URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15870
[ Назад ]

Исходное сообщение
"Авторизация пользователей в сети"

Отправлено myp3ujlka , 26-Мрт-08 23:01 
Здравствуйте!
Следующая ситуация:
имеется около 100-200 компьютеров, маршрутизатор cisco 37xx catalyst 1 штука и неуправляемые обычные свичи dlink 15 штук.
Пользователи подключены в неуправляемые свичи.
Неуправляемые свичи подлючены к циске по 1 штуке в порт.
В пользовательской сети статическая адресация. Отсутствует dhcp сервер как таковой.
Взаимо-однозначное соответствие человек-ip.
Последнее время участились такие вот случаи:
1 пользователь берет и прописывает у себя чужой ip с понятной целью получения халявного интернета, далее по стандартной схеме пользуется халявой, в это время легальный пользователь включает свой комп вылезает конфликт и дальше продолжать не буду.
Также как вариант есть dlink 3828  (его можно поставить вместо циски) с его фичами port-security и Guest VLAN (сейчас изучаю последнюю фичу как вариант авторизации).
Задествовать port-security или IP-port-mac-binding не представляется возможным т.к. в один порт приходит трафик 10-16 пользователей(которые поключены в неуправляемый свич который подлючен к циске). Т.е. как я понимаю привязывать порт-мак-айпи тут нельзя. Или если привязывать то на 1 порт много МАКов если такое возможно.
Далее привязка айпи-мак одобрена также не была, по понятным причинам. Не хочется чтобы пользователи, постоянно что-то меняющие, тревожили.
Как вариант авторизации был предложен vpn. Чем он привлек?
Пользователю дается имя и пароль. Знаешь их - сидишь в интернете, не знаешь соответсвенно не сидишь.
Чем не привлекает ?
Должна быть опорная сеть по которой пойдет vpn трафик. Нужно настраивать dhcp сервер для этой опорной сети, т.к. большинство не в состоянии вписать айпи, что тут говорить про создать впн соединение.
Далее было изучено куча ссылок по dhcp relay и 82-й опции, по встроенному в циско IOS dhcp серверу.
По встроенному в циско IOS Easy VPN Server. По настройке VPN сервера на Windows Server 2003, linux, bsd.
И в итоге было принято решение спросить у более опытных людей на форуме.
Итак основные задачи:
1. Исключить конфликты IP и халявный интернет, не столько его, сколько сами конфликты и невозможность работы легального пользователя.
2. Система авторизации пользователей.

Вопросы:
1. Ваши мнения по этому вопросу ?
2. Ваши мнения по поводу правильности такого решения ?
3. Какая ОС предпочтительнее для VPN сервера вин, лин или бсд ? Начитался про низкую скорость и несовместимость. VPN клиент стандартный встроенный в Windows XP / Vista.
4. (Только что прочитал, достаточно привлекательная вещь как мне показалось)Технология GuestVLan может кто настраивал ? Необходим радиус сервер ?
5. Какой выбрать радиус сервер ?
6. Какой выбрать VPN сервер ?
7. Easy VPN Server встроенный в IOS cisco, так понимаю необходима и обязательна программа на клиентском компьютере Cisco Easy VPN Client ?

Заранее извиняюсь за возможную некоректность терминов/заданности вопроса - поправьте пожалуйста если что!
Заранее благодарю за ответы!


Содержание

Сообщения в этом обсуждении
"Авторизация пользователей в сети"
Отправлено KiM , 26-Мрт-08 23:16 
>[оверквотинг удален]
>4. (Только что прочитал, достаточно привлекательная вещь как мне показалось)Технология GuestVLan может
>кто настраивал ? Необходим радиус сервер ?
>5. Какой выбрать радиус сервер ?
>6. Какой выбрать VPN сервер ?
>7. Easy VPN Server встроенный в IOS cisco, так понимаю необходима и
>обязательна программа на клиентском компьютере Cisco Easy VPN Client ?
>
>Заранее извиняюсь за возможную некоректность терминов/заданности вопроса - поправьте пожалуйста если что!
>
>Заранее благодарю за ответы!

pppoe+Radius и будет вам счастье
если необходимо можно pptp+Radius

cisco всё енто умеет(37хх хз не смотрел пока)


"Авторизация пользователей в сети"
Отправлено myp3ujlka , 27-Мрт-08 01:56 
от нашел несколько ссылок про NeTAMS заинтересовали data collection technique Libpcap
ipfw divert or iptables/ipq
netflow from Cisco
netgraph (FreeBSD only)
ulog (Linux only)
netflow from flowprobe
netflow from ascii2netflow
radius /rlm_netams
далее прочитал:
Очень рекомендуем почитать теорию и примеры и настроить доступ безо всякого netams+radius, для начала из гугл кэша http://64.233.183.104/search?q=cache:wqouRiSmEfEJ:www.unixfa...
после этого прочитал про netup, там были примеры настройки команды похожие на gentoo.

>
>pppoe+Radius и будет вам счастье
>если необходимо можно pptp+Radius
>

А в чем отличие ? В каком случае необходимо pptp+Radius ?
А какую лучше выбрать ОС ? Есть ли примеры настройки gentoo-linux, в ссылках выше уже ознакомился с настройкой FreeBsd. Или это настраиваится только во freebsd ?
Еще же необходим NAT, очень хотелось бы настраивать его в IPTABLES и ОС gentoo и это все вместе с радиусом.
Вот уже что-то нашел http://www.opennet.me/base/modem/pppoe_server_setup.txt.html хороший сайт спасибо!
В этом документе вот что смущает: папка RASPPPOE_099. Для установки необходимо зайти в раздел
   Control panel->Network Connections
нужно что-то доставлять в винде ?
Вот похоже чтобы не доставлять нужен как раз pptp, а не pppoe, т.к. при создании нового VPN подключения в Windows XP он уже присутствует ?
Насколько мощный компьютер нужен для 100-200 пользователей ?
Сколько внутренних IP адресов может транслировать NAT на 1 внешний реальный IP ?
Дополнительно, чем лучше настроить ограничение скорости на каждому пользователю, есть ли какие средства для этого в самом pptp  ?
Спасибо что ответили!


"Авторизация пользователей в сети"
Отправлено ShyLion , 27-Мрт-08 07:07 
>от нашел несколько ссылок про NeTAMS заинтересовали data collection technique Libpcap

Ну ты насобирал всего, что только можно.
Минимум, необходимый тебе: циску в качестве PPPoE сервера или PPTP сервера с авторизацией по RADIUS. RADIUS сервер под любой операционкой, где будет авторизация и аккаунтинг. Тут выбор богатый от вольного сочинения на тему FreeBSD + freeradius + mysql, до платного билинга. Есть куча всякого и платного и бесплатного и под никсы и под винду и под черта лысого.
PPTP подразумевает наличе IP сети локальной, PPPoE пофиг на твою сеть, работает уровнем ниже, лишь бы конфликтов MAC адресов не было.


"Авторизация пользователей в сети"
Отправлено ShyLion , 27-Мрт-08 07:09 
>[оверквотинг удален]
>
>Ну ты насобирал всего, что только можно.
>Минимум, необходимый тебе: циску в качестве PPPoE сервера или PPTP сервера с
>авторизацией по RADIUS. RADIUS сервер под любой операционкой, где будет авторизация
>и аккаунтинг. Тут выбор богатый от вольного сочинения на тему FreeBSD
>+ freeradius + mysql, до платного билинга. Есть куча всякого и
>платного и бесплатного и под никсы и под винду и под
>черта лысого.
>PPTP подразумевает наличе IP сети локальной, PPPoE пофиг на твою сеть, работает
>уровнем ниже, лишь бы конфликтов MAC адресов не было.

ЗЫ: я в свою молодость вообще на шеловских скриптах, прикрученых к радиусу билинг делал, с хранением данных в отдельных файлах :) ни перловки тогда не знал, ни мускуля.


"Авторизация пользователей в сети"
Отправлено KiM , 27-Мрт-08 08:03 
>[оверквотинг удален]
>нужно что-то доставлять в винде ?
>Вот похоже чтобы не доставлять нужен как раз pptp, а не pppoe,
>т.к. при создании нового VPN подключения в Windows XP он уже
>присутствует ?
>Насколько мощный компьютер нужен для 100-200 пользователей ?
>Сколько внутренних IP адресов может транслировать NAT на 1 внешний реальный IP
>?
>Дополнительно, чем лучше настроить ограничение скорости на каждому пользователю, есть ли какие
>средства для этого в самом pptp  ?
>Спасибо что ответили!

а теперь по пунктам:
1. Сеть существует или только создаётся? если существует насколько можно её переделать и насколько нужно исключить человеческий фактор?
2. На Генту поднимал как pppoe так и pptp сервер. особых проблем не виже былоб желание.
3. на 100-200 пользователей? а не проще купить нормальный VPN концентратор или роутер который способен его терминировать? если нет то с шифрованием достаточно мощный.
4. зарезать скорость? на linux надо читать. на вскидку iproute2


"Авторизация пользователей в сети"
Отправлено myp3ujlka , 27-Мрт-08 15:11 
>1. Сеть существует или только создаётся? если существует насколько можно её переделать
>и насколько нужно исключить человеческий фактор?

Существует, уже все протянуто подключено, циско настроена(могу ее настраивать как захочется). Несколько штук VLAN-подсеть-ip-интерфес(шлюз). Адресация статическая, пользователи сами вбивают себе сетевые настройки, кто может.
Переделать проблема все провода и неуправляемые свичи спрятаны в щитках и стояках.
Человеческий фактор исключить желательно вот на сколько: в идеале невозмоность левых подключений халявщиков. Или хотя бы чтобы факт левого подключения не отражался на работе легального пользователя.
Пока думаю делать так, что скажете: поднять dhcp первым делом. Настроить ACL чтобы любой IP выданный DHCP видел только себя, свой шлюз, и pptp-сервер за шлюзом. Далее пользователь, если может, создает новое VPN соединение, вписывает данные авторизации и сидит в интернете. По крайней мере не будет конфликтов IP если конечно на DHCP не закончатся адреса, а они не закончатся.
И также будет невозможна схема: мой друг подключил интернет, я поставил у него прокси/сокс и мы вместе с ним сидим в интернете.


"Авторизация пользователей в сети"
Отправлено KiM , 27-Мрт-08 15:15 
>[оверквотинг удален]
>халявщиков. Или хотя бы чтобы факт левого подключения не отражался на
>работе легального пользователя.
>Пока думаю делать так, что скажете: поднять dhcp первым делом. Настроить ACL
>чтобы любой IP выданный DHCP видел только себя, свой шлюз, и
>pptp-сервер за шлюзом. Далее пользователь, если может, создает новое VPN соединение,
>вписывает данные авторизации и сидит в интернете. По крайней мере не
>будет конфликтов IP если конечно на DHCP не закончатся адреса, а
>они не закончатся.
>И также будет невозможна схема: мой друг подключил интернет, я поставил у
>него прокси/сокс и мы вместе с ним сидим в интернете.

отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям адреса. и подумать как уберечся от левого pppoe сервера


"Авторизация пользователей в сети"
Отправлено myp3ujlka , 27-Мрт-08 15:23 
>отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям
>адреса. и подумать как уберечся от левого pppoe сервера

1.Нужно будет доставлять ppoe протокол в WinXP ?
2.Пожалуйста, подробнее про левый ppoe сервер!


"Авторизация пользователей в сети"
Отправлено nikl , 27-Мрт-08 15:30 
>>отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям
>>адреса. и подумать как уберечся от левого pppoe сервера
>
>1.Нужно будет доставлять ppoe протокол в WinXP ?

в виндах выше XP все уже встроено
>2.Пожалуйста, подробнее про левый ppoe сервер!

если левый PPPoE-сервер будет обладать еще и базой паролей всех ваших пользователей, тогда неприятно =)


"Авторизация пользователей в сети"
Отправлено myp3ujlka , 27-Мрт-08 15:45 
>если левый PPPoE-сервер будет обладать еще и базой паролей всех ваших пользователей,
>тогда неприятно =)

Т.е. для этого нужно украсть базу и вывести из строя настоящий ppoe или сделать так чтобы он не отвечал на запросы ? Пошел ставить сервер, думаю я здесь еще напишу.


"Авторизация пользователей в сети"
Отправлено KiM , 27-Мрт-08 15:39 
>>отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям
>>адреса. и подумать как уберечся от левого pppoe сервера
>
>1.Нужно будет доставлять ppoe протокол в WinXP ?
>2.Пожалуйста, подробнее про левый ppoe сервер!

1. как сказал преведущий оратор в xp всё встроено
2. типа кул-хацкеры поднимают у ся pppoe сервер и те кто к ним ближе ловят его. вот тут надо их както искать. если авторизация стойкая то всё в ажуре но иначе просто аут


"Авторизация пользователей в сети"
Отправлено myp3ujlka , 27-Мрт-08 15:49 
>2. типа кул-хацкеры поднимают у ся pppoe сервер и те кто к
>ним ближе ловят его. вот тут надо их както искать. если
>авторизация стойкая то всё в ажуре но иначе просто аут

Т.е. все еще проще не нужно выводить из строя настоящий ppoe сервер ? И красть базу ?
Достаточно поднять левый сервер к нему подключатся пользователи котрорые ближе к нему и вот уже несколько аккаунтов в чужих руках ?


"Авторизация пользователей в сети"
Отправлено KiM , 27-Мрт-08 16:12 
>>2. типа кул-хацкеры поднимают у ся pppoe сервер и те кто к
>>ним ближе ловят его. вот тут надо их както искать. если
>>авторизация стойкая то всё в ажуре но иначе просто аут
>
>Т.е. все еще проще не нужно выводить из строя настоящий ppoe сервер
>? И красть базу ?
>Достаточно поднять левый сервер к нему подключатся пользователи котрорые ближе к нему
>и вот уже несколько аккаунтов в чужих руках ?

если тип авторизации plain-text то да если нет и чтото типа ms-chap v2 то нет


"Авторизация пользователей в сети"
Отправлено myp3ujlka , 27-Мрт-08 19:00 
>если тип авторизации plain-text то да если нет и чтото типа ms-chap
>v2 то нет

Все таки склоняюсь к установке не ppoe, а pptp c выдачей IP в опорной сети по DHCP.
При этом каждый выданный IP будет видеть только свой шлюз и pptp-сервер за своим шлюзом.
Сейчас пробую установить и настроить именно pptp как тут http://gentoo-wiki.com/HOWTO_PPTP_VPN_client_(Microsoft-comp...).
Какие тут возможны атаки ?


"Авторизация пользователей в сети"
Отправлено myp3ujlka , 27-Мрт-08 21:34 
Вот возник ступор.
Как и какие пачти откатить/наложить на ядро 2.6.24-gentoo-r3 для поддержки mppe+mppc ?
mppe уже есть в ядре, но вроде пишут нужно откатить его, а потом наложить некий mppe+mppc.
Вот уже что-то опять нашел http://forums.gentoo.org/viewtopic-p-4385954.html?sid=4c9a90...
Спасибо всем отвечавшим! Здорово помогли!

"Авторизация пользователей в сети"
Отправлено KiM , 28-Мрт-08 08:06 
>Вот возник ступор.
>Как и какие пачти откатить/наложить на ядро 2.6.24-gentoo-r3 для поддержки mppe+mppc ?
>
>mppe уже есть в ядре, но вроде пишут нужно откатить его, а
>потом наложить некий mppe+mppc.
>Вот уже что-то опять нашел http://forums.gentoo.org/viewtopic-p-4385954.html?sid=4c9a90...
>Спасибо всем отвечавшим! Здорово помогли!

а собрать gentoo-sources никак? там уже в ядре модуль mmpe-mppc есть. я так именно и делал


"Авторизация пользователей в сети"
Отправлено myp3ujlka , 31-Мрт-08 19:10 
Да с ядром все ок.
А вот какой выбрать сервер poptop или mpd ?

"Авторизация пользователей в сети"
Отправлено myp3ujlka , 31-Мрт-08 22:06 
Наверное вопрос решен.
Poptop заработал правда без компрессии пока, но работает, винда соединяется с ним и ходит в интернет через NAT. Компрессия так понимаю нужна на модеме, а в локальной сети только лишняя нагрузка на процессор.
Еще раз спасибо всем кто отвечал в этой теме, очень помогли, т.к. этот вопрос я изучаю впервые.