулировал требования к технически-идеальной провайдерской Ethernet-сети

( то есть идеальной не с бизнес точки зрения, а с технической )

 

1) Никаких навязанных клиенту в обязательном порядке программ ( авторизовалок и.т.п.

2) Услуги должны работать в положении по умолчанию.

3) Если пункт 2 невозможен совсем никак, то нужно обеспечить автоматическое появление перед глазами у клиента БОЛЬШОЙ КНОПКИ -- чтоб нажал и заработало.

 

Соблюдение этих правил снимает 90% работы технической поддержки и позволяет экономить много денег на зарплате саппортов, так как там где при обычном подходе нужно 3-4 человека - легко справится один.

 

Как было сделано у меня в сети во время доминирования Windows-98

 

1) MAC и Netbios-имя компьютера и клиента в базе биллинга.

( то есть netbios имя компьютера и netbios имя пользователя )

2) Пользователю по dhcp выдаётся адрес WINS-сервера

3) Регистрация имен в WINS требует NTLM авторизации.

4) Доступ в Internet открывается для IP/MAC адреса, только после регистрации верного netbios-имени и пароля в WINS.

 

Что получалось в результате:

-Человек переставлял себе голый Windows 98

-В процессе инсталяции просто вводил ПРАВИЛЬНЫЕ

-Имя компьютера

-Имя пользователя

-Пароль пользователя

-ВСЁ РАБОТАЛО РАЗ И НАВСЕГДА

 

При этом доступ был надёжно защищен, так как через 20 секунд после отключения компьютера абонента, обновление имен в WINS прекращалось и доступ к услугам блокировался.

 

Сейчас, во время доминирования XP/Висты -- 802.11X то что нужно, чтобы сделать сделать всё по аналогии.

 

VPN -- очень неудобная технология.

Недостатки:

-Нужно вести распределение учёт локальных/VPN-адресов.

-Производительности не хватает, поэтому начинают локальный трафик и локальные ресурсы гонять без VPN.

-Для этого начинают применять всякие извращённые способы "прописывания локальных машрутов клиентам"

-Потом между сетями появляется пирринг ( по крайней мере в Москве ) и геморой возрастает в геометрической прогрессии.

( с прописыванием кучи чужих маршрутов которые надо гонять мимо VPN-туннеля )

 

-VPN без шифрования тоже потенциально уязвим для перехвата сессии, а с шифрованием жутко дорого

 

По моему убеждению -- те кто использует VPN для предоставления Internet домашним End-юзерам -- просто расписыватся в собственной беспомощности и неумении сделать безопасную сеть и дружественную пользователю сеть. И сами создают себе геморой.

 

В том числе с IPTV например, настойка которого усложняется наличием сетевой конфигурации с VPN ( например VLC мультикаст начинает на VPN-интерфейсе слушать)

 

 

Клиент должен получать Plug And Play порт и не парится с настройками.

 

VPN -- зло.

[nuclearcat]

В условиях неуправляемого железа - VPN (PPTP, PPPoE) единственный приемлимый вариант. Близкий к идеальному - с сертификатами SSL. Инсталлер с большой зеленой кнопкой для такого инета в принципе сделать можно.

802.1x в неуправляемой сети - не более чем игрушка. Такая же, как и сделать авторизацию по HotSpot подобию, т.е. первая страничка всегда будет формочка с логином-паролем.

 

Совершенный вариант - апгрейдить сеть на хотя бы частично, на управляемое железо.

[nuclearcat]

И еще - EAP MD5 можно забыть. Например с Vista - PnP не получится, там EAP-MD5 Deprecated и отключен.

EAP-TLS - это гемморой.

[kuru]

to LostSoul:

Что будет, если будет двойник с таким же маком?

Что будет, если пропишу тот же ip (но другой mac), что и у легального клиента?

Ничего не будет работать?

 

i.e. любой пи№"; может заDoSить легального клиента и данную схему AA.

Кому нужен этот пионер.нет?

Edited August 15, 2007 by kuru

[LostSoul]

В условиях неуправляемого железа - VPN (PPTP, PPPoE) единственный приемлимый вариант. Близкий к идеальному - с сертификатами SSL. Инсталлер с большой зеленой кнопкой для такого инета в принципе сделать можно.

802.1x в неуправляемой сети - не более чем игрушка. Такая же, как и сделать авторизацию по HotSpot подобию, т.е. первая страничка всегда будет формочка с логином-паролем.

 

Совершенный вариант - апгрейдить сеть на хотя бы частично, на управляемое железо.

Ещё раз -- я утверждаю, что в неуправлямой сети для конечного домашнего абонента с ARPU в 15$,

гораздо лучше 802.X11 , чем VPN.

Потому что проще, удобнее и существенно сокращает расходы на поддержку.

А уж отловить 1-2 хакеров которые освоят технологию закачек с использованием подстановки чужого MAC/IP одновременно с авторизовавшимся абонентом -- не так сложно. Убытки от таких 1-2 хакеров явно не стоят гемороя по поддержке кривых VPN-решений.

( а для раздачи интернет End-юзеру они кривые по определению )

 

Уточняю чтоб было понятно -- "не кривое" VPN решение -- это когда клиенту ставится роутер, обслуживаемый провайдером. И он сам своими силами этот VPN на роутере настраивает и поддерживает, а клиент получает на выходе порт Ethernet с DHCP , и как там внутри роутера чего настроено его не интересует.

Но вариант экономически целесообразен только для юридических лиц.

 

 

И еще - EAP MD5 можно забыть. Например с Vista - PnP не получится, там EAP-MD5 Deprecated и отключен.

EAP-TLS - это гемморой.

Мне думается это ты про WiFi говоришь. Это в XP так. EAP-MD5 только для wired подключений.

 

И у меня был геморой как раз именно с EAP MD5 - 4 часа трахался, а EAP-TLS и с ключами заработали влёт.

 

Никаких проблем нет -- отказывается клиент по MD5 авторизоватся, ему подсовывается следующий вариант протокола, на автомате.

 

Я в данном случае за вариант TLS-сертификата, установленного в систему.

 

Когда клиент без сертификата ломится -- выводить ему интернет-страничку, мол введите номер договора и секретный пароль.

Вводит -- прям с странички сертификат даёт скачать свежесгенерированный. 3 клика мышкой и вопрос с доступом НАДЁЖНО решен до следующей перестановки винды. причем сразу под любым юзером и ЖЕЛЕЗОБЕТОННО.

Edited August 16, 2007 by LostSoul

[LostSoul]

to LostSoul:

Что будет, если будет двойник с таким же маком?

Если будет двойник с таким-же MAC и IP , то ситуация зависит от модели конкретного активного оборудования в сети.

На большинстве современных дешевых неуправляемых свитчей -- у обоих абонентов ( добропорядочного и хакера ) возникнут проблемы с доступом, "кто первый встал того и тапки". То есть входящие пакеты всех соединений будут направлятся в тот порт, откуда был последний исходящий пакет.

 

Вывод -- или хакер нифига не получит, или добропорядочный клиент станет материть поддержку.

( лично пробовал неоднократно пытатся сидеть по такой схеме -- с чужим IP/MAC )

 

Ну и характерные признаки легко можно отлавливать snort-ом на маршрутизаторе. ( массовые нарушения синхронизации соединений TCP, ответы TCP-RST по разрушению соединений, которые компьютер-жертва не открывал и.т.п. )

 

 

Что будет, если пропишу тот же ip (но другой mac), что и у легального клиента?

Ничего не будет работать?

Будет выдавать конфликт IP-адресов с легальным клиентом. При более изощренных попытках, можно наладить связь с другими пользователями в сегменте подставляя данный IP. Но Internet и прочих авторизуемых сервисов вы не получите, смысл какой.

 

 

i.e. любой пи№"; может заDoSить легального клиента и данную схему AA.

Кому нужен этот пионер.нет?

А в сети где используется VPN по вашему задача любого пифагора чем-то осложнена?

 

Наоборот в сети с VPN и отсутствием авторизации MAC можно легко задосить абонента, просто взяв его IP. И никакого VPN он уже не получит.

В моей схеме Internet в любом случае заDOS-ить не получится. роутер не сбить с толку, но чётко видит кто истинный ариец.

 

 

 

Да я тут в одной сети c VPN видел как из-за неграмотно ( психологически ) составленной памяти абонентам народ регулярно путал адрес шлюза и свой IP. Результат представляете?:)))

 

От DDOS и прочих радостей жизни есть другие технологии защиты. Даже в сети на неуправляемых свитчах.

Хотя конечно лучшим средством является максимальное сегментирование сети более-менее управляемым железом, в идеале вплоть до абонентского порта.

 

Пионернет -- он в головах. А не в VPN-технологиях.

VPN - зло. Прибежище слабых.

Edited August 16, 2007 by LostSoul

[Мика]

LostSoul рулишь!

Научи! :)