Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
witam
chce swoja siec przerobic na wifi i musze ja dbrze zabezpieczyc. na bank wpa/wpa2 ale nie rozumiem do konca jak to dziala bez/razem z radiusem.
wgule po czym radius wie ze to jest taki komp/user a nie inny nie uzywajac pppe ?
co takieg jest w radiusie ze jest taki fajny, bo ludzie se go chwala.
jesli macie jakies fajne pomysly to mowcie. ja jak narazie to wpa + samba kontroler domeny.
Offline
jesli macie jakies fajne pomysly to mowcie. ja jak narazie to wpa + samba kontroler domeny
[/quote]
Jesli to jest dla Ciebie dobre zabezpieczenie, to ja jestem taki dobry ze przy duzym ruchu robie je w 30min :-)
Najskuteczniejszy jest radius - moim zdaniem bynajmniej, jednak trudny do zrealizowania, a kazde szyfrowanie na wifi drastycznie obniza wydajnosc, musialbys wiec kupic dobry sprzet a nie jakies linksysy a to juz sa spore koszty.
Jesli masz dostatecznie funduszy, checi i samozaparcia to stawiaj na radiusie
Co do zasady jego dzialania: temat jest dosc obszerny - poszukaj na sieci - jest troszke materialow, jesli nie bedziesz w stanie na tej podstawie czegos zrobic to wtedy z KONKRETNYM pytaniem zglos sie na forum - jest tu wiele madrych glow i napewno ktos Ci pomoze.
Aaaaa zapomnialem dodac: jak wlaczysz WPA w jakiejkolwiek formie to powiedz klientom sieci ktorzy maja procesory AMD Duron/Athlon/AthlonXP zeby sobie na intele powymieniali lub na AMD 64bit - nie wiem czemu ale u nas z WPA na zadnym z w/w procesorow net praktycznie nie chodzil :-) ciekawe czemu.....
Zejdzmy jednak na ziemie :-) jesli nie jestes az tak wytrfaly i nie chcesz inwestowac za duzo w siec to polecam Ci pppoe - swietny opis jest w dziale artykulow by BiExi
Jesli to bedzie zbyt malo (moze jestes czlowiekiem ktory widzi wszedzie czychajace zagrozenia) pobaw sie w ipsec. VPN'y i inne tego typu rozwiazania: maja ta zalete ze sa wystarczajaco bezpieczne a nie obciazaja sieci wifi. Poza wieloma dostepnymi metodami uwierzytelnienia samego klienta, potrafia tez szyfrowac pakiety (po ludzku mowiac) w tzw. tunelach - zabezpieczaja przed podsluchem
Milej zabawy
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
a co myslisz o sambie jako kontrolerze domeny i dzieki niej udostepniac neta
Offline
nic Ci w tej kwestii nie pomoge bo totalnie nie znam tego tematu
pozdr
Offline
Albo czaisz o co chodzi
"]
jesli macie jakies fajne pomysly to mowcie. ja jak narazie to wpa + samba kontroler domeny
[/quote]
Jesli to jest dla Ciebie dobre zabezpieczenie, to ja jestem taki dobry ze przy duzym ruchu robie je w 30min :-)
[/quote]
albo nie czaisz :
"]nic Ci w tej kwestii nie pomoge bo totalnie nie znam tego tematu
pozdr[/quote]
określ się
[url=http://www.netfix.pro]www.netfix.pro[/url]Offline
no rzeczywiscie w 30minut obszedlbys radiusa z wpa i kontrolerem domeny.
a nie znasz tematu.....
szukam i czytam i nic wszedzie pisza ze jest cs takiego ale jak to dziala itd to kupa. o 802.1x tez slyszalem i czytalem ze jest super ale tez nic niema jak to dziala.
ale niema co to zdanie z tego artykulu
http://www.cyberbajt.pl/cyber.php?i=raport&id=14
mnie rozwalilo
"Dla WISP najistotniejsze jest zabezpieczenie przed nieuprawnionym dostępem do sieci bezprzewodowej. Stąd szyfrowanie jest zbędne i wystarczy autoryzacja urządzeń radiowych z wykorzystaniem adresów MAC."
Offline
RADIUS to autentykator - zapytany przez np AP czy autoryzować danego klienta odpowiada TAK lub NIE. Autoryzować potrafi na podstawie wielu kryteriów np: na podstawie adresu MAC (jezeli jest w bazie to ok , a jak nie to nieok :) ) , czy np na podstawie loginu i hasła (np 802.1x -> PEAP/MSCHAPv2)
Pierwsza sprawa , skołuj działający serwer RADIUS , najlepiej gadający z bazą danych :) , jak skołujesz to zgłoś się do mnie , podeślę ci konfigi.
Jak działa RADIUS - każdy widzi :
Wed Sep 6 19:21:06 2006 : Auth: Login OK: [000d88eafed5] (from client AP_Cisco1230_ingramos port 358 cli 000d88eafed5) Wed Sep 6 19:21:19 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:14:85:e3:c7:21] Wed Sep 6 19:21:19 2006 : Auth: Login OK: [00:14:85:e3:c7:21] (from client AP_trebaczew_zwierz port 0) Wed Sep 6 19:21:21 2006 : Auth: Login OK: [0014852a9994] (from client AP_Cisco1230_ingramos port 359 cli 0014852a9994) Wed Sep 6 19:21:24 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:11:95:51:65:7a] Wed Sep 6 19:21:24 2006 : Auth: Login OK: [00:11:95:51:65:7a] (from client AP_dzialki port 0) Wed Sep 6 19:21:31 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:11:95:51:65:7a] Wed Sep 6 19:21:31 2006 : Auth: Login OK: [00:11:95:51:65:7a] (from client AP_dzialki port 0) Wed Sep 6 19:21:55 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:11:95:28:ca:ce] Wed Sep 6 19:21:55 2006 : Auth: Login OK: [00:11:95:28:ca:ce] (from client AP_bloki_v port 0) Wed Sep 6 19:22:06 2006 : Auth: Login OK: [000d88eafed5] (from client AP_Cisco1230_ingramos port 360 cli 000d88eafed5) Wed Sep 6 19:22:15 2006 : Auth: Login OK: [001485d46464] (from client AP_Cisco_1220_ingramos_bis port 319 cli 0014.85d4.6464) Wed Sep 6 19:22:33 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:0e:2e:57:42:60] Wed Sep 6 19:22:33 2006 : Auth: Login OK: [00:0e:2e:57:42:60] (from client AP_trebaczew_stefan port 0)
Ja aktualnie używam tylko autoryzacji po MACach , ale testowałem 802.1x na Cisco Aironet i Orinoco ap2000 , i WPA + RADIUS na tonze AW-6660
Offline
zly zwierz bez urazy ale radius po adresach mac to gowno a nie zabezpieczenie. hyba ze sie ma pppoe i radiusa no to wtedy login haslo i mac no to juz jest git.
musze posiedziec nad pppoe i narazie postawic samo pppoe a pozniej polaczyc je z radiusem.
a czy do 802.1x potrzebne jest cos w stylu pppoe czy moze radius sie tym zajmuje i jak to wyglada czy sie wpisuje haslo i login w www czy jak w pppoe ?
Offline
802.1x : ustawiasz w apeku adres serwera RADIUS , podajesz secret (haslo do niego) , włączasz autoryzacje EAP.
Konfigurujesz RADIUSa , żeby obsługiwał EAP (generujesz certyfikaty itp) i voila ;]
W windowsie konfigurujesz uwierzytelnianie (PEAP + MSCHAP) , wpisujesz login , przy podłączeniu podajesz hasło ...
zly zwierz bez urazy ale radius po adresach mac to gowno a nie zabezpieczenie. [/quote]
Doskonale o tym wiem , ale co , mam skakać po apekach , skoro mogę mieć accessliste w jednym miejscu. Lepszy MAC Auth niż nic :)
Kiedy dorosłem do używania RADIUSa + 802.1x + inne kwiatki , sieć się na tyle rozrosła , że nie widzę szans na bezproblemowe wdrożenie tego :)
Nawet gdybym robił 20 osób dziennie (wpisywanie loginów , haseł , tłumaczenie co i jak , walka ze starymi windowsami etc.), to zajęło by mi to ponad dwa miechy :)
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
ukasz - to Ty nie czaisz co ja napisalem
no rzeczywiscie w 30minut obszedlbys radiusa z wpa i kontrolerem domeny.
[/quote]
nie radiusa - nawet o tym nie wspomnialem, malo tego sam go polecam w swoim poscie jako bardzo dobry sposob zabezpieczenia
ta wypowiedz dotyczyla wep/wpa (glownie wersji psk) lub kontrolera domeny a Ty zlozyles to wszystko w calosc i jeszcze mi radiusa dorzuciles....
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
no nie gadaj ze samba jako kontroler domeny zlamiesz szybko z szyfrowanymi haslami
Offline
Script kiddies są coraz sprytniejsze :D
[/quote]
noooo dokladnie, wszystko idzie do przodu :-)
Spodobal mi sie bardzo pppoe na MT - jest NIECO inny jak rp-pppoe na linuxa....
uwierzytelnienie MS CHAP v2 + szyfrowanie MPPE 128 a sposob wdrozenia w miare prosty jak na malo rozlegle sieci, mysle ze do wiekszosci zastosowan wystarczy. Co o tym sadzicie ??
Jesli ktos potrzebuje dodatkowo czegos EXTRA to w polaczeniu z radiusem jak wedlug mnie nie do zdarcia
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
a czy to prawda ze na eth1 nie moze byc adresacji ip jak pppoe nasluchuje ?
i tak samo po stronie klenta ?
jesli tak to jak ja sie polcze na ftpa od strony sieci lokalnej ?
Offline
nie to ze nie moze ale nie powinno - glownie ze wzgledu bezpieczenstwa.
Serwer jest od strony sieci postawiony karta ktora nie ma nadanego adresu, tym samym nie mozemy nawiazac z nim polaczenia tcp/ip
serwer pppoe nasluchuje na jakims wybranym adresie z puli lokalnej na tej wlasnie nieskonfigurowanej karcie.
Klient laczy sie przez pppoe otrzymujac numer ip oraz dns/maske - poswtaje cos jakby tunel miedzy klientem a serwerem gdzie w serwerze tworzy sie interfejs pppX - to z nim klient sie od tej pory komunikuje a dla innych osob eth na ktorym stoi ppp nie ma nadal adresu wiec nie mozna uzyskac na lewo netu dopoki sie nie wdzwoni do pppoe
idea dosc prosta i skuteczna, mppe to algorytm ktory szyfruje zawartosc transmisji, a pap,chap to sposoby samego uwierzytelniania klienta - z czego pap juz poszedl do lamusa.
pozdr
Offline
Apropos nasłuchiwania:
PPPoE nie korzysta z IP , więc i na żadnym nie nasłuchuje.
Oczekuje natomiast na ramki PADI wysyłane na adres broadcast MAC : ff:ff:ff:ff:ff:ff
http://en.wikipedia.org/wiki/Point-to-Point_Protocol_over_Ethernet
Opcja -L :
-L ip Sets the local IP address. This is passed to spawned pppd processes. If not speci-
fied, the default is 10.0.0.1.
[/quote]
To tylko adres tunelu po stronie serwera , nie ma nic do nasłuchiwania , tzn , może ma :) Po nawiązaniu połączenia ppp, na adres (domyślnie 10.0.0.1) mogą bindować usługi .. trza je tylko zrestartować ..
Co do maski w połaczeniach P-t-P ... zawsze widuję 255.255.255.255, ale patrząć na [url=http://www.jtz.org.pl/Html/PPP-HOWTO.pl-14.html] to [/url] howto widze , że to nie aksjomat.
ppp0 Link encap:Point-Point Protocol
inet addr:10.144.153.104 P-t-P:10.144.153.51 Mask:255.255.255.0
UP POINTOPOINT RUNNING MTU:552 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0
TX packets:0 errors:0 dropped:0 overruns:0
[/quote]
z manuala do pppd
netmask n
Ustaw maske sieciową- interfejsu na n, tj. 32 bitową maske w kropkowej notacji
dziesietnej (np. 255.255.255.0). Jeśli podana jest ta opcja, to wartość jej
zostanie połączona logicznym OR z domyślną maską sieciową. Domyślna maska
sieciowa jest wybierana według wynegocjowanego zdalnego adresu IP; jest maską
odpowiednią dla klasy zdalnego adresu IP, połączoną logicznym OR z maskami
sieciowymi wszelkich interfejsow sieciowych point-to-point systemu, znajdujących
sie w tej samej sieci. (Uwaga: na niektorych platformach pppd zawsze jako maski
sieciowej ucywa 255.255.255.255 jeśli jest to jedyna wartość odpowiednia dla interfejsu point-to-point.)
[/quote]
##################
Skasowałem ten bełkot , mam nadzieję że nikt oprócz pajacyka , sory Pajączka się nie obrazi .. ;>
[url=http://www.netfix.pro]www.netfix.pro[/url]Offline
Nie... nie obrazi sie... poprostu od teraz bedzie omijal to forum szerokim lukiem.
Interesowala mnie tylko kwestia pppoe, wiec chwilowo i tak nie mam tu co szukac.
Wiec zegnam wszelkich przemadrzalych modziuf... i inne nieomylne bestie, dla ktorych wszystko czego nierozumieja to jest juz beukot (btw. Beukot by sie za to obrazil, dobrze ze tego nie czyta).
Btw. To ZlySwierz pokasowal ?? Jakos nie przyznaje sie do moderowania, jesli to kto inny, to wypadalo by sie podpisac.
Offline
ahhhh nareszcie cisza.... :)
ZlyZwierz: m/w o to mi chodzilo tylko zle to ujalem - wiem ze ppp nie korzysta z adresu ip bo to nie jest tcp/ip. chodzilo mi o "punkt widzenia" serwera i klienta po wdzwonieniu - wtedy juz adresy sa
A tak przy okazji: jak masz jeden koncentrator na eth0 i do tego samego routera wepniesz jedna lub n kart "nieskonfigurowanych" to nie ma zadnego znaczenia do ktorej kabelkiem/radiem wepniesz klienta - on i tak "uslyszy" daemona na eth0 ? a dodatkowo moga otrzymywac adresy z tej samej puli i nie istnieja zadne przeciwwskazania ??
pozdr
Offline
Nie , skoro koncentrator pppoe postawiłeś na eth0 , to na zadnym innym interfejsie z pppoe nie skorzystasz , chyba , że weźmiesz bridge-utils do ręki i zmostkujesz interfejsy.
Offline
to w takim razie czy moze byc n daemonow podajacych jeden ip lokalny po wdzwonieniu ??
Tzn. teraz mam ppp na eth0, klienci dostaja adresy z puli 10.1.0.0/24 i widza serwer 10.1.0.3, ale to tylko posrednik z kilku podsieci bo glowna brama ma 10.1.0.1
pojawila sie jednak koniecznosc rozbicia tego na dwa segmenty (wolalbym nie zmianiac adresacji - nie chce zmian na bramce bo nie troszke czasu i nerwow beda kosztowaly...) wiec chce do routerka dorzucic druga karte, z tego co piszesz (w sumie moglem sam troche pomyslec :)) musze na niej postawic oddzielnego daemona :
w takim ukladzie ppp bedzie na eth0 i eth2 a eth1 do szkieletu - czy moge zapodac obydwa daemony z -L 10.1.0.3 ?? czy wogole to bedzie dzialac i nie bedzie problemow ? klienci beda miec rownierz adresy z tej samej puli.
pozdr
Offline
Nie wiem , czy tak można , nie próbowałem (w sensie dwóch daemonów z takim samym localip), ale jak najbardziej mozna postawić więcej daemonów.
Nie wiem tylko po co , nie jesteś ograniczony do jednej odsieci /24
nie musisz stawiać kilko serwerów pppoe.
Offline
Apropo radiusa mam pytanie:
Czy komus z was udalo sie polaczyc freeradiusa + ldap-a po TLS ?
Zrobilem juz tak ze userzy sa uwierzytelniani przez radiusa z ldap-em, jednak nie idzie to tls :(
Bledy w logach:
rlm_ldap: ldap_get_conn: Checking Id: 0 rlm_ldap: ldap_get_conn: Got Id: 0 rlm_ldap: attempting LDAP reconnection rlm_ldap: (re)connect to ldap:636, authentication 0 rlm_ldap: setting TLS mode to 1 rlm_ldap: setting TLS CACert File to /etc/freeradius/cert/ca.crt rlm_ldap: setting TLS CACert File to /etc/freeradius/cert/ rlm_ldap: setting TLS Require Cert to never rlm_ldap: setting TLS Cert File to /etc/freeradius/cert/radius.crt rlm_ldap: setting TLS Key File to /etc/freeradius/cert/radius.key rlm_ldap: starting TLS rlm_ldap: ldap_start_tls_s() rlm_ldap: could not start TLS Can't contact LDAP server rlm_ldap: (re)connection attempt failed rlm_ldap: search failed rlm_ldap: ldap_release_conn: Release Id: 0
Ma ktos z was pomysl ???
Pozdrawiam
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00095 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.191.87.157' WHERE u.id=1 |
0.00068 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.191.87.157', 1732194682) |
0.00044 | SELECT * FROM punbb_online WHERE logged<1732194382 |
0.00054 | SELECT topic_id FROM punbb_posts WHERE id=39792 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=5075 ORDER BY posted |
0.00087 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=5075 AND t.moved_to IS NULL |
0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
0.00327 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=5075 ORDER BY p.id LIMIT 0,25 |
0.00120 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=5075 |
Total query time: 0.00824 s |