Jump to content

Авторизация в сетях.

kid79
 Share

Recommended Posts

kid79

kid79

Posted
Posted

Добрый день всем участникам. Возникла проблема. Есть сеть с количеством клиентов порядка 1000 абонентов. Часть абонентов сидит на оптике, часть на adsl. В последнее время возникли проблемы связанные с подменой ip адресов и соответственно люди воруют у других абонентов трафик. Хочу попросить совете основанное на софтварном решении. Использем для шлюзования сервера под Debian etch. Что нужно. нужен сервер авторизации клиентов, чтоб без ввода логин-пароль доступа в сеть не было вообще.

Ivan Rostovikov

Ivan Rostovikov

Posted
Posted

Смысл, в том, что существующую сеть Вы используете как транспортную для пакетов PPP, этот сеансовый протокол позволит использовать авторизацию в начале каждого сеанса связи.

2 варианта:

PPP поверх IP. (PPTP)

PPP поверх Ethernet (PPPoE)

 

В первом случае изменения минимальны. Но остается проблема с локальным трафиком.

В втором все в Ваших руках. И локальный тоже. Немного сложнее, геморройнее и дороже.

EvilShadow

EvilShadow

Posted
Posted

Вовсе не обязательно пускать через пппое весь трафик. Если локальный трафик не тарифицируется, то гонять его через пппое, имхо, нет смысла.

v-m-k

v-m-k

Posted
Posted
Вовсе не обязательно пускать через пппое весь трафик. Если локальный трафик не тарифицируется, то гонять его через пппое, имхо, нет смысла.

Если нужна гибкая фильтрация, на оборудовании с изоляцией портов. То почему бы и локальный не погонять?

EvilShadow

EvilShadow

Posted
Posted

Вовсе не обязательно пускать через пппое весь трафик. Если локальный трафик не тарифицируется, то гонять его через пппое, имхо, нет смысла.

Если нужна гибкая фильтрация, на оборудовании с изоляцией портов. То почему бы и локальный не погонять?

Потому что вопрос был
Хочу попросить совете основанное на софтварном решении. Использем для шлюзования сервера под Debian etch. Что нужно. нужен сервер авторизации клиентов, чтоб без ввода логин-пароль доступа в сеть не было вообще.
Если есть что-то серьезнее мыльниц, то можно и 802.1х использовать. Но это уже скорее вопрос политики провайдера.
jktu

jktu

Posted
Posted

После ввода тунелирования они начнуть тырить друг у друга логины/пароли. :)

Самый нормальный вариант это каждому клиенту - по управляемому порту.

А для бюджетных решений, я например, использую клиент/серверную авторизацию, причем клиентская часть жестко привязанна к железу машины клиента (в зависимости от железа генерится ключ шифрования), и даже зная его логин/пасс злоумышленник не сможет им воспользоваться.

shaper

shaper

Posted
Posted

1. Тырить будут , но это уже не проблема провайдера - пропишите в договоре.

2. нормальный, но по цене кусается и для управления квалифицированный персонал нужен, особенно,если сеть большая и оборудование разнородное

jktu

jktu

Posted
Posted
1. Тырить будут , но это уже не проблема провайдера - пропишите в договоре.
ИМХО, любая проблема клиента при потреблении услуги это проблема провайдера данной услуги.

Проще предотвратить 1 раз чем натыкаться периодически на невменяшек. "я не я, и трафика не моя" ;)

2. нормальный, но по цене кусается и для управления квалифицированный персонал нужен, особенно,если сеть большая и оборудование разнородное
В конечном итоге любую задачу можно и нужно свести к #!/usr/bin/perl ;)

как правило, при соотношении полезного кода и кода защиты от дурака в пропорции примерно 1 к 10 соответственно, нормально сетью могут начать управлять даже австралопитеки. :)))

Grey

Grey

Posted
Posted (edited)
ИМХО, любая проблема клиента при потреблении услуги это проблема провайдера данной услуги.

Проще предотвратить 1 раз чем натыкаться периодически на невменяшек. "я не я, и трафика не моя" ;)

Никогда не сталкивались с такими клиентами, которые даже с привязкой MAC, IP, паспорта ( :) ) всё равно говорят "я не я, и трафика не моя"?

А ещё бывают такие кто говорит что "я ничего не трогал" а на машине всё загажено вирусами и при всём желании не получишь нужного трафика, зато вообще трафика наливается не меряно!

Какие ещё решения применяете в таких случаях?

 

У нас бывает достаточным показать в живую что за трафик прёт клиенту, так скать носом ткнуть. Как правило сразу наступает просветление у клиента :)

 

P.S. имхо если клиенту передаётся логин, пароль, номер чего-либо - отвечать за сохранность и конфеденциальность этого добра дело самого клиента. Когда у вас крадут автомобиль, виноват однозначно продавец автомобиля?

Edited by Grey
desperado

desperado

Posted
Posted
Проще предотвратить 1 раз чем натыкаться периодически на невменяшек. "я не я, и трафика не моя" ;)
предотвратить не получится. ибо "я не я, и трафика не моя" в 90% случаев говорят те, кто этот трафик потреблял.

ситуация из жизни.

- так вот же вы вчера 10 гигов порнухи накачали!

- я не качал, я только смотрел, это не считается!

 

да и вообще, можно украсть не только пароль но и подрубиться к чужому порту.... да и вообще щас в москве например самый крупный провайдер по вай-фай - это "Ламер-Телеком. Купил-поставил-парольнеменял.".

user_anonymous

user_anonymous

Posted
Posted

Проще предотвратить 1 раз чем натыкаться периодически на невменяшек. "я не я, и трафика не моя" ;)

предотвратить не получится. ибо "я не я, и трафика не моя" в 90% случаев говорят те, кто этот трафик потреблял.

ситуация из жизни.

- так вот же вы вчера 10 гигов порнухи накачали!

- я не качал, я только смотрел, это не считается!

 

да и вообще, можно украсть не только пароль но и подрубиться к чужому порту.... да и вообще щас в москве например самый крупный провайдер по вай-фай - это "Ламер-Телеком. Купил-поставил-парольнеменял.".

Поэтому предоплата рулит :)
shaper

shaper

Posted
Posted

А мне интересно, как автор поста хочет авторизовать пользователей с помощью ПО, не вводя логина и пароля? Какой метод идентификации применять?

puh

puh

Posted
Posted

А мне интересно, как автор поста хочет авторизовать пользователей с помощью ПО, не вводя логина и пароля? Какой метод идентификации применять?

по порту?

BETEPAH

BETEPAH

Posted
Posted

он не сказал, какое оборудование, но подозреваю, что мыльницы, иначе такой вопрос не возник бы

 

как автор поста хочет авторизовать пользователей с помощью ПО, не вводя логина и пароля?
имелось ввиду, что если не ввести логин-пароль, то и сети не будет
  • 3 weeks later...
piramidarub

piramidarub

Posted
Posted

Я на пример использую TMeter с собственной авторизацией которая хешируется MD5 у меня тоже были проблемы с подменой IP и MAC юзерами.... но теперь все в порядке

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.