[GrandPr1de]

А я соглашусь с Sonne.Кулхацкеры как вы выражаетесь плод ваших фантазий. За несколько лет работы я их не встречал. Подмену pppoe сервера видел 1 раз. Это было случайностью. Абонент воткнул модем от стрима в нашу сеть. Подмен dhcp специально поднятых не видел ни разу, как и остальных действий кулхацкеров. Видел только колхозы за роутером. Да и те в общагах. Энтузиастов очень мало, сотые доли процента. Даже если они получат интернет нахаляву-провайдер не пострадает, а порой найдет ценных сотрудников на работу. В остальном-сессионная модель работы с dhcp это костыли. Да, их можно заставить работать, иногда хорошо, но по факту это костыль. Протокол dhcp не такой и простой на первый взгляд, особенно если рассматривать продления аренды. Да, можно накрутить костыли на каждый чих, но к бизнесу и к удобству предоставления услуги для пользователя это малоприменимо. Если конкурентов нет, или почти нет, то можно и поиграться админу. Не спорю, сам такой. Но если есть бизнес с конкуренцией - не до игр.

Кучу раз в неуправляемых сетях, видел как "очень умные люди" ставять себе точки доступа которые оказывается ещё и адреса раздают.

За месяц в среднем парочка вылезет, а проблем уже не огребешься.

Спасает только грабля, именуемая dhcdrop, которая забивает пул у таких вот роутеров, но пока юзер попал в момент, когда пул у этого дела свободный, всё становится довольно печально.

Люди часто делают такое, даже не понимая, то что попадется кулхацкер - маловероятно, а вот просто дурак, который даже инструкцию не читает - вот это беда и при том реальность.

Тут на форуме недавно тема была, человек держит дома локальный ПППоЕ сервер!!!!

Чё там, шнурок перепутал вот и фейковый пппое сервер, который будет отвечать с 691 ошибкой вашим же юзерам.

Изменено 25 сентября, 2014 пользователем GrandPr1de

[Ivan_83]

Почему попытка использовать DHCP для поднятия сессий это костыли?

Ну заюзай 802.1x у тебя же там авторизация какая то на подключение должна быть, вот уж мега интерпрайз. Только DHCP никуда не денется.

 

Что будет если у абонентов стоят свежевыданные адреса, а BRAS ребутнулся?

Тоже самое что и когда твой PPPoE/PPTP ребутнётся.

 

05-26-2014 01:44 PM

Целую вечность назад пост был.

 

Очень сильное утверждение, ссылку на стандарт приведете?

RFC внимательно прочитай а не мукулатуру вендоров.

 

За несколько лет работы я их не встречал. Подмену pppoe сервера видел 1 раз. Это было случайностью. Абонент воткнул модем от стрима в нашу сеть. Подмен dhcp специально поднятых не видел ни разу, как и остальных действий кулхацкеров.

Просто ты их не заметил, на то они и хакеры :))

 

Чё там, шнурок перепутал вот и фейковый пппое сервер, который будет отвечать с 691 ошибкой вашим же юзерам.

Когда я был абонентом ТТК в иркутске, у них коммутатор иногда превращался в хаб и я видел соседский трафик у себя на порту.

А когда у них пппое сервер лежал то все дискавери пакеты я тоже видел.

[Saab95]

Клиент - секстант(1) без бриджа, в езернет выдает адреса с дхцп этой микры, на wlan висит dhcp клиент, с другой стороны на секстанте(2) бридж wlan/lan, при передергивании lan секстанта(2), на первом клиент на wlan лизу не перезапрашивает.

ЧЯДНТ?

 

Ничего не понятно как подключено.

[GrandPr1de]

Клиент - секстант(1) без бриджа, в езернет выдает адреса с дхцп этой микры, на wlan висит dhcp клиент, с другой стороны на секстанте(2) бридж wlan/lan, при передергивании lan секстанта(2), на первом клиент на wlan лизу не перезапрашивает.

ЧЯДНТ?

 

Ничего не понятно как подключено.

 

Все тут понятно. секстант 1 - клиент, допустим в птп, работает в режиме роутера, т.е. wlan - dhcp client, ethernet - dhcp server.

секстант 2 - АП, работает бриджем.

[pppoetest]

Клиент - секстант(1) без бриджа, в езернет выдает адреса с дхцп этой микры, на wlan висит dhcp клиент, с другой стороны на секстанте(2) бридж wlan/lan, при передергивании lan секстанта(2), на первом клиент на wlan лизу не перезапрашивает.

ЧЯДНТ?

 

Ничего не понятно как подключено.

Что тут непонятного секстант 2 - езернетом подключен в коммутатор, wlan1/ether1 в бридже прозрачно пропускает трафик. Секстант 1 - клиентский по езернету подключен в хаб на котором висят клиентские компы, поднят dhcp сервер на ether1(192.168.0.1) раздает адреса 192.168.0.0/24 клиентам. На wlan1 (первого) поднят dhcp клиент, который получает адрес через wifi c дхцп сервера стоящего за коммутатором к котором подключен нумер два. При передергивании езернета на номере 2, первый не перезапрашивает адрес на wlan1, что вроде бы понятно, ибо wifi-интерфейс не лёг. Есть способ перезапрашивать адрес без нетватча?

[Negator]

Просто ты их не заметил, на то они и хакеры :))

Отличное утверждение.

Хорошо, допустим они есть. Что с того?

Вас реально задевает то, что доли процента получат интернет нахаляву?

А Ваши затраты в том числе трудозатраты на изменение схемы, отлов хакеров и прочее - куда выше.

[zi_rus]

Кулхацкеры как вы выражаетесь плод ваших фантазий. За несколько лет работы я их не встречал

есть такой термин "черный лебедь", если не ошибаюсь. этот термин означает событие, вероятность возникновения которого низка и поэтому им пренебрегают. проблема в том что, когда это маловероятное событие происходит, это несет катастрофические последствия, вплоть до банкротства крупных фирм и прочего.

 

какова вероятность что какой-то чип выйдет из строя? а два одновременно? а почему на космических кораблях по 3-4 чипа дублируют работу?

то-то же

 

Вас реально задевает то, что доли процента получат интернет нахаляву?

а почему доли? что остановит схему стать массовой и начать приносить проблемы буквально всем?

 

А Ваши затраты в том числе трудозатраты на изменение схемы, отлов хакеров и прочее - куда выше.

трудозатраты высоки когда схему меняешь. чтобы изначально выбрать правильную схему сил надо гораздо меньше и это дешевле, как минимум в перспективе

 

===================

а еще, слушать человека, у которого все работает, малополезно. гораздо эффективней пообщаться с людьми у которых проблемы возникли, чтобы самому это предусмотреть

[Saab95]

трудозатраты высоки когда схему меняешь. чтобы изначально выбрать правильную схему сил надо гораздо меньше и это дешевле, как минимум в перспективе

 

То есть когда подключаете многоквартирный дом по оптике и там никого нет, надо сразу воткнуть 48 портовый коммутатор?

 

Обычно сначала оптику тянули и ставили медик для проверки, после на него же подключали первого абонента, и уже потом устанавливали 8-10 портовый коммутатор, который в последствии заменяли, а снятое оборудование использовали для подключения новых домов или малоквартирных. Соответственно по такой схеме многие раньше работали, например с 2005 года точно. Сейчас же тоже нет смысла влезая на дом, сразу ставить многопортовый коммутатор, т.к. дешевле его потом купить и поменять, чем вбухивать деньги в оборудование, которое использоваться не будет.

[zi_rus]

вполне

в одном монопольном районе так и делают, потому что 24-х приходится по 2-3 ставить на ткд

[NiTr0]

Кулхацкеры как вы выражаетесь плод ваших фантазий. За несколько лет работы я их не встречал.

А я встречал, когда сеть была совсем неуправляемой (статика сегментированная на несколько десятков абонов). Занимаются этим в основном школьники, которым родители не оплатили интернет/которые потратили деньги на интернет на что-то другое.

 

Даже если они получат интернет нахаляву-провайдер не пострадает, а порой найдет ценных сотрудников на работу.

Неужто? Они как минимум могут создать неудобства клиентам прова. Вдруг внезапно у клиента начинает тупить видео - при том, что с его компа ничего не качается... Или рвет скайп. Или еще что.

 

остальном-сессионная модель работы с dhcp это костыли.

В чем именно костыльность? Не говоря уже о том, что сессионная модель с малым временем обрыва сессии была нужна исходя из ТЗ для беспроводной сети, в которой клиент может коннектиться к разным базам.

 

Протокол dhcp не такой и простой на первый взгляд, особенно если рассматривать продления аренды.

Куда уже проще...

 

Да, можно накрутить костыли на каждый чих, но к бизнесу и к удобству предоставления услуги для пользователя это малоприменимо.

Какие могут быть неудобства у дхцп? :)

[Sonne]

Ну вы и намудрили черные лебеди, белая горячка.

 

Давайте сравним.

 

У нас PPOE сервер сейчас поднят на каждой базе. Клиенты подключаются только при помощи CPE. Авторизация по паролю.

 

Какие уровни защиты?

 

1. Пароль на WPA ключ wifi. Знают только монтажники. Они же знают и логин/пароль абонента, т.е. это трастовый элемент.

2. Пароль на CPE. После инсталляции на роутер ставится пароль, который даже монтжник не знает.

3. CPE работает в режиме NAT

4. Лимит сессий на соединение = 1.

 

Чтобы взломать сеть пользователю нужно узнать ключ сети, влепить левый девайс. Узнать пароль абонента, догадаться включить PPOE. И для чего? Чтобы НЕ получить доступ в интернет, т.к. Радиус не даст вторую сессию. Если же сессия поднимется, то настоящий абонент позвонит в техподдержку и узнает что он уже в сети. После этого получит лекцию о вреде раздачи пароля и в течении 5 минут интернет будет включен, а злоумышленник будет полностью вычислен и нейтрализован.

 

 

А теперь посмотрим как обстоит дело с DHCP и IPOE.

Злоумышленник приходит к провайдерскому шкафу, открывает его отверткой, выдергивает любого абонента, втыкает пассивный хаб и ...

Да блин - просто перерезает любой кабель, втыкает хаб и наслаждается халявным интернетом.

 

О какой секьюрити вообще можно говорить в сети где уязвимой точкой является сопля протянутая через подъезд?

[Sonne]

Что будет если у абонентов стоят свежевыданные адреса, а BRAS ребутнулся?

Тоже самое что и когда твой PPPoE/PPTP ребутнётся.

 

Т.е. через 0...30 секунд абоненты автоматически переустановят сессию?

 

Значит так, я беру комп с WinXP или Win7 или какой нибудь TP-LINK а вы настраиваете свой брас.

Потом мы его ребутаем и смотрим как через 60 секунд, восстанавливаются все лизы.

[zi_rus]

1. В сети с физическим разделением пароль не нужен. В то время как он может утечь вместе с обиженным монтажником

2. СРЕ в проводной сети с dhcp ничем не хуже. но на самом деле ограничивает абонента дешевым шлаком что обычно ставят провайдеры. чуть более продвинутые юзеры будут искать больше свободы

3. тоже

4. все просто ограничивается одним маком с порта. а любое вмешательство в кабельную сеть обнаруживается и карается при первом обращении пострадавшего абонента (теоретически есть возможности превентивного отслеживания, до того как абонент заметил проблемы)

 

а какой секьюрите можно говорить в сети где уязвимой точкой явлется монтажник с известной текучкой кадров. и чего будет стоить смена пароля на всей сети при компрометации

[NiTr0]

1. Пароль на WPA ключ wifi. Знают только монтажники. Они же знают и логин/пароль абонента, т.е. это трастовый элемент.

2. Пароль на CPE. После инсталляции на роутер ставится пароль, который даже монтжник не знает.

Вскрывается CPE, подпаивается терминал... 1 и 2 уровни защиты успешно ликвидированы.

 

Узнать пароль абонента

Брутфорс или подсмотреть у соседа, или вообще фейковую БС поднять... А если пароли на CPE одинаковые - это вообще лафа, и попу двигать с кресла не нужно, зашел и посмотрел :)

 

догадаться включить PPOE.

Очень сложно, когда есть пароль от CPE...

 

Если же сессия поднимется, то настоящий абонент повзонит

в техподдержку и узнает что он уже в сети. После этого получит лекцию о вреде раздачи пароля и в течении 5 минут интернт будт вычислен,

а злоумышленник будет полностью вычислен и нейтрализован.

Вычислен? Как? В радиосети-то? :)

 

Злоумышленник приходит к провайдерскому шкафу, открывает его отверткой, выдергивает любого абонента, втыкает пассивный хаб и ...

Да блин - просто перерезает любой кабель, втыкает хаб и наслаждается халявным интернетом.

 

О какой секьюрите вобще можно говорить в сети где уязвимой точкой является сопля протянутая через подъезд?

По жалобе клиента приходит монтажник, обнаруживает хаб, вызывает ментов, и менты под руки тащат кулхацкера в СИЗО... А если грамотно организован мониторинг - система мониторинга рапортует о изменившейся длине кабеля на порту еще до жалобы клиента. Опять же - нагадить на другом конце города так не получится, только в своем доме.

 

А вот как обнаружить того, кто поимел доступ к беспроводной сети, админ которой глупо понадеялся на невозможность извлечения паролей из CPE?

 

Значит так, я беру комп с WinXP или Win7 или какой нибудь TP-LINK а вы настраиваете свой брас.

Потом мы его ребутаем и смотрим как через 60 секунд, восстанавливаются все лизы.

lease time в 1 минуту ставите, рефреш 15-30 секунд... В чем проблема?

[Ivan_83]

Хорошо, допустим они есть. Что с того? Вас реально задевает то, что доли процента получат интернет нахаляву?

Я просто обратил внимание на тот факт что следствие "я не видел ни одного хакера в своей" может проистекать из других фактов :)

Ситуацию когда это плохо кончается придумать не сложно: некто совершает уголовно наказуемое деяние, приходят потом к совершенно законопослушному абоненту и долго мотают нервы. Хорошо если нервами только и отделается.

 

 

Чтобы взломать сеть пользователю нужно узнать ключ сети, влепить левый девайс. Узнать пароль абонента, догадаться включить PPOE. И для чего? Чтобы НЕ получить доступ в интернет, т.к. Радиус не даст вторую сессию. Если же сессия поднимется, то настоящий абонент повзонит в техподдержку и узнает что он уже в сети.

Зачем ты позоришься?

https://tools.ietf.org/html/rfc2516 читал?

Давай я тебе почитаю.

PPPoE не проектировался как элемент безопасности сети. Использование PPPoE вообще никак не сказывается на безопасности сети.

Чтобы поиметь ВСЁ достаточно получить доступ к L2 где бегают пакеты.

Дальше можно банально смотреть пароли пользователей. Чё там у тебя? PAP/CHAP - ломается за минуты.

Что то сильнее? - сомневаюсь, но всегда можно поднять свой PPPoE сервер без этой ерунды.

 

Ну это детские шалости.

Но ведь ты совсем не думаешь и не знаешь как PPPoE работает, он у тебя почему то стал VPN с шифрованием и подписью каждого пакета.

А это не так.

Можно даже не отгадывать пароли пользователей а просто присоседится к их сессии.

Понимаешь? (как ты там писал - открыть ящик отвёрткой? тут тоже самое)

Ловим в эфире пакетик от юзера, там есть его IP, все маки и номер сессии PPPoE.

Немного колдуем в софте (мне даже кажется на нетграфе исходники трогать не придётся, просто написать конфиг скрипт), и вот мы уже имеем в своей системе интерфейс у которого мак и ип совпадает с тем что у твоего абонента. Туда же цепляем PPPoE идент сессии (обычное число). Всё.

И плевать что у тебя там на радиусе разрешено одну сессию иметь, и что у сделавшего это и юзера будут лишние пакетики прилетать, но работать это будет.

Но ведь нам то не обязательно подсаживаться только к одному юзеру, мы можем наконфигурять и сразу подсесть ко всем юзера в данном сегменте.

 

Ну и да, имея доступ к л2 сегменту, можно всех твоих юзеров отключать, достаточно идент сессии и маки подсмотреть и послать один пакетик, а ты потом ищи где чё сломалось.

[Saab95]

1. Пароль на WPA ключ wifi, логин/пароль абонента никто не знает.

2. Пароль на CPE никто не знает

3. CPE работает в режиме NAT

 

Соответственно монтажники только вешают оборудование и показывают интернет клиенту. Текучка монтажников не позволит утянуть важные данные.

[Sonne]

PPPoE не проектировался как элемент безопасности сети. Использование PPPoE вообще никак не сказывается на безопасности сети.

Чтобы поиметь ВСЁ достаточно получить доступ к L2 где бегают пакеты.

 

Не PPPOE, а PPPOE + WPA2

 

Кому нужно ломать - гораздо проще ломать WPA или WEP на клиентском WiFi.

Получив L2 в сегменте PPOE в лучшем случае поимеешь логин который можно заблокировать за 5 минут

А поимев L2 в сети c DHCP действительно можно поиметь все.

[Sonne]

lease time в 1 минуту ставите, рефреш 15-30 секунд... В чем проблема?

 

Проблема в том что нет в радио столько ресурса чтобы забивать его бродкастовой ***ней в угоду больным людям. Бродкастовый трафик CPE и DHCP будет клинить от такого флуда гарантированно. А смешнее всего, что якобы ненадежный PPPOE предлагается заменить суперсекурным DHCP, который можно сломать просто всунув роутер не тем концом.

 

Угораздило же залезть в раздел психбольницы :)

[Negator]

Хорошо, буду честным и поправлюсь.

я не видел ни одного хакера в своей - Я давно не видел ни одного хакера в своей.

используем и DHCP и PPPoE, есть студенческие общаги (а они любят развлекаться).

Защита безусловно есть, но не параноидальная, обойти можно при желании, т.к. по воле случая именно в общаге коммутаторы в общем доступны для пользователей. утянуть их не выйдет, а вот подключиться - запросто.

 

Так вот - проблем нет.

Более того - знаю как минимум 2 сети по паре тысяч абонентов в каждой в которой управляемые коммутаторы живут в одном влане с абонентами с дефолтными snmp community.

И проблем все равно нет.

Зачем? Ну зачем в Москве людям что то взламывать? Интернет и так 300-500 рублей стоит. Один раз покушать дороже выйдет.

Поверьте, никому это не нужно.

Если у Вас много хакеров подобного плана - значит цены на услугу завышены.

При стоимости интернета в 500 руб а зарплатах в 2000 руб таких хакеров может быть много, это факт.

 

Да и вообще - с хулиганством надо бороться, но не параноидальными методами.

Взять ту же классическую телефонию. Подключиться к лапше соседа и наговорить с дальними странами на многие тысячи легко и просто. Но массовых, подчеркиваю, массовых злоупотреблений этим что то не встречается.

 

По жалобе клиента приходит монтажник, обнаруживает хаб, вызывает ментов, и менты под руки тащат кулхацкера в СИЗО

Эмм, вы серьезно?

Вот нашелся хаб в щитке, провод идет в мою квартиру. Что вы мне предъявите?

да я вам даже дверь не открою. И посмотрю как вы будете объяснять ментам необходимость тащить меня в СИЗО.

Да и не поедут они и не будут этим заниматься. И не докажите вы ничего никогда окромя наличия кабеля от меня до щитка, что ненаказуемо.

Кстати - в щитке можно не только свич, а еще и домашний роутер воткнуть.

 

А если грамотно организован мониторинг - система мониторинга рапортует о изменившейся длине кабеля на порту еще до жалобы клиента.

Угу, конечно. Сделать то можно, раз плюнуть. но вот ложных срабатываний длин кабеля будет столько, что ваши монтажники Вас же и проклянут.

К тому же корректные данные от нее можно получить только в том случае если кабель вынут из сетевого оборудования.

 

 

PPPoE не проектировался как элемент безопасности сети. Использование PPPoE вообще никак не сказывается на безопасности сети.

Опять вы туда же.

Поменять IP/MAC может любой школьник. Без знаний вовсе.

Чтобы поднять левый PPPoE сервер, поснифать трафик и прочее -уже нужно обладать хоть какими то знаниями. А людям которые это могут обычно оное не интересно.

Не говоря уж о чем то более сложном.

 

В конце концов -в любом доме сейчас есть десятки wi-fi сетей. Взломать их еще проще, есть даже готовый софт. Сиди и собирай пакеты.

[Diamont]

Чтобы поднять левый PPPoE сервер, поснифать трафик и прочее

Пару галочек в микротике. Который, к слову, также вешается между свичем и юзером и бонусом имеет вафлю.

 

Вот нашелся хаб в щитке, провод идет в мою квартиру. Что вы мне предъявите?

да я вам даже дверь не открою.

ОМОН обычно сам всё открывает)) А вообще вы правы. Предъявить ничего не смогут, но на контроль поставят. Заодно и монтажников (которые имели доступ к свичу) подрючат. Это в идеале. Но нормальному прову такой гемор и порча репы нафиг не нужна, проще молча отключить халявщика.

Изменено 26 сентября, 2014 пользователем Diamont

[Sonne]

Было бы понятно читать описание проблем PPPOE в топике с названием "Проблемы безопасности PPPOE". Но мы то читаем тему PPPOE vs DHCP. Когда в ней пишут что PPOE плох так как используется кривой протокол шифрования, то что делать с DHCP?

 

Ivan. Ну допустим PPOE небезопасное гавно, что дальше? Ставим DHCP или как? Какие выводы то дальше?

[Ivan_83]

Не PPPOE, а PPPOE + WPA2

Забудь про PPPoE - он безопасность вообще не повышает никак. Нет у него такой цели. Совсем нет.

 

Кому нужно ломать - гораздо проще ломать WPA или WEP на клиентском WiFi.

Нитро уже предложил - слить пароль от твоей ваймакс сети с устройства.

А раз у тебя там роуминг, то значит:

- пароль везде один;

- хрен его быстро сменишь;

- часто менять не получится.

 

Получив L2 в сегменте PPOE в лучшем случае поимеешь логин который можно заблокировать за 5 минут

Так бы и сказал: tl.,dr.

Получается:

1. Ты готов менять пароли юзерам каждые 5 минут круглосуточно - потому что поставить на поток их взлом в промышленных масштабах вообще ничего не стоит. Можно даже по приколу сайт открыть где они в реальном времени обновляться будут :)

2. Ты вообще не имеешь представления о том что можно легко "приклеится" к любой чужой сессии PPPoE. Люди умудряются деже к TCP клеится/вклиниваться, тут на порядки проще.

 

Притом я не говорю что в случае DHCP как то лучше сам по себе.

Если уж пытаться говорить о какой то безопасности в вафле, то WPA-ent нужно для клиентов.

 

 

Давай я ещё лекцию почитаю :)

PPP был создан в 1996 году. Протокол точка-точка. Обеспечивает согласование параметров: адреса, шифрование, сжатие, контроль линии.

В те годы он использовался для диал апа. Так он обрёл популярность у провайдеров - они были диал апными и выбора у них не было вообще.

ДХЦП там не подходил в принципе - он эзернетовский, а его в диалапе не было за ненадобностью. ДХЦП появился в 1990 году.

Шло время и изобрели DSL и "выделенки". Чтобы без заморочек проапгрейдится придумали PPPoE.

Поскольку линии были физические а ресурсов у техники было мало протокол сделали без шифрования и без аутентификации сообщений: те каждый отдельный пакетик не подписывается клиентом/сервером дабы предотвратить левые подключения к виртуальному каналу.

Для среды с эзернетом это костыль, как минимум ненужная инкапсуляция об этом просто орёт во весь голос.

Натив для эзернета - дхцп. Позднее придумали 802.1x для контроля доступа к сети.

Потом появился вайфай, в нём сразу эзернет и 802.1x.

Притом 802.1х там очень органично вписался: пароль всё равно нужен почти всегда, и для шифрования он пригождается.

 

Сейчас 2014 год, прошло почти 20 лет с появления PPP и 15 с PPPoE, выделенных физ линий от абонента до прямо сервера доступа к сети уже давно нет.

Смысла аутентифицировать в центре нет, 802.1x подразумевает аутентификацию прямо в том месте куда подключён клиент а дальше мак клиента добавляется в белый список и ты можешь быть уверен что клиент=мак. В центре всё тот же радиус, или диаметр. Выдать настройки - дхцп.

Вроде есть фичи что по радиусу можно влан отдать - и таким образом совсем изолировать абонентов друг от друга в сети. Как с поддержкой в железе - хз. Коммутаторы вроде умеют.

В случае вайфая - не пустит в вайфайную сеть и всё.

Вот он энтерпрайз 2014, прямо по стандартам и книжкам.

 

Хоть ты и не интерпрайз, но выбора у тебя нет: или делать правильно или колхоз. От того что у тебя там PPPoE колхоз не исчезает.

 

Вот тебе почти готовая схема для замены твоего любимого пппое, нужно только собрать стенды и протестить. QinQ нагородить и на NAS наконфигурить 100500 интерфейсов, по одному на клиента либо автоматизировать процесс либо купить железку за дорого, где умные люди уже всё сделали.

[Ivan_83]

Зачем? Ну зачем в Москве людям что то взламывать? Интернет и так 300-500 рублей стоит. Один раз покушать дороже выйдет.

Для криминала, чтобы не палить своё место жительства как минимум.

Но это единицы из миллионов, пока что.

[Sonne]

Ivan_83

 

В WIMAX-е используется EAP-TTLS, т.е. столь любимый 802.1x

К сожалению по причине снятия с производства и поддержки приходится переделывать схему с L3 на L2,

при этом возможны две комбинации

 

1. Аутентификация EAP-TTLS + доступ по DHCP

2. Аутентификация отключена (но MAC фильтруется) + доступ по PPOE

 

Я серьезно спрашивал как можно прикрутить DHCP к нормальному сетевому оборудованию. Да пока никак.

 

 

В UBNT используется PPPOE, потому что была поставлена задача сделать универсальное решение для беспроводной и домовой сети. Решение сделано, прекрасно работает.

 

Если будем внедрять камбиум то строго на радио и тогда, возможно прикрутим какой нибудь EAP-PEAP, потом будем полгода вылавливать баги. Хотя PPPOE можно включить уже сразу.

 

В теории нужно использовать самые новые протоколы предусматривающие надежную работу во всех случаях жизни. На практике, прекрасные навороченные протоколы умираю раньше недопиленными и невнедренными, а старые проверенные уродцы выживают и здравствуют.

 

Казус в том, что одна железка с прекрасно реализованным 802.1x умирает, потому что фирма производитель разорилась от зарплат разработчикам, а другая железка не может допилить 802.1x потому что экономит на зарплате программистов (тем еще и жива).

 

Как я понимаю нам предлагается во имя высоких идеалов отправиться за этими калеками? Спасибо мы лучше будем использовать говно но останемся живыми.

[Ivan_83]

http://xgu.ru/wiki/802.1X

Он далеко не новый. Расширения к нему есть новые.

 

Даже переходный вариант будет работать: клиент подключился

- авторизовался - пихаем в отдельный влан (либо влан на клиента либо просто влан для IPoE, см ниже), выдаём по дхцп.

- не авторизовался/авторизовался с паролем для пппое - пихаем в влан где пппое.

+ лепим ещё ацл на порты чтобы мультикаст/броадкаст не гулял лишний. Либо статически либо через радиус, если железка умеет.

 

 

Вланы дотягиваешь до ближайшего NAS.

Как иметь кучу NAS (терминаторов вланов, "NAS" в данном случае сама железка куда цепляется юзер) и при этом давать клиенту статику - прокси арп.

 

Вот прямо с ходу для схемы с влан на клиента в голову ничего не пришло. Хотя с ходу не придумывается зачем авторизованных клиентов изолировать, они ведь по идее и через нет должны видеть друг друга.

 

Но если IPoE клиенты в одном влане то банальный прокси арп должен решить проблемы хождения пакетов:

- сервер на интерфейсе с клиентами анонсит свой мак с ip шлюза. (можно даже всем маки ставить одинаковые на влан интерфейс для клиентов, чтобы уж совсем хорошело)

- этот же сервер анонсит все клиентские адреса на втором своём интерфейсе который у тебя внутри сети смотрит на твой шлюз или что там

можно тут и всякие протоколы динамической маршрутизации приплести вместо прокси арпа.

На этом же сервере дхцп релей агент.

Может даже микротики справятся, функционал в принципе простой/базовый.