| 1.1, balamut (??), 23:33, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
это ужасно. vpn и pppoe туннелирование используется для однозначной идентификации пользователя по ip. а в данном примере предполагается что ip пользователю выдается по DHCP. таким образом злоумышленник может всегда поменять ip на чужой. значит возле кафешки однажды заведутся хитрые парни с ноутом, юзающие халявный инет (и рутящих fsb.ru :)), а у юзеров забашлявших за инет - начнутся проблемы с доступом.
это решение ново только потому что до подобной глупости из здравомыслящих людей (админов) никто не додумался. | | |
| |
| 2.2, Alex (??), 01:24, 20/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
 Ну насколько я понимаю mac address lockout еще никто не отменял. Подозреваю, предполагается, что админ всем этим рулящий не утерял остатки здравого смысла. Хотя в статейке не плохо бы это учеть это и в явном виде указать. А так why not. Все остальные методы решения подобной проблемы либо дороги, либо также "коленочные". | | |
| |
| 3.5, asso (?), 05:28, 20/09/2006 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну насколько я понимаю mac address lockout еще никто не отменял.
А толку? Подменить IP- и MAC- адреса на адреса злейшего соседа - дело пяти минут. arpwatch ничего не заметит, замарозка ARP таблицы в этом случае не поможет.
Привязываться к Mac- и IP- адресам - это то же самое что работать вообще без аутентификации. | | |
|
|
| 1.3, guest (??), 02:50, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
I can change MAC address in 5 seconds - who's faster?
Article is stupid and dangerous. | | |
| 1.4, Oleg (??), 03:22, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Идея ненова. Web аутентификация давно реализована, например, в DLink DSA-3100.
Да и больше года назад сами реализовали такую схему, которая считала и
по трафику и по времени в качестве экспериментальной разработки. Но не стали
внедрять из-за проблемы подмены IP адресов. К тому же эта схема работает
при одном условии - все точки доступа находятся в одном широковещательном
домене и/или прямой их связи с сервером. И абсолютно не экономичная если сеть провайдера состоит из множества узлов не связанных одним широковещательным доменом. К каждому узлу подключается много AP и по данной схеме в каждый узел необходимо ставить по серверу - это не целесообразная трата денег. | | |
| |
| 2.10, Билли (?), 13:07, 20/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
 >Идея ненова. Web аутентификация давно реализована, например, в DLink DSA-3100.
Поинтересовался. В этой железке во первых web auth работает только по внутренней базе, и с RADIUS не взаимодействует, как следствие, нет возможности генерировать карточки. Во вторых DLink DSA-3100 + точка (что нибудь типа Di-624i) = 410 $ что не есть мягко говоря бюджетно. А насколько я понимаю вариант предложен для глупой точки - бриджа. Опять же вопрос с keep alive. Проверяли ? Есть он в 3100 ? У меня пока есть только сомнения поскольку сам не проверял.
| | |
| |
| 3.16, Oleg (??), 08:13, 21/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
Dlink DSA-3100 прекрасно работает с Radius (FreeRadius).
| | |
|
|
| 1.6, sasha (??), 10:11, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Статья как издевательство...
Для этих целей 802.1x используют. Сейчас поддерживается всеми железяками, не говоря уже о UNIX/Windows | | |
| |
| 2.7, Билли (?), 11:10, 20/09/2006 [^] [^^] [^^^] [ответить] | +/– | Сложилось впечатление, что внимательно читать это не для нас Во-первых альтерна... большой текст свёрнут, показать | | |
| |
| 3.14, balamut (??), 22:41, 20/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Ставя себя на место злоумышленника, при стоимость
>инета, вообще по жизни в 5 копеек, ну какой дебил будет
>сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать
>его ip / mac, сменить его себе и не получить нихрена
>т.к. все сломается у обоих и владелец заведения просто извинится и
>выдаст новую карточку "потерпевшему".
а дебилов хватает между прочим. скрипткиддисы всякие зачем-то дефейсят первые попавшиеся при поиске по гуглю сайты содержащие ключевые слова типа "CMS XXXX version X.X.X", тольк потому что скочали свежий сплойт.
несекурно и все тут. настроить стандартное pppoe соединение в вин ХР не сложней чем пароль в
веб-морде ввести. в конце концов можно диск сделать. есть же в мастере настройки сетевых подключений пункт "использовать компакт-диск поставщика услуг интернета". лучше бы написали как такой диск сделать, чем из iptables лес городить. | | |
| 3.17, Oleg (??), 08:21, 21/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
>нибудь ? Вот и я не видел.
Keep live Dlink DSA-3100 в радиус не шлет.
>Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.
Зато радиус может сообщить DSA-3100 сколько времени данному юзеру работать. Далее сам DSA-3100 по истечении указаного времени шлет стоп-пакет на радиус. Проверено работает.
Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.
| | |
| 3.25, Sergei (??), 12:13, 04/11/2006 [^] [^^] [^^^] [ответить] | +/– |  Если можно пришли, пожалуйста, экспертную оценку И еще может будет полезной инф... большой текст свёрнут, показать | | |
| 3.26, suik (?), 16:40, 29/01/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
>нибудь ? Вот и я не видел. Аутентификация прошла и все,
>привет, дальше что с ней делать не понятно, чел сидит в
>нете. Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.
если не сложно поделись пожалуйста
| | |
| 3.27, Эллад (?), 21:09, 30/04/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
>нибудь ? Вот и я не видел. Аутентификация прошла и все,
>привет, дальше что с ней делать не понятно, чел сидит в
>нете. Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.
Любопытно было бы вообще какой-нибудь работающий пример (на эксперименты времени нет). FreeBSD/FreeRADIUS/MySQL, WiFi D-Link Одна из самых простых (524, что ли?) - это то, что уже имеется. Поможете запустить?
| | |
|
|
| 1.8, sasha (??), 11:32, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> 802.1х - тяжелое решение не для случая когда надо быстро и главное просто зайти в инет, что бы прочитать почту
все настраивается элементарно
> Dlink это вообще отдельный разговор - keealive там в радиусе видел кто нибудь ? Вот и я не видел. Аутентификация прошла и все, привет, дальше что с ней делать не понятно, чел сидит в нете. Когда он закончит сессию? потеряется она?
не знаю как D-Link , но ZyXEL (ES-4024 или похожие) могут и с RADIUS'ом работать. | | |
| |
| 2.9, Билли (?), 12:55, 20/09/2006 [^] [^^] [^^^] [ответить]
| +/– | |
> все настраивается элементарно
Очень спорно, очень. Согласен настраивается, но надо читать инструкцию , лезть в менюхи что то прописывать, это не для hotspot а в баре. | | |
|
| 1.11, brain (ok), 13:58, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 г. Москва, м. Багратионовская, ТК "Горбушкин Двор". Приглашаю всех проверить как работает наш большой wi-fi hotspot.
Кстати, работает на LANBilling + D-Link DWL-3200. Без авторизации пользователя бегают по локальным сайтам. Установив pppoe соединение (инструкция на карточке и на сайте) ходят в инет. | | |
| 1.12, sasha (??), 17:23, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Очень спорно, очень. Согласен настраивается, но надо читать инструкцию , лезть в менюхи что то прописывать, это не для hotspot а в баре
А еще нужно на ноут ОСь ставить, уметь его включать, на кнопочки нажимать...
Почему все ориентируются на тупых юзеров? Юзер не тупой.
Мои сами OpenVPN-соединения настраивают.. и ничего | | |
| |
| 2.18, AleXgRey (ok), 10:23, 21/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
 А мои даже непонимают каким образом производиться оплата
да и в офисе бухгалтера незнают как word'е редактировать.
а ты говоришь OpenVPN.... | | |
| |
| 3.21, PixeL (??), 21:14, 21/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
>А мои даже непонимают каким образом производиться оплата
>да и в офисе бухгалтера незнают как word'е редактировать.
>а ты говоришь OpenVPN....
аж завидую!!! у нас такие тупые юзеры, что не могут себе нормально вписать логин и пароль для доступа в статистику :D | | |
|
| 2.19, Alex (??), 10:48, 21/09/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Ну тебе повезло, большинству нет, юзеры на то и юзеры, никто не говорит что они тупые. Наоборот очень даже ничего попадаются 90-60-90 :) бывает вот только у них своя работа и они лучшие в ней. А vpn настраивать не их дело. А человек пришедший в бар вообще мозг на 50 % выключает (throttling у него начинает работать :) как правило, если выпивает отключается еще процентов на 25%. Поверь мне, у меня кафешка в центре. Так что не ровняй чела который сидит в офисе и тупит в комп и чела, который лежит на лежаке в гостинице , ну скажем, где нибудь на побережье португалии. | | |
| 2.22, Антон (??), 22:49, 21/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
>А еще нужно на ноут ОСь ставить, уметь его включать, на кнопочки
>нажимать...
>Почему все ориентируются на тупых юзеров? Юзер не тупой.
>Мои сами OpenVPN-соединения настраивают.. и ничего
У вас не массовый сервис, если бы вы имели десяток хотспотов по карточкам и общались со своим суппортом, вы бы поменяли свое мнение про тупизну пользователей.
Аутентификация через web правильное дело. Подключил ноут, получил IP по DHCP, на любой URL в браузере получил страницу ввода номера карты, ввел код и сидишь посматриваешл мельком на статистику.
| | |
|
| |
| 2.15, Sasha (??), 06:16, 21/09/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Я его не для бара использую.. это был как пример о нормальности юзеров, и что следует применять такие вещи как .1x для своих целей. И на Д-Линках не нужно зацикливаться. | | |
|
| 1.20, Аноним (-), 18:42, 21/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>С openVPN-ном томорзят онлайн игры, а гилдвор с бара это гламурно)
От настройки зависит - RTFM. | | |
| 1.23, scum (??), 10:22, 28/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А я вот чего подумал, а ведь и вправду люди, которые в кафешки с ноутбуками ходят, могут сами OpenVPN настроить. Просто потому, что или они сами компьютерщики, или просто компьютерные фанаты. Для большинства других товарищей таскать с собой ноут - нахрен надо, да и нет у большинства из них ноутбуков вообще. Зачем они им? Но, когда ситуация эта изменится, и каждый будет таскать с собой мини комп (как сейчас с сотовыми обстоит дело), тогда плохо дело будет. Потому что все существующие средства аутентификации/авторизации явно не рассчитаны на понимание принципов их работы простым гражданином (не компьютерщиком). Даже если перед его мордой постоянно махать памяткой, как PPPoE в винде настраивать. Тут нужно что то другое. Лично я голосую за 802.1X и то, что поверх него обязательно накрутят, когда стандарт пойдет в массы. | | |
| 1.24, scum (??), 10:25, 28/09/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Кстати, Билли. А что за экспертная оценка? Если не трудно, намыль пожалуйста на scum001@gmail.com По гроб жизни благодарен буду. | | |
| |
| 2.28, Эллад (?), 21:50, 30/04/2008 [^] [^^] [^^^] [ответить]
| +/– |
Прошу помочь в таком вот вопросе - один наш клиент (неважно какой, главное - для нас важный) обратился организовать в его публичном месте WiFi-сеть, так, чтобы он выдавал карточки приходящим гостям, а они подключались бы самым простым способом к WiFi-сети (небезопасная сеть, что ли?), но при вводе URL в браузере получали бы вместо искомой странички - Web-регистрацию. Туда необходимо ввести логин и пароль с карточки, тогда получаешь доступ в Интернет. В идеале - чтобы после регистрации в сети гость таки попадал бы на введенный URL, но если и будет теряться сайт - тоже не страшно, это всего лишь пожелание клиента - он заботится о гостях. В общем, история, как в аэропортах - так делает какой-нибудь GoldenWiFi. В точности такое и нам надо.
Поскольку я имею мало опыта, прошу вас помочь:
1) какая технология для этого применима? На ум приходит RADIUS, но он порождает больше вопросов, чем ответов. Например - как клиенту, законно аутентифицировавшемуся, оборвать сессию по истечении времени (считать надо только время - сессси могуть быть час, два, три и т. п., а потом обрывать соединения)? И, например, если клиент аутентифицировался, а потом взял, да и передал свою карточку соседу? Или, через час взял, да и вновь попытался аутентифицироваться? И как блокировать/разблокировать доступ клиенту к Интернет? На файрволе на выпускающем маршрутизаторе? Каким-нибудь IPTABLES? Как осуществлять редирект для ввода пароля? А потом все-таки возвращать гостя на запрошенную страницу?
2) какое оборудование посоветуете? Я не с проста начал с технологии - когда понятно, что делать, ясны и требования к оборудованию.. Что бы вы посоветовали?
| | |
| |
| 3.29, Аноним (-), 13:03, 23/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
traffpro.ru думаю за не большую сумму ребята организуют web-авторизацию
а если хотишь RADIUS нужен будет биллинг + железо которое будет поддерживать
смотри MicroTIK и D-link, если денег хвататет Cisco, Linksys
| | |
| |
| 4.30, Vladimir Ksielyov (?), 00:56, 22/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
 А не пробывали тупо - открытый доступ, но все закругляется на squid - с логином и паролем.
и пока сессия открыта, инет есть и считается. сессия закрыта, инета нету.
Усер профукал свой логин/пасс - сам виноват.
А?
P.S. Собираюсь делать что то похожее в деревне.
| | |
|
|
|
|
