forum.opennet.ru - "Безопастность PPPoE" (19)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Безопастность PPPoE"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Безопастность PPPoE"
Сообщение от def (??) on 24-Май-06, 10:34
Насколько безопастна PPPoE-авторизация? Возможен ли вариант сделать авторизацию и доступ через PPPoE из локальной сети? Возможно ли в этом случае перехватить передаваемые пароли или "подменить сервер"? Спасибо.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Безопастность PPPoE, mr_Y, 10:55 , 24-Май-06, (1)

Безопастность PPPoE, def, 11:36 , 24-Май-06, (2)

Безопастность PPPoE, mr_Y, 12:29 , 24-Май-06, (3)

Безопастность PPPoE, def, 12:40 , 24-Май-06, (4)

Безопастность PPPoE, mr_Y, 14:56 , 24-Май-06, (7)

Безопастность PPPoE, Ottard, 14:18 , 24-Май-06, (5)

Безопастность PPPoE, mr_Y, 14:52 , 24-Май-06, (6)

Безопастность PPPoE, Grey, 15:04 , 24-Май-06, (8)

Безопастность PPPoE, def, 15:22 , 24-Май-06, (9)

Безопастность PPPoE, Grey, 15:45 , 24-Май-06, (10)

Безопастность PPPoE, def, 15:51 , 24-Май-06, (11)

Безопастность PPPoE, Grey, 16:09 , 24-Май-06, (12)

Безопастность PPPoE, def, 16:24 , 24-Май-06, (13)

Безопастность PPPoE, Grey, 16:26 , 24-Май-06, (14)
Безопастность PPPoE, Grey, 16:28 , 24-Май-06, (15)

Безопастность PPPoE, def, 16:46 , 24-Май-06, (16)

Безопастность PPPoE, Grey, 18:04 , 24-Май-06, (18)

Безопастность PPPoE, def, 10:36 , 25-Май-06, (19)

Безопастность PPPoE, Ottard, 17:17 , 24-Май-06, (17)

Сообщения по теме [Сортировка по времени, UBB]

1. "Безопастность PPPoE"

Сообщение от mr_Y on 24-Май-06, 10:55

PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети. (см. полное названи протокола)
Для такой авторизации необходим PPP и скорее всего PPTP.
В таком случае авторизация проходит по (MS)CHAP протоколу. Также возможно шифрование трафика - MPPE (от M$).

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Безопастность PPPoE"

Сообщение от def (??) on 24-Май-06, 11:36

>PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети.
>(см. полное названи протокола)
>Для такой авторизации необходим PPP и скорее всего PPTP.
>В таком случае авторизация проходит по (MS)CHAP протоколу. Также возможно шифрование трафика
>- MPPE (от M$).
Я это понимаю. Но канал сначала нужно организовать, а потом уже идет авторизация. Если локалка, фреймы PPPoE может перехватить любой, у них же нет получателя, и если кто-то установит у себя на сервер PPPoE/PPP, то может довести пользователя до режима авторизации, где он и выдаст пароль. Поправте если я не прав

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Безопастность PPPoE"

Сообщение от mr_Y on 24-Май-06, 12:29

>если кто-то установит у себя на сервер PPPoE/PPP,
>то может довести пользователя до режима авторизации, где он и выдаст
>пароль. Поправте если я не прав
Пущай ставит. Пользователь при подключении к серверу вводит его IP адрес (локальной сети). А как у вас 2 IP в 1 сети дружить будут? Это вам не DHCP. Хотя, говорят там тоже можно авторитативность проверить.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Безопастность PPPoE"

Сообщение от def (??) on 24-Май-06, 12:40

>>если кто-то установит у себя на сервер PPPoE/PPP,
>>то может довести пользователя до режима авторизации, где он и выдаст
>>пароль. Поправте если я не прав
>
>Пущай ставит. Пользователь при подключении к серверу вводит его IP адрес (локальной
>сети). А как у вас 2 IP в 1 сети
>дружить будут? Это вам не DHCP. Хотя, говорят там тоже можно
>авторитативность проверить.
Не вводить.... PPPoE протокол 2го уровня, так же как и PPP. Возможно в винде это и можно как-то сделать, но в установках АДСЛ-модемов (ZyXEL) только логин/пароль... и всё. АДСЛ-щиков тоже хочется в сеть "запихнуть".

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Безопастность PPPoE"

Сообщение от mr_Y on 24-Май-06, 14:56

>Не вводить.... PPPoE протокол 2го уровня, так же как и PPP. Возможно
>в винде это и можно как-то сделать, но в установках АДСЛ-модемов
>(ZyXEL) только логин/пароль... и всё. АДСЛ-щиков тоже хочется в сеть "запихнуть".
С этого надо было начать. С ADSL ZyXEL извини, не в курсе...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Безопастность PPPoE"

Сообщение от Ottard on 24-Май-06, 14:18

Насчет безопастности:
Во первых при авторизации ты можешь использовать протокол CHAP. Это значит что твой пороль посылается в криптованом виде. Даже если кто-то в сети настроит PPPoE sniffer, он получит криптованый пароль.

Несколько заммечаний по написанному:
>PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети.
PPPoE server таки авторизует юзера либо по PAP либо по CHAP протоколу.
И PPPoE и PPTP работают на основе одного и того-же PPP demona. Разница в типе авторизации и в том что уже после авторизации PPTP позволяет сделать MPPE traffic encription tunel.
>Пользователь при подключении к серверу вводит его IP адрес
Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Безопастность PPPoE"

Сообщение от mr_Y on 24-Май-06, 14:52

>PPPoE server таки авторизует юзера либо по PAP либо по CHAP протоколу.
Сомневаюсь :)
http://www.roaringpenguin.com/penguin/open_source_rp-pppoe.php
см. README
>И PPPoE и PPTP работают на основе одного и того-же PPP demona.
>Разница в типе авторизации и в том что уже после авторизации
>PPTP позволяет сделать MPPE traffic encription tunel.
Значит таки на основе PPP, который и авторизует! Зачем себе противоречить?
>>Пользователь при подключении к серверу вводит его IP адрес
>
>Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
>Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)
http://www.lanbilling.ru/vpn_solution.html - А я настаиваю!
Еще будет полезно заглянуть сюда http://samba.org/ppp/
И сюда http://www.opennet.ru/base/net/pptp_mppe_mppc.txt.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Безопастность PPPoE"

Сообщение от Grey (??) on 24-Май-06, 15:04

Да в чём спор то? :)
PPTP - клиент указывает IP сервера (по опорной IP сети), устанавливает ppp и потом отдаёт имя с паролем для аутентификации. После этого клиент получает IP и работает с ним. На стороне сервера аутентификацию выполняет (возможно в radius) тот, кто поднял ppp т.е. ppp или pppd или как у меня exppp.
PPPoE - происходит примерно тоже самое только к серверу клиент стучится не по опорной IP сети а по Ethernet, т.е. IP адрес сервера клиент не указывает. Всё остальное вроде очень похоже...
Суть спора не пойму... интересует секретность при аутентификации? или что? Поднять поддельный pptp сервер в принципе можно, но не думаю что от этого будет много толку для хацкера (если сеть в принципе построена верно). Поддельный PPPoE тоже можно поднять, но там есть тоже свои ньюансы (сам ен пользовал, не в курсе).
Передачу паролей и там и там можно сделать CHAP или MSCHAP т.е. пароли будут шифроваться. Трафик шифровать не вижу смысла. Если эта система используется для отдаче клиенту дырки в мир, то смысла шифровать трафик очень не много. Если такая система используется для доступа в ЛВС из мира, то шифровать трафик есть очень не маленький смысл. :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Безопастность PPPoE"

Сообщение от def (??) on 24-Май-06, 15:22

>Да в чём спор то? :)
>PPTP - клиент указывает IP сервера (по опорной IP сети), устанавливает ppp
>и потом отдаёт имя с паролем для аутентификации. После этого клиент
>получает IP и работает с ним. На стороне сервера аутентификацию выполняет
>(возможно в radius) тот, кто поднял ppp т.е. ppp или pppd
>или как у меня exppp.
>PPPoE - происходит примерно тоже самое только к серверу клиент стучится не
>по опорной IP сети а по Ethernet, т.е. IP адрес сервера
>клиент не указывает. Всё остальное вроде очень похоже...
>
>Суть спора не пойму... интересует секретность при аутентификации? или что? Поднять поддельный
>pptp сервер в принципе можно, но не думаю что от этого
>будет много толку для хацкера (если сеть в принципе построена верно).
>Поддельный PPPoE тоже можно поднять, но там есть тоже свои ньюансы
>(сам ен пользовал, не в курсе).
>Передачу паролей и там и там можно сделать CHAP или MSCHAP т.е.
>пароли будут шифроваться. Трафик шифровать не вижу смысла. Если эта система
>используется для отдаче клиенту дырки в мир, то смысла шифровать трафик
>очень не много. Если такая система используется для доступа в ЛВС
>из мира, то шифровать трафик есть очень не маленький смысл. :)
>

Я уже сам не понял о чем спор. Задачи шифровать нету. Задача в том, чтобы безопастно прередать пароль. PPTP не подходит, ибо погда у клиента получается 2 ИП... зачем это надо?... Поэтому решено было использовать PPPoE... и ИП один и АДСЛ-роутеры можно подключить единообразно с клиентами.
Задача изначально была в безопасной авторизации пользователей и организации PPP-соединения, потому как писать свое что-то долго и неефективно, а авторизация по ИП или МАК - неактуально

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Безопастность PPPoE"

Сообщение от Grey (??) on 24-Май-06, 15:45

>Я уже сам не понял о чем спор. Задачи шифровать нету. Задача
>в том, чтобы безопастно прередать пароль. PPTP не подходит, ибо погда
>у клиента получается 2 ИП... зачем это надо?... Поэтому решено было
>использовать PPPoE... и ИП один и АДСЛ-роутеры можно подключить единообразно с
>клиентами.
>
>Задача изначально была в безопасной авторизации пользователей и организации PPP-соединения, потому как
>писать свое что-то долго и неефективно, а авторизация по ИП или
>МАК - неактуально
а какая проблема с двумя IP ? подняв коннект клиент получит IP для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и будет пахать спокойно ... у меня так толпа пашет и ничего
а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не будет пахать как надо ... оно пашет только в одном сегменте... для работы через (к примеру) роутер надо будет на роутере делать некие движения....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Безопастность PPPoE"

Сообщение от def (??) on 24-Май-06, 15:51

>а какая проблема с двумя IP ? подняв коннект клиент получит IP
>для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и
>будет пахать спокойно ... у меня так толпа пашет и ничего
Для поднятия PPTP у клиента уже должен быть IP чтобы установить соединение. И как это организовать? Выдавать по DHCP IP из 192.168.0.0/16 а для работы в туннеле использовать 10.0.0.0/8. Неправильно это... PPTP не для тех задач сделали, которые мне нужно решить
>а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не
>будет пахать как надо ... оно пашет только в одном сегменте...
>для работы через (к примеру) роутер надо будет на роутере делать
>некие движения....
Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го уровня... Пакеты на 3м уровне не разрулите

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Безопастность PPPoE"

Сообщение от Grey (??) on 24-Май-06, 16:09

>>а какая проблема с двумя IP ? подняв коннект клиент получит IP
>>для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и
>>будет пахать спокойно ... у меня так толпа пашет и ничего
>
>Для поднятия PPTP у клиента уже должен быть IP чтобы установить соединение.
>И как это организовать? Выдавать по DHCP IP из 192.168.0.0/16 а
>для работы в туннеле использовать 10.0.0.0/8. Неправильно это... PPTP не для
>тех задач сделали, которые мне нужно решить
ну это на вкус и цвет ...... :)
>
>>а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не
>>будет пахать как надо ... оно пашет только в одном сегменте...
>>для работы через (к примеру) роутер надо будет на роутере делать
>>некие движения....
>
>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>уровня... Пакеты на 3м уровне не разрулите
клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно .... вы MAC адрес клиента увидете через роутер к примеру?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "Безопастность PPPoE"

Сообщение от def (??) on 24-Май-06, 16:24

>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>уровня... Пакеты на 3м уровне не разрулите
>
>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>вы MAC адрес клиента увидете через роутер к примеру?
я ж об этом и написал, что делать не нужно ничего не потому что все и так работает, а потому что в любом случае не будет работать :)))
Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и сервером.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "Безопастность PPPoE"

Сообщение от Grey (??) on 24-Май-06, 16:26

>>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>>уровня... Пакеты на 3м уровне не разрулите
>>
>>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>>вы MAC адрес клиента увидете через роутер к примеру?
>
>я ж об этом и написал, что делать не нужно ничего не
>потому что все и так работает, а потому что в любом
>случае не будет работать :)))
>
>Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и
>сервером.
в разрыве сегмента (роутере) надо делать arpproxy и должно работать ..... но сам не делал ... вообще я не занимался PPPoE потому что меня вполне устроило в своё время pptp :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "Безопастность PPPoE"

Сообщение от Grey (??) on 24-Май-06, 16:28

>>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>>уровня... Пакеты на 3м уровне не разрулите
>>
>>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>>вы MAC адрес клиента увидете через роутер к примеру?
>
>я ж об этом и написал, что делать не нужно ничего не
>потому что все и так работает, а потому что в любом
>случае не будет работать :)))
>
>Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и
>сервером.
а сегментировать сеть вам рано или поздно придётся... потому как всё строить на одном сегменте (домене коллизий) это до поры до времени ....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "Безопастность PPPoE"

Сообщение от def (??) on 24-Май-06, 16:46

>а сегментировать сеть вам рано или поздно придётся... потому как всё строить
>на одном сегменте (домене коллизий) это до поры до времени ....
есть ли что-то такое... некое, что поднимает PPPoE обращаясь к RADIUS-серверу? - какая-то Cisco или ZyXEL? Если да - клиент получит IP и тогда уже его можно будет маршрутизировать

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "Безопастность PPPoE"

Сообщение от Grey (??) on 24-Май-06, 18:04

>>а сегментировать сеть вам рано или поздно придётся... потому как всё строить
>>на одном сегменте (домене коллизий) это до поры до времени ....
>
>есть ли что-то такое... некое, что поднимает PPPoE обращаясь к RADIUS-серверу? -
>какая-то Cisco или ZyXEL? Если да - клиент получит IP и
>тогда уже его можно будет маршрутизировать
о чём речь?
представьте что у вас сеть, в которой роутер разделяет клиента и сервер PPPoE. на роутере разрыв сегмента (домена коллизий)... в таком положении клиент не увидет сервер PPPoE и не сможет к нему прицепиться...
При чём тут RADIUS? radius нужен для того, что б тот кто делает ppp на сервере смог авторизовать клиента перед тем как дать ему IP и возможность работать по поднятому ppp.
При чём тут маршрутизация? пока клиент не получил IP и возможность работать по ppp ни о какой маршрутизации речи нет и быть не может. Когда у клиента работает ppp и есть адрес выданный сервером, тогда маршрутизируйте сколько угодно ... но я говорил не об этом...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "Безопастность PPPoE"

Сообщение от def (??) on 25-Май-06, 10:36

Мы вроде бы говорим об одном но в то же время о разном...
>представьте что у вас сеть, в которой роутер разделяет клиента и сервер
>PPPoE. на роутере разрыв сегмента (домена коллизий)... в таком положении клиент
>не увидет сервер PPPoE и не сможет к нему прицепиться...
Именно, поэтомы я и хочу поставить с каждом сегменте ЧТО-ТО, что будет выполнять роль сервера PPPoE.
>При чём тут RADIUS? radius нужен для того, что б тот кто
>делает ppp на сервере смог авторизовать клиента перед тем как дать
>ему IP и возможность работать по поднятому ppp.
Проблема в чем: нельзя разнести PPPoE-сервер и PPP-сервер.. Всё было бы проще если сделать на PPPTP, но есть АДСЛ-модемы, которые это не поддерживают.
>При чём тут маршрутизация? пока клиент не получил IP и возможность работать
>по ppp ни о какой маршрутизации речи нет и быть не
>может. Когда у клиента работает ppp и есть адрес выданный сервером,
>тогда маршрутизируйте сколько угодно ... но я говорил не об этом...
Вот поэтому и не должно быть роутеров между PPPoE-сервером и клиентом...
а что это за роутер, который бродкасты рассылает???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "Безопастность PPPoE"

Сообщение от Ottard on 24-Май-06, 17:17

>>Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
>>Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)
>
>http://www.lanbilling.ru/vpn_solution.html - А я настаиваю!
>
>Еще будет полезно заглянуть сюда http://samba.org/ppp/
>И сюда http://www.opennet.ru/base/net/pptp_mppe_mppc.txt.html
Ты путаешь PPPoE и PPtP. Я описывал первый случай и там таки да, не нужно указывать IP сервера. ты-же ссылаешься на VPN (PPTP) и в нем сервер указывается.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Безопастность PPPoE"
Сообщение от mr_Y on 24-Май-06, 10:55
PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети. (см. полное названи протокола) Для такой авторизации необходим PPP и скорее всего PPTP. В таком случае авторизация проходит по (MS)CHAP протоколу. Также возможно шифрование трафика - MPPE (от M$).
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Безопастность PPPoE"
	Сообщение от def (??) on 24-Май-06, 11:36
	>PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети. >(см. полное названи протокола) >Для такой авторизации необходим PPP и скорее всего PPTP. >В таком случае авторизация проходит по (MS)CHAP протоколу. Также возможно шифрование трафика >- MPPE (от M$). Я это понимаю. Но канал сначала нужно организовать, а потом уже идет авторизация. Если локалка, фреймы PPPoE может перехватить любой, у них же нет получателя, и если кто-то установит у себя на сервер PPPoE/PPP, то может довести пользователя до режима авторизации, где он и выдаст пароль. Поправте если я не прав
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Безопастность PPPoE"
	Сообщение от mr_Y on 24-Май-06, 12:29
	>если кто-то установит у себя на сервер PPPoE/PPP, >то может довести пользователя до режима авторизации, где он и выдаст >пароль. Поправте если я не прав Пущай ставит. Пользователь при подключении к серверу вводит его IP адрес (локальной сети). А как у вас 2 IP в 1 сети дружить будут? Это вам не DHCP. Хотя, говорят там тоже можно авторитативность проверить.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Безопастность PPPoE"
	Сообщение от def (??) on 24-Май-06, 12:40
	>>если кто-то установит у себя на сервер PPPoE/PPP, >>то может довести пользователя до режима авторизации, где он и выдаст >>пароль. Поправте если я не прав > >Пущай ставит. Пользователь при подключении к серверу вводит его IP адрес (локальной >сети). А как у вас 2 IP в 1 сети >дружить будут? Это вам не DHCP. Хотя, говорят там тоже можно >авторитативность проверить. Не вводить.... PPPoE протокол 2го уровня, так же как и PPP. Возможно в винде это и можно как-то сделать, но в установках АДСЛ-модемов (ZyXEL) только логин/пароль... и всё. АДСЛ-щиков тоже хочется в сеть "запихнуть".
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Безопастность PPPoE"
	Сообщение от mr_Y on 24-Май-06, 14:56
	>Не вводить.... PPPoE протокол 2го уровня, так же как и PPP. Возможно >в винде это и можно как-то сделать, но в установках АДСЛ-модемов >(ZyXEL) только логин/пароль... и всё. АДСЛ-щиков тоже хочется в сеть "запихнуть". С этого надо было начать. С ADSL ZyXEL извини, не в курсе...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

5. "Безопастность PPPoE"
Сообщение от Ottard on 24-Май-06, 14:18
Насчет безопастности: Во первых при авторизации ты можешь использовать протокол CHAP. Это значит что твой пороль посылается в криптованом виде. Даже если кто-то в сети настроит PPPoE sniffer, он получит криптованый пароль. Несколько заммечаний по написанному: >PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети. PPPoE server таки авторизует юзера либо по PAP либо по CHAP протоколу. И PPPoE и PPTP работают на основе одного и того-же PPP demona. Разница в типе авторизации и в том что уже после авторизации PPTP позволяет сделать MPPE traffic encription tunel. >Пользователь при подключении к серверу вводит его IP адрес Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом. Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Безопастность PPPoE"
	Сообщение от mr_Y on 24-Май-06, 14:52
	>PPPoE server таки авторизует юзера либо по PAP либо по CHAP протоколу. Сомневаюсь :) http://www.roaringpenguin.com/penguin/open_source_rp-pppoe.php см. README >И PPPoE и PPTP работают на основе одного и того-же PPP demona. >Разница в типе авторизации и в том что уже после авторизации >PPTP позволяет сделать MPPE traffic encription tunel. Значит таки на основе PPP, который и авторизует! Зачем себе противоречить? >>Пользователь при подключении к серверу вводит его IP адрес > >Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом. >Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI) http://www.lanbilling.ru/vpn_solution.html - А я настаиваю! Еще будет полезно заглянуть сюда http://samba.org/ppp/ И сюда http://www.opennet.ru/base/net/pptp_mppe_mppc.txt.html
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "Безопастность PPPoE"
	Сообщение от Grey (??) on 24-Май-06, 15:04
	Да в чём спор то? :) PPTP - клиент указывает IP сервера (по опорной IP сети), устанавливает ppp и потом отдаёт имя с паролем для аутентификации. После этого клиент получает IP и работает с ним. На стороне сервера аутентификацию выполняет (возможно в radius) тот, кто поднял ppp т.е. ppp или pppd или как у меня exppp. PPPoE - происходит примерно тоже самое только к серверу клиент стучится не по опорной IP сети а по Ethernet, т.е. IP адрес сервера клиент не указывает. Всё остальное вроде очень похоже... Суть спора не пойму... интересует секретность при аутентификации? или что? Поднять поддельный pptp сервер в принципе можно, но не думаю что от этого будет много толку для хацкера (если сеть в принципе построена верно). Поддельный PPPoE тоже можно поднять, но там есть тоже свои ньюансы (сам ен пользовал, не в курсе). Передачу паролей и там и там можно сделать CHAP или MSCHAP т.е. пароли будут шифроваться. Трафик шифровать не вижу смысла. Если эта система используется для отдаче клиенту дырки в мир, то смысла шифровать трафик очень не много. Если такая система используется для доступа в ЛВС из мира, то шифровать трафик есть очень не маленький смысл. :)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "Безопастность PPPoE"
	Сообщение от def (??) on 24-Май-06, 15:22
	>Да в чём спор то? :) >PPTP - клиент указывает IP сервера (по опорной IP сети), устанавливает ppp >и потом отдаёт имя с паролем для аутентификации. После этого клиент >получает IP и работает с ним. На стороне сервера аутентификацию выполняет >(возможно в radius) тот, кто поднял ppp т.е. ppp или pppd >или как у меня exppp. >PPPoE - происходит примерно тоже самое только к серверу клиент стучится не >по опорной IP сети а по Ethernet, т.е. IP адрес сервера >клиент не указывает. Всё остальное вроде очень похоже... > >Суть спора не пойму... интересует секретность при аутентификации? или что? Поднять поддельный >pptp сервер в принципе можно, но не думаю что от этого >будет много толку для хацкера (если сеть в принципе построена верно). >Поддельный PPPoE тоже можно поднять, но там есть тоже свои ньюансы >(сам ен пользовал, не в курсе). >Передачу паролей и там и там можно сделать CHAP или MSCHAP т.е. >пароли будут шифроваться. Трафик шифровать не вижу смысла. Если эта система >используется для отдаче клиенту дырки в мир, то смысла шифровать трафик >очень не много. Если такая система используется для доступа в ЛВС >из мира, то шифровать трафик есть очень не маленький смысл. :) > Я уже сам не понял о чем спор. Задачи шифровать нету. Задача в том, чтобы безопастно прередать пароль. PPTP не подходит, ибо погда у клиента получается 2 ИП... зачем это надо?... Поэтому решено было использовать PPPoE... и ИП один и АДСЛ-роутеры можно подключить единообразно с клиентами. Задача изначально была в безопасной авторизации пользователей и организации PPP-соединения, потому как писать свое что-то долго и неефективно, а авторизация по ИП или МАК - неактуально
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	10. "Безопастность PPPoE"
	Сообщение от Grey (??) on 24-Май-06, 15:45
	>Я уже сам не понял о чем спор. Задачи шифровать нету. Задача >в том, чтобы безопастно прередать пароль. PPTP не подходит, ибо погда >у клиента получается 2 ИП... зачем это надо?... Поэтому решено было >использовать PPPoE... и ИП один и АДСЛ-роутеры можно подключить единообразно с >клиентами. > >Задача изначально была в безопасной авторизации пользователей и организации PPP-соединения, потому как >писать свое что-то долго и неефективно, а авторизация по ИП или >МАК - неактуально а какая проблема с двумя IP ? подняв коннект клиент получит IP для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и будет пахать спокойно ... у меня так толпа пашет и ничего а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не будет пахать как надо ... оно пашет только в одном сегменте... для работы через (к примеру) роутер надо будет на роутере делать некие движения....
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	11. "Безопастность PPPoE"
	Сообщение от def (??) on 24-Май-06, 15:51
	>а какая проблема с двумя IP ? подняв коннект клиент получит IP >для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и >будет пахать спокойно ... у меня так толпа пашет и ничего Для поднятия PPTP у клиента уже должен быть IP чтобы установить соединение. И как это организовать? Выдавать по DHCP IP из 192.168.0.0/16 а для работы в туннеле использовать 10.0.0.0/8. Неправильно это... PPTP не для тех задач сделали, которые мне нужно решить >а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не >будет пахать как надо ... оно пашет только в одном сегменте... >для работы через (к примеру) роутер надо будет на роутере делать >некие движения.... Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го уровня... Пакеты на 3м уровне не разрулите
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	12. "Безопастность PPPoE"
	Сообщение от Grey (??) on 24-Май-06, 16:09
	>>а какая проблема с двумя IP ? подняв коннект клиент получит IP >>для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и >>будет пахать спокойно ... у меня так толпа пашет и ничего > >Для поднятия PPTP у клиента уже должен быть IP чтобы установить соединение. >И как это организовать? Выдавать по DHCP IP из 192.168.0.0/16 а >для работы в туннеле использовать 10.0.0.0/8. Неправильно это... PPTP не для >тех задач сделали, которые мне нужно решить ну это на вкус и цвет ...... :) > >>а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не >>будет пахать как надо ... оно пашет только в одном сегменте... >>для работы через (к примеру) роутер надо будет на роутере делать >>некие движения.... > >Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го >уровня... Пакеты на 3м уровне не разрулите клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно .... вы MAC адрес клиента увидете через роутер к примеру?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	13. "Безопастность PPPoE"
	Сообщение от def (??) on 24-Май-06, 16:24
	>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го >>уровня... Пакеты на 3м уровне не разрулите > >клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно .... >вы MAC адрес клиента увидете через роутер к примеру? я ж об этом и написал, что делать не нужно ничего не потому что все и так работает, а потому что в любом случае не будет работать :))) Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и сервером.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	14. "Безопастность PPPoE"
	Сообщение от Grey (??) on 24-Май-06, 16:26
	>>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го >>>уровня... Пакеты на 3м уровне не разрулите >> >>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно .... >>вы MAC адрес клиента увидете через роутер к примеру? > >я ж об этом и написал, что делать не нужно ничего не >потому что все и так работает, а потому что в любом >случае не будет работать :))) > >Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и >сервером. в разрыве сегмента (роутере) надо делать arpproxy и должно работать ..... но сам не делал ... вообще я не занимался PPPoE потому что меня вполне устроило в своё время pptp :)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	15. "Безопастность PPPoE"
	Сообщение от Grey (??) on 24-Май-06, 16:28
	>>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го >>>уровня... Пакеты на 3м уровне не разрулите >> >>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно .... >>вы MAC адрес клиента увидете через роутер к примеру? > >я ж об этом и написал, что делать не нужно ничего не >потому что все и так работает, а потому что в любом >случае не будет работать :))) > >Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и >сервером. а сегментировать сеть вам рано или поздно придётся... потому как всё строить на одном сегменте (домене коллизий) это до поры до времени ....
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	16. "Безопастность PPPoE"
	Сообщение от def (??) on 24-Май-06, 16:46
	>а сегментировать сеть вам рано или поздно придётся... потому как всё строить >на одном сегменте (домене коллизий) это до поры до времени .... есть ли что-то такое... некое, что поднимает PPPoE обращаясь к RADIUS-серверу? - какая-то Cisco или ZyXEL? Если да - клиент получит IP и тогда уже его можно будет маршрутизировать
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	18. "Безопастность PPPoE"
	Сообщение от Grey (??) on 24-Май-06, 18:04
	>>а сегментировать сеть вам рано или поздно придётся... потому как всё строить >>на одном сегменте (домене коллизий) это до поры до времени .... > >есть ли что-то такое... некое, что поднимает PPPoE обращаясь к RADIUS-серверу? - >какая-то Cisco или ZyXEL? Если да - клиент получит IP и >тогда уже его можно будет маршрутизировать о чём речь? представьте что у вас сеть, в которой роутер разделяет клиента и сервер PPPoE. на роутере разрыв сегмента (домена коллизий)... в таком положении клиент не увидет сервер PPPoE и не сможет к нему прицепиться... При чём тут RADIUS? radius нужен для того, что б тот кто делает ppp на сервере смог авторизовать клиента перед тем как дать ему IP и возможность работать по поднятому ppp. При чём тут маршрутизация? пока клиент не получил IP и возможность работать по ppp ни о какой маршрутизации речи нет и быть не может. Когда у клиента работает ppp и есть адрес выданный сервером, тогда маршрутизируйте сколько угодно ... но я говорил не об этом...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	19. "Безопастность PPPoE"
	Сообщение от def (??) on 25-Май-06, 10:36
	Мы вроде бы говорим об одном но в то же время о разном... >представьте что у вас сеть, в которой роутер разделяет клиента и сервер >PPPoE. на роутере разрыв сегмента (домена коллизий)... в таком положении клиент >не увидет сервер PPPoE и не сможет к нему прицепиться... Именно, поэтомы я и хочу поставить с каждом сегменте ЧТО-ТО, что будет выполнять роль сервера PPPoE. >При чём тут RADIUS? radius нужен для того, что б тот кто >делает ppp на сервере смог авторизовать клиента перед тем как дать >ему IP и возможность работать по поднятому ppp. Проблема в чем: нельзя разнести PPPoE-сервер и PPP-сервер.. Всё было бы проще если сделать на PPPTP, но есть АДСЛ-модемы, которые это не поддерживают. >При чём тут маршрутизация? пока клиент не получил IP и возможность работать >по ppp ни о какой маршрутизации речи нет и быть не >может. Когда у клиента работает ppp и есть адрес выданный сервером, >тогда маршрутизируйте сколько угодно ... но я говорил не об этом... Вот поэтому и не должно быть роутеров между PPPoE-сервером и клиентом... а что это за роутер, который бродкасты рассылает???
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	17. "Безопастность PPPoE"
	Сообщение от Ottard on 24-Май-06, 17:17
	>>Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом. >>Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI) > >http://www.lanbilling.ru/vpn_solution.html - А я настаиваю! > >Еще будет полезно заглянуть сюда http://samba.org/ppp/ >И сюда http://www.opennet.ru/base/net/pptp_mppe_mppc.txt.html Ты путаешь PPPoE и PPtP. Я описывал первый случай и там таки да, не нужно указывать IP сервера. ты-же ссылаешься на VPN (PPTP) и в нем сервер указывается.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]