Discussion:
RADIUS autoryzacja MAC & IP
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Karol Dudek
2005-09-16 14:30:42 UTC
Permalink
Czy jest możliwość zrobienia autoryzacji jednocześnie po MAC i IP. Czyli na
serwerze odpalamy RADIUS'a i dopisujemy IP i MAC klientów. Jak jakiś klient
się chce podłączyć do AP, to AP pyta serwera RADIUS czy godzi się na
wpuszczenie MAC'a na IP. Jak się zgadza MAC i IP to wpuszcza a jak nie to
"olewa". ;-)
--
Karol Dudek
Jakub Wartak
2005-09-16 16:46:48 UTC
Permalink
Post by Karol Dudek
Czy jest możliwość zrobienia autoryzacji jednocześnie po MAC i IP. Czyli
na serwerze odpalamy RADIUS'a i dopisujemy IP i MAC klientów. Jak jakiś
klient się chce podłączyć do AP, to AP pyta serwera RADIUS czy godzi się
na wpuszczenie MAC'a na IP. Jak się zgadza MAC i IP to wpuszcza a jak nie
to "olewa". ;-)
Jest mozliwe, ale to wlasny, czysto teoretyczny wynalazek:

iptables + 'detektor' nowych klientow ( najlepiej oprzec o ARP, ewentualnie
libpcap ) + klient RADIUSa ( radiusclient? )
--
Jakub Wartak
vnull
http://vnull.pcnet.com.pl/
quizac
2005-09-18 19:05:04 UTC
Permalink
Jeśli chodzi o radiusa to teoretycznie możesz sprawdzać wszystko.
Warunkiem jest przekazanie tych opcji przez NAS.
Jedynem NASem, z którym mam do czynienia jest Mikrotik.
Ten przekazuje do radiusa interesujące Cie opcje.
Jednocześnie możesz ustalić pasmo, etc.

Wymagasz jednak tego, aby przy próbie podłączenia adres IP
był już ustalony, więc odpada DHCP. Jest to rozwiązanie
dobre, ale ma rację bytu tylko przy wycięciu wszystkiego
(tcp,udp,rip,etc) prócz pppoe i instalacja u klientów
raspppoe. Ustawienie uwierzytelniania przez mschap v2
daje w miarę spokojny sen.

Proponowane przez Ciebie samo MAC+IP nie wniesie wiele
do idei zabezpieczania wlan i kradzieży sygnału od WISP.

Postawienie: Mikrotik,freeradius, klient pppoe to jakieś 2h.
--
quizac
s***@sara-net.pl
2005-09-19 12:08:41 UTC
Permalink
Post by quizac
Jeśli chodzi o radiusa to teoretycznie możesz sprawdzać wszystko.
Warunkiem jest przekazanie tych opcji przez NAS.
Jedynem NASem, z którym mam do czynienia jest Mikrotik.
Ten przekazuje do radiusa interesujące Cie opcje.
Jednocześnie możesz ustalić pasmo, etc.
Możesz podać jakiś przykład?
Post by quizac
Wymagasz jednak tego, aby przy próbie podłączenia adres IP
był już ustalony, więc odpada DHCP. Jest to rozwiązanie
dobre, ale ma rację bytu tylko przy wycięciu wszystkiego
(tcp,udp,rip,etc) prócz pppoe i instalacja u klientów
raspppoe. Ustawienie uwierzytelniania przez mschap v2
daje w miarę spokojny sen.
Mam u klientów poustawiane na sztywko adresy. Cała sieć funkcionuje bez
DHCPd'a. Głównie chodzi o to żeby każdy MAC był przypisany do konkretnego
IP. By był zminimalizowany problem kolizji adresów. Np że jakiś gość ustawi
sobie swoje IP jako adres bramy i w ten sposób robi spore zamieszanie.
Wiadomo że może zmienić sobie MAC na inny pasujący do innego klienta, ale
nie będzie blokował całej sieci tylko tego jednego klienta.
Post by quizac
Proponowane przez Ciebie samo MAC+IP nie wniesie wiele
do idei zabezpieczania wlan i kradzieży sygnału od WISP.
Postawienie: Mikrotik,freeradius, klient pppoe to jakieś 2h.
Mikrotik - w sensie punktu dostępowego
freeradius- jako serwer radius
klient pppoe - czyli u wszystkich klientów poinstalować pppoe?

Jak masz takie rozwiązanie gdzieś już uruchomione. To prosił bym o jakieś
dalsze wskazówki, konfigi itp. Ale jak narazie chciał bym uzyskać pasowania
IP i MAC.
--
Karol Dudek
quizac
2005-09-19 17:19:26 UTC
Permalink
Post by s***@sara-net.pl
Możesz podać jakiś przykład?
Przykład będzie polegał na przytoczeniu większości konfiga
MT i radiusa. Prościej byłoby gdybyś zapoznał się z wersją
24h ze strony www.mikrotik.com oraz opisami odnośnie radiusa
i wapów takich jak np. AP2000. Gdy zabierałem się do tego
napotakałem problem w postaci dokumentacji - wszyscy zasłaniali
się RFC. Po wniknięciu okazało się, że to jest banalne.
Wystarczyło trochę pogooglać i uruchomić radiusd -A -X
Post by s***@sara-net.pl
Mam u klientów poustawiane na sztywko adresy. Cała sieć funkcionuje bez
DHCPd'a. Głównie chodzi o to żeby każdy MAC był przypisany do konkretnego
IP. By był zminimalizowany problem kolizji adresów. Np że jakiś gość
ustawi sobie swoje IP jako adres bramy i w ten sposób robi spore
zamieszanie. Wiadomo że może zmienić sobie MAC na inny pasujący do innego
klienta, ale nie będzie blokował całej sieci tylko tego jednego klienta.
Jeśli nie wystąpią kolizje IP(w co wierzyć nie można, gdy masz
man-in-the-middle), to jedna osoba, która uzyska dostęp do sieci
(niekoniecznie - internetu) może spowodować odcięcie od bramy
dowolnego komputera lub wszystkich przez netcut'a. Niestety skończyły się
czasy kiedy para MAC+IP oraz TTL wystarczało.
Post by s***@sara-net.pl
klient pppoe - czyli u wszystkich klientów poinstalować pppoe?
Tak, a Ci co działają na tcp/ip bez enkapsulacji w pppoe dostają
tylko dostęp do panelu logowania po https,do instrukcji i downloadu
raspppoe.
Post by s***@sara-net.pl
Jak masz takie rozwiązanie gdzieś już uruchomione. To prosił bym o jakieś
dalsze wskazówki, konfigi itp. Ale jak narazie chciał bym uzyskać
pasowania IP i MAC.
Tak, to rozwiązanie działa. Jeśli chcesz szczegóły to napisz na priv
z podaniem przykładowych par MAC+IP, danych NAS i pomogę w konfiguracji.

PS. Radius nie wnosi nic do bezpieczeństwa i nie oferuje więcej niż
wymyślono.
Stanowi on[radius] tylko centralną bazę pewnych danych i, co najważniejsze,
uniwersalną
metodę na weryfikację z tym co przesyła klient/NAS. Decydującą rolę odgrywa
tu koncentrator pppoe(w tym wypadku MT), który przy okazji jest AP-kiem(choć
nie musi).
Eliminuje on broadcasty layer3 i przy odp. konfiguracji niemożność
podsłuchiwania
transmisji oraz uzyskanie dostępu do zasobów dla osób znających login+hasło.
--
quizac
Loading...