В статье (http://www.lanbilling.ru/wifi_solution.html) приводятся примеры скриптов для организации упрощенной формы аутентификации клиента в беспроводных сетях.URL: http://www.lanbilling.ru/wifi_solution.html
Новость: http://www.opennet.me/opennews/art.shtml?num=8360
это ужасно. vpn и pppoe туннелирование используется для однозначной идентификации пользователя по ip. а в данном примере предполагается что ip пользователю выдается по DHCP. таким образом злоумышленник может всегда поменять ip на чужой. значит возле кафешки однажды заведутся хитрые парни с ноутом, юзающие халявный инет (и рутящих fsb.ru :)), а у юзеров забашлявших за инет - начнутся проблемы с доступом.
это решение ново только потому что до подобной глупости из здравомыслящих людей (админов) никто не додумался.
Ну насколько я понимаю mac address lockout еще никто не отменял. Подозреваю, предполагается, что админ всем этим рулящий не утерял остатки здравого смысла. Хотя в статейке не плохо бы это учеть это и в явном виде указать. А так why not. Все остальные методы решения подобной проблемы либо дороги, либо также "коленочные".
> Ну насколько я понимаю mac address lockout еще никто не отменял.А толку? Подменить IP- и MAC- адреса на адреса злейшего соседа - дело пяти минут. arpwatch ничего не заметит, замарозка ARP таблицы в этом случае не поможет.
Привязываться к Mac- и IP- адресам - это то же самое что работать вообще без аутентификации.
I can change MAC address in 5 seconds - who's faster?
Article is stupid and dangerous.
Идея ненова. Web аутентификация давно реализована, например, в DLink DSA-3100.
Да и больше года назад сами реализовали такую схему, которая считала и
по трафику и по времени в качестве экспериментальной разработки. Но не стали
внедрять из-за проблемы подмены IP адресов. К тому же эта схема работает
при одном условии - все точки доступа находятся в одном широковещательном
домене и/или прямой их связи с сервером. И абсолютно не экономичная если сеть провайдера состоит из множества узлов не связанных одним широковещательным доменом. К каждому узлу подключается много AP и по данной схеме в каждый узел необходимо ставить по серверу - это не целесообразная трата денег.
>Идея ненова. Web аутентификация давно реализована, например, в DLink DSA-3100.
Поинтересовался. В этой железке во первых web auth работает только по внутренней базе, и с RADIUS не взаимодействует, как следствие, нет возможности генерировать карточки. Во вторых DLink DSA-3100 + точка (что нибудь типа Di-624i) = 410 $ что не есть мягко говоря бюджетно. А насколько я понимаю вариант предложен для глупой точки - бриджа. Опять же вопрос с keep alive. Проверяли ? Есть он в 3100 ? У меня пока есть только сомнения поскольку сам не проверял.
Dlink DSA-3100 прекрасно работает с Radius (FreeRadius).
Статья как издевательство...
Для этих целей 802.1x используют. Сейчас поддерживается всеми железяками, не говоря уже о UNIX/Windows
Сложилось впечатление, что внимательно читать это не для нас. Во-первых альтернатив подобному механизму не так много, сами столкнувшись с подобной задачей четко осознали что это либо циска с ее возможностями работать по Ip каналам, либо все остальные решение умеющие работать только в широковещательном домене.Первое дорого, второе не приближено к реальности, мягко говоря. На 90% согласен с Олегом в той части что применение подобной схемы оправдано владельцем точки у которого а) есть компьютер б) нет желания ради 10 пользователей пришедших покушать на 20 минут лепить нагромождение тяжелых решений в) имеется четкое понятие о необходимости и достаточности определенных мер по защите своих интересов.
Все сказанное выше оппонентами из области теоретики: ну сами подумайте, кто нибудь видел когда нибудь клиента в кафешке или гостинице настраивающего суппликанта 802.1х на windows планшете/ноуте ? Смешно читать. 802.1х - тяжелое решение не для случая когда надо быстро и главное просто зайти в инет, что бы прочитать почту. Ставя себя на место злоумышленника, при стоимость инета, вообще по жизни в 5 копеек, ну какой дебил будет сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать его ip / mac, сменить его себе и не получить нихрена т.к. все сломается у обоих и владелец заведения просто извинится и выдаст новую карточку "потерпевшему".
Кстати, если серьезно прочитать критику, то рано или поздно придется придти к тому что WiFi вообще надо выкинуть в помойку т.к. при защите типа WEP она ломается на раз два путем продолжительного анализа ралиоканала. Никто же не выкидывает, а WEP самый распространенный механизм защиты к слову. Много еще можно сказать, да только вывод все равно один, реальность это компромисс межно денежками/простотой и разумной достаточностью. 802.1х как бы этого не НЕ хотелось но пока является сырой. Вон HP до сих пор прошивки переделывает, т.к. даже у последних железок за более чем 100 К есть ошибки в реализации.
Dlink это вообще отдельный разговор - keealive там в радиусе видел кто нибудь ? Вот и я не видел. Аутентификация прошла и все, привет, дальше что с ней делать не понятно, чел сидит в нете. Когда он закончит сессию? потеряется она? нет? одному богу известно? В общем не все так однозначно. Интересно мнение тех кто действительно проблематикой занимался. У меня есть экспертная оценка таких решений для одной крупной сотовой компании, могу поделиться.
>Ставя себя на место злоумышленника, при стоимость
>инета, вообще по жизни в 5 копеек, ну какой дебил будет
>сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать
>его ip / mac, сменить его себе и не получить нихрена
>т.к. все сломается у обоих и владелец заведения просто извинится и
>выдаст новую карточку "потерпевшему".а дебилов хватает между прочим. скрипткиддисы всякие зачем-то дефейсят первые попавшиеся при поиске по гуглю сайты содержащие ключевые слова типа "CMS XXXX version X.X.X", тольк потому что скочали свежий сплойт.
несекурно и все тут. настроить стандартное pppoe соединение в вин ХР не сложней чем пароль в
веб-морде ввести. в конце концов можно диск сделать. есть же в мастере настройки сетевых подключений пункт "использовать компакт-диск поставщика услуг интернета". лучше бы написали как такой диск сделать, чем из iptables лес городить.
>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
>нибудь ? Вот и я не видел.Keep live Dlink DSA-3100 в радиус не шлет.
>Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.Зато радиус может сообщить DSA-3100 сколько времени данному юзеру работать. Далее сам DSA-3100 по истечении указаного времени шлет стоп-пакет на радиус. Проверено работает.
Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.
>Сложилось впечатление, что внимательно читать это не для нас. Во-первых альтернатив подобному
>механизму не так много, сами столкнувшись с подобной задачей четко осознали
>что это либо циска с ее возможностями работать по Ip каналам,
>либо все остальные решение умеющие работать только в широковещательном домене.
>
>Первое дорого, второе не приближено к реальности, мягко говоря. На 90% согласен
>с Олегом в той части что применение подобной схемы оправдано владельцем
>точки у которого а) есть компьютер б) нет желания ради 10
>пользователей пришедших покушать на 20 минут лепить нагромождение тяжелых решений в)
>имеется четкое понятие о необходимости и достаточности определенных мер по защите
>своих интересов.
>
>Все сказанное выше оппонентами из области теоретики: ну сами подумайте, кто нибудь
>видел когда нибудь клиента в кафешке или гостинице настраивающего суппликанта 802.1х
>на windows планшете/ноуте ? Смешно читать. 802.1х - тяжелое решение не
>для случая когда надо быстро и главное просто зайти в инет,
>что бы прочитать почту. Ставя себя на место злоумышленника, при стоимость
>инета, вообще по жизни в 5 копеек, ну какой дебил будет
>сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать
>его ip / mac, сменить его себе и не получить нихрена
>т.к. все сломается у обоих и владелец заведения просто извинится и
>выдаст новую карточку "потерпевшему".
>
>Кстати, если серьезно прочитать критику, то рано или поздно придется придти к
>тому что WiFi вообще надо выкинуть в помойку т.к. при защите
>типа WEP она ломается на раз два путем продолжительного анализа ралиоканала.
>Никто же не выкидывает, а WEP самый распространенный механизм защиты к
>слову. Много еще можно сказать, да только вывод все равно один,
>реальность это компромисс межно денежками/простотой и разумной достаточностью. 802.1х как бы
>этого не НЕ хотелось но пока является сырой. Вон HP до
>сих пор прошивки переделывает, т.к. даже у последних железок за более
>чем 100 К есть ошибки в реализации.
>
>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
>нибудь ? Вот и я не видел. Аутентификация прошла и все,
>привет, дальше что с ней делать не понятно, чел сидит в
>нете. Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.Если можно пришли, пожалуйста, экспертную оценку. И еще может будет полезной информация, заметил, что в DSA 3100 при аутентификации через фрирадиус действует такой атрибут как session_timeout, что не удевительно, ведь в DSA 3100 стоит линух. При этом при подключении пользователя появляется окошко, где написано сколько времени отведено пользователю и сколько осталось до конца. Хотелось бы знать какие еще атрибуты поддерживает radius DSA 3100, да вот позвонил в службу поддержки d-link, а они только разводят руками, написал им письмо в техподдержку, может там чего расскажут, если интересно, когда ответят перешлю.
>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
>нибудь ? Вот и я не видел. Аутентификация прошла и все,
>привет, дальше что с ней делать не понятно, чел сидит в
>нете. Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.если не сложно поделись пожалуйста
>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
>нибудь ? Вот и я не видел. Аутентификация прошла и все,
>привет, дальше что с ней делать не понятно, чел сидит в
>нете. Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться.Любопытно было бы вообще какой-нибудь работающий пример (на эксперименты времени нет). FreeBSD/FreeRADIUS/MySQL, WiFi D-Link Одна из самых простых (524, что ли?) - это то, что уже имеется. Поможете запустить?
> 802.1х - тяжелое решение не для случая когда надо быстро и главное просто зайти в инет, что бы прочитать почтувсе настраивается элементарно
> Dlink это вообще отдельный разговор - keealive там в радиусе видел кто нибудь ? Вот и я не видел. Аутентификация прошла и все, привет, дальше что с ней делать не понятно, чел сидит в нете. Когда он закончит сессию? потеряется она?
не знаю как D-Link , но ZyXEL (ES-4024 или похожие) могут и с RADIUS'ом работать.
> все настраивается элементарноОчень спорно, очень. Согласен настраивается, но надо читать инструкцию , лезть в менюхи что то прописывать, это не для hotspot а в баре.
г. Москва, м. Багратионовская, ТК "Горбушкин Двор". Приглашаю всех проверить как работает наш большой wi-fi hotspot.Кстати, работает на LANBilling + D-Link DWL-3200. Без авторизации пользователя бегают по локальным сайтам. Установив pppoe соединение (инструкция на карточке и на сайте) ходят в инет.
> Очень спорно, очень. Согласен настраивается, но надо читать инструкцию , лезть в менюхи что то прописывать, это не для hotspot а в бареА еще нужно на ноут ОСь ставить, уметь его включать, на кнопочки нажимать...
Почему все ориентируются на тупых юзеров? Юзер не тупой.
Мои сами OpenVPN-соединения настраивают.. и ничего
А мои даже непонимают каким образом производиться оплата
да и в офисе бухгалтера незнают как word`е редактировать.
а ты говоришь OpenVPN....
>А мои даже непонимают каким образом производиться оплата
>да и в офисе бухгалтера незнают как word`е редактировать.
>а ты говоришь OpenVPN....
аж завидую!!! у нас такие тупые юзеры, что не могут себе нормально вписать логин и пароль для доступа в статистику :D
Ну тебе повезло, большинству нет, юзеры на то и юзеры, никто не говорит что они тупые. Наоборот очень даже ничего попадаются 90-60-90 :) бывает вот только у них своя работа и они лучшие в ней. А vpn настраивать не их дело. А человек пришедший в бар вообще мозг на 50 % выключает (throttling у него начинает работать :) как правило, если выпивает отключается еще процентов на 25%. Поверь мне, у меня кафешка в центре. Так что не ровняй чела который сидит в офисе и тупит в комп и чела, который лежит на лежаке в гостинице , ну скажем, где нибудь на побережье португалии.
>А еще нужно на ноут ОСь ставить, уметь его включать, на кнопочки
>нажимать...
>Почему все ориентируются на тупых юзеров? Юзер не тупой.
>Мои сами OpenVPN-соединения настраивают.. и ничегоУ вас не массовый сервис, если бы вы имели десяток хотспотов по карточкам и общались со своим суппортом, вы бы поменяли свое мнение про тупизну пользователей.
Аутентификация через web правильное дело. Подключил ноут, получил IP по DHCP, на любой URL в браузере получил страницу ввода номера карты, ввел код и сидишь посматриваешл мельком на статистику.
С openVPN-ном томорзят онлайн игры, а гилдвор с бара это гламурно)
Я его не для бара использую.. это был как пример о нормальности юзеров, и что следует применять такие вещи как .1x для своих целей. И на Д-Линках не нужно зацикливаться.
>С openVPN-ном томорзят онлайн игры, а гилдвор с бара это гламурно)
От настройки зависит - RTFM.
А я вот чего подумал, а ведь и вправду люди, которые в кафешки с ноутбуками ходят, могут сами OpenVPN настроить. Просто потому, что или они сами компьютерщики, или просто компьютерные фанаты. Для большинства других товарищей таскать с собой ноут - нахрен надо, да и нет у большинства из них ноутбуков вообще. Зачем они им? Но, когда ситуация эта изменится, и каждый будет таскать с собой мини комп (как сейчас с сотовыми обстоит дело), тогда плохо дело будет. Потому что все существующие средства аутентификации/авторизации явно не рассчитаны на понимание принципов их работы простым гражданином (не компьютерщиком). Даже если перед его мордой постоянно махать памяткой, как PPPoE в винде настраивать. Тут нужно что то другое. Лично я голосую за 802.1X и то, что поверх него обязательно накрутят, когда стандарт пойдет в массы.
Кстати, Билли. А что за экспертная оценка? Если не трудно, намыль пожалуйста на scum001@gmail.com По гроб жизни благодарен буду.
Прошу помочь в таком вот вопросе - один наш клиент (неважно какой, главное - для нас важный) обратился организовать в его публичном месте WiFi-сеть, так, чтобы он выдавал карточки приходящим гостям, а они подключались бы самым простым способом к WiFi-сети (небезопасная сеть, что ли?), но при вводе URL в браузере получали бы вместо искомой странички - Web-регистрацию. Туда необходимо ввести логин и пароль с карточки, тогда получаешь доступ в Интернет. В идеале - чтобы после регистрации в сети гость таки попадал бы на введенный URL, но если и будет теряться сайт - тоже не страшно, это всего лишь пожелание клиента - он заботится о гостях. В общем, история, как в аэропортах - так делает какой-нибудь GoldenWiFi. В точности такое и нам надо.
Поскольку я имею мало опыта, прошу вас помочь:
1) какая технология для этого применима? На ум приходит RADIUS, но он порождает больше вопросов, чем ответов. Например - как клиенту, законно аутентифицировавшемуся, оборвать сессию по истечении времени (считать надо только время - сессси могуть быть час, два, три и т. п., а потом обрывать соединения)? И, например, если клиент аутентифицировался, а потом взял, да и передал свою карточку соседу? Или, через час взял, да и вновь попытался аутентифицироваться? И как блокировать/разблокировать доступ клиенту к Интернет? На файрволе на выпускающем маршрутизаторе? Каким-нибудь IPTABLES? Как осуществлять редирект для ввода пароля? А потом все-таки возвращать гостя на запрошенную страницу?
2) какое оборудование посоветуете? Я не с проста начал с технологии - когда понятно, что делать, ясны и требования к оборудованию.. Что бы вы посоветовали?
traffpro.ru думаю за не большую сумму ребята организуют web-авторизациюа если хотишь RADIUS нужен будет биллинг + железо которое будет поддерживать
смотри MicroTIK и D-link, если денег хвататет Cisco, Linksys
А не пробывали тупо - открытый доступ, но все закругляется на squid - с логином и паролем.
и пока сессия открыта, инет есть и считается. сессия закрыта, инета нету.
Усер профукал свой логин/пасс - сам виноват.А?
P.S. Собираюсь делать что то похожее в деревне.