Насколько безопастна PPPoE-авторизация? Возможен ли вариант сделать авторизацию и доступ через PPPoE из локальной сети? Возможно ли в этом случае перехватить передаваемые пароли или "подменить сервер"? Спасибо.
PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети. (см. полное названи протокола)
Для такой авторизации необходим PPP и скорее всего PPTP.
В таком случае авторизация проходит по (MS)CHAP протоколу. Также возможно шифрование трафика - MPPE (от M$).
>PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети.
>(см. полное названи протокола)
>Для такой авторизации необходим PPP и скорее всего PPTP.
>В таком случае авторизация проходит по (MS)CHAP протоколу. Также возможно шифрование трафика
>- MPPE (от M$).Я это понимаю. Но канал сначала нужно организовать, а потом уже идет авторизация. Если локалка, фреймы PPPoE может перехватить любой, у них же нет получателя, и если кто-то установит у себя на сервер PPPoE/PPP, то может довести пользователя до режима авторизации, где он и выдаст пароль. Поправте если я не прав
>если кто-то установит у себя на сервер PPPoE/PPP,
>то может довести пользователя до режима авторизации, где он и выдаст
>пароль. Поправте если я не правПущай ставит. Пользователь при подключении к серверу вводит его IP адрес (локальной сети). А как у вас 2 IP в 1 сети дружить будут? Это вам не DHCP. Хотя, говорят там тоже можно авторитативность проверить.
>>если кто-то установит у себя на сервер PPPoE/PPP,
>>то может довести пользователя до режима авторизации, где он и выдаст
>>пароль. Поправте если я не прав
>
>Пущай ставит. Пользователь при подключении к серверу вводит его IP адрес (локальной
>сети). А как у вас 2 IP в 1 сети
>дружить будут? Это вам не DHCP. Хотя, говорят там тоже можно
>авторитативность проверить.Не вводить.... PPPoE протокол 2го уровня, так же как и PPP. Возможно в винде это и можно как-то сделать, но в установках АДСЛ-модемов (ZyXEL) только логин/пароль... и всё. АДСЛ-щиков тоже хочется в сеть "запихнуть".
>Не вводить.... PPPoE протокол 2го уровня, так же как и PPP. Возможно
>в винде это и можно как-то сделать, но в установках АДСЛ-модемов
>(ZyXEL) только логин/пароль... и всё. АДСЛ-щиков тоже хочется в сеть "запихнуть".С этого надо было начать. С ADSL ZyXEL извини, не в курсе...
Насчет безопастности:
Во первых при авторизации ты можешь использовать протокол CHAP. Это значит что твой пороль посылается в криптованом виде. Даже если кто-то в сети настроит PPPoE sniffer, он получит криптованый пароль.
Несколько заммечаний по написанному:>PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети.
PPPoE server таки авторизует юзера либо по PAP либо по CHAP протоколу.
И PPPoE и PPTP работают на основе одного и того-же PPP demona. Разница в типе авторизации и в том что уже после авторизации PPTP позволяет сделать MPPE traffic encription tunel.>Пользователь при подключении к серверу вводит его IP адрес
Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)
>PPPoE server таки авторизует юзера либо по PAP либо по CHAP протоколу.
Сомневаюсь :)
http://www.roaringpenguin.com/penguin/open_source_rp-pppoe.php
см. README>И PPPoE и PPTP работают на основе одного и того-же PPP demona.
>Разница в типе авторизации и в том что уже после авторизации
>PPTP позволяет сделать MPPE traffic encription tunel.
Значит таки на основе PPP, который и авторизует! Зачем себе противоречить?>>Пользователь при подключении к серверу вводит его IP адрес
>
>Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
>Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)http://www.lanbilling.ru/vpn_solution.html - А я настаиваю!
Еще будет полезно заглянуть сюда http://samba.org/ppp/
И сюда http://www.opennet.me/base/net/pptp_mppe_mppc.txt.html
Да в чём спор то? :)
PPTP - клиент указывает IP сервера (по опорной IP сети), устанавливает ppp и потом отдаёт имя с паролем для аутентификации. После этого клиент получает IP и работает с ним. На стороне сервера аутентификацию выполняет (возможно в radius) тот, кто поднял ppp т.е. ppp или pppd или как у меня exppp.
PPPoE - происходит примерно тоже самое только к серверу клиент стучится не по опорной IP сети а по Ethernet, т.е. IP адрес сервера клиент не указывает. Всё остальное вроде очень похоже...Суть спора не пойму... интересует секретность при аутентификации? или что? Поднять поддельный pptp сервер в принципе можно, но не думаю что от этого будет много толку для хацкера (если сеть в принципе построена верно). Поддельный PPPoE тоже можно поднять, но там есть тоже свои ньюансы (сам ен пользовал, не в курсе).
Передачу паролей и там и там можно сделать CHAP или MSCHAP т.е. пароли будут шифроваться. Трафик шифровать не вижу смысла. Если эта система используется для отдаче клиенту дырки в мир, то смысла шифровать трафик очень не много. Если такая система используется для доступа в ЛВС из мира, то шифровать трафик есть очень не маленький смысл. :)
>Да в чём спор то? :)
>PPTP - клиент указывает IP сервера (по опорной IP сети), устанавливает ppp
>и потом отдаёт имя с паролем для аутентификации. После этого клиент
>получает IP и работает с ним. На стороне сервера аутентификацию выполняет
>(возможно в radius) тот, кто поднял ppp т.е. ppp или pppd
>или как у меня exppp.
>PPPoE - происходит примерно тоже самое только к серверу клиент стучится не
>по опорной IP сети а по Ethernet, т.е. IP адрес сервера
>клиент не указывает. Всё остальное вроде очень похоже...
>
>Суть спора не пойму... интересует секретность при аутентификации? или что? Поднять поддельный
>pptp сервер в принципе можно, но не думаю что от этого
>будет много толку для хацкера (если сеть в принципе построена верно).
>Поддельный PPPoE тоже можно поднять, но там есть тоже свои ньюансы
>(сам ен пользовал, не в курсе).
>Передачу паролей и там и там можно сделать CHAP или MSCHAP т.е.
>пароли будут шифроваться. Трафик шифровать не вижу смысла. Если эта система
>используется для отдаче клиенту дырки в мир, то смысла шифровать трафик
>очень не много. Если такая система используется для доступа в ЛВС
>из мира, то шифровать трафик есть очень не маленький смысл. :)
>
Я уже сам не понял о чем спор. Задачи шифровать нету. Задача в том, чтобы безопастно прередать пароль. PPTP не подходит, ибо погда у клиента получается 2 ИП... зачем это надо?... Поэтому решено было использовать PPPoE... и ИП один и АДСЛ-роутеры можно подключить единообразно с клиентами.Задача изначально была в безопасной авторизации пользователей и организации PPP-соединения, потому как писать свое что-то долго и неефективно, а авторизация по ИП или МАК - неактуально
>Я уже сам не понял о чем спор. Задачи шифровать нету. Задача
>в том, чтобы безопастно прередать пароль. PPTP не подходит, ибо погда
>у клиента получается 2 ИП... зачем это надо?... Поэтому решено было
>использовать PPPoE... и ИП один и АДСЛ-роутеры можно подключить единообразно с
>клиентами.
>
>Задача изначально была в безопасной авторизации пользователей и организации PPP-соединения, потому как
>писать свое что-то долго и неефективно, а авторизация по ИП или
>МАК - неактуальноа какая проблема с двумя IP ? подняв коннект клиент получит IP для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и будет пахать спокойно ... у меня так толпа пашет и ничего
а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не будет пахать как надо ... оно пашет только в одном сегменте... для работы через (к примеру) роутер надо будет на роутере делать некие движения....
>а какая проблема с двумя IP ? подняв коннект клиент получит IP
>для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и
>будет пахать спокойно ... у меня так толпа пашет и ничегоДля поднятия PPTP у клиента уже должен быть IP чтобы установить соединение. И как это организовать? Выдавать по DHCP IP из 192.168.0.0/16 а для работы в туннеле использовать 10.0.0.0/8. Неправильно это... PPTP не для тех задач сделали, которые мне нужно решить
>а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не
>будет пахать как надо ... оно пашет только в одном сегменте...
>для работы через (к примеру) роутер надо будет на роутере делать
>некие движения....Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го уровня... Пакеты на 3м уровне не разрулите
>>а какая проблема с двумя IP ? подняв коннект клиент получит IP
>>для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и
>>будет пахать спокойно ... у меня так толпа пашет и ничего
>
>Для поднятия PPTP у клиента уже должен быть IP чтобы установить соединение.
>И как это организовать? Выдавать по DHCP IP из 192.168.0.0/16 а
>для работы в туннеле использовать 10.0.0.0/8. Неправильно это... PPTP не для
>тех задач сделали, которые мне нужно решитьну это на вкус и цвет ...... :)
>
>>а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не
>>будет пахать как надо ... оно пашет только в одном сегменте...
>>для работы через (к примеру) роутер надо будет на роутере делать
>>некие движения....
>
>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>уровня... Пакеты на 3м уровне не разрулитеклиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно .... вы MAC адрес клиента увидете через роутер к примеру?
>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>уровня... Пакеты на 3м уровне не разрулите
>
>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>вы MAC адрес клиента увидете через роутер к примеру?я ж об этом и написал, что делать не нужно ничего не потому что все и так работает, а потому что в любом случае не будет работать :)))
Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и сервером.
>>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>>уровня... Пакеты на 3м уровне не разрулите
>>
>>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>>вы MAC адрес клиента увидете через роутер к примеру?
>
>я ж об этом и написал, что делать не нужно ничего не
>потому что все и так работает, а потому что в любом
>случае не будет работать :)))
>
>Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и
>сервером.в разрыве сегмента (роутере) надо делать arpproxy и должно работать ..... но сам не делал ... вообще я не занимался PPPoE потому что меня вполне устроило в своё время pptp :)
>>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>>уровня... Пакеты на 3м уровне не разрулите
>>
>>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>>вы MAC адрес клиента увидете через роутер к примеру?
>
>я ж об этом и написал, что делать не нужно ничего не
>потому что все и так работает, а потому что в любом
>случае не будет работать :)))
>
>Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и
>сервером.а сегментировать сеть вам рано или поздно придётся... потому как всё строить на одном сегменте (домене коллизий) это до поры до времени ....
>а сегментировать сеть вам рано или поздно придётся... потому как всё строить
>на одном сегменте (домене коллизий) это до поры до времени ....есть ли что-то такое... некое, что поднимает PPPoE обращаясь к RADIUS-серверу? - какая-то Cisco или ZyXEL? Если да - клиент получит IP и тогда уже его можно будет маршрутизировать
>>а сегментировать сеть вам рано или поздно придётся... потому как всё строить
>>на одном сегменте (домене коллизий) это до поры до времени ....
>
>есть ли что-то такое... некое, что поднимает PPPoE обращаясь к RADIUS-серверу? -
>какая-то Cisco или ZyXEL? Если да - клиент получит IP и
>тогда уже его можно будет маршрутизироватьо чём речь?
представьте что у вас сеть, в которой роутер разделяет клиента и сервер PPPoE. на роутере разрыв сегмента (домена коллизий)... в таком положении клиент не увидет сервер PPPoE и не сможет к нему прицепиться...
При чём тут RADIUS? radius нужен для того, что б тот кто делает ppp на сервере смог авторизовать клиента перед тем как дать ему IP и возможность работать по поднятому ppp.
При чём тут маршрутизация? пока клиент не получил IP и возможность работать по ppp ни о какой маршрутизации речи нет и быть не может. Когда у клиента работает ppp и есть адрес выданный сервером, тогда маршрутизируйте сколько угодно ... но я говорил не об этом...
Мы вроде бы говорим об одном но в то же время о разном...>представьте что у вас сеть, в которой роутер разделяет клиента и сервер
>PPPoE. на роутере разрыв сегмента (домена коллизий)... в таком положении клиент
>не увидет сервер PPPoE и не сможет к нему прицепиться...Именно, поэтомы я и хочу поставить с каждом сегменте ЧТО-ТО, что будет выполнять роль сервера PPPoE.
>При чём тут RADIUS? radius нужен для того, что б тот кто
>делает ppp на сервере смог авторизовать клиента перед тем как дать
>ему IP и возможность работать по поднятому ppp.Проблема в чем: нельзя разнести PPPoE-сервер и PPP-сервер.. Всё было бы проще если сделать на PPPTP, но есть АДСЛ-модемы, которые это не поддерживают.
>При чём тут маршрутизация? пока клиент не получил IP и возможность работать
>по ppp ни о какой маршрутизации речи нет и быть не
>может. Когда у клиента работает ppp и есть адрес выданный сервером,
>тогда маршрутизируйте сколько угодно ... но я говорил не об этом...Вот поэтому и не должно быть роутеров между PPPoE-сервером и клиентом...
а что это за роутер, который бродкасты рассылает???
>>Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
>>Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)
>
>http://www.lanbilling.ru/vpn_solution.html - А я настаиваю!
>
>Еще будет полезно заглянуть сюда http://samba.org/ppp/
>И сюда http://www.opennet.me/base/net/pptp_mppe_mppc.txt.htmlТы путаешь PPPoE и PPtP. Я описывал первый случай и там таки да, не нужно указывать IP сервера. ты-же ссылаешься на VPN (PPTP) и в нем сервер указывается.