The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Безопастность PPPoE"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Безопастность PPPoE"  
Сообщение от def (??) on 24-Май-06, 10:34 
Насколько безопастна PPPoE-авторизация? Возможен ли вариант сделать авторизацию и доступ через PPPoE из локальной сети? Возможно ли в этом случае перехватить передаваемые пароли или "подменить сервер"? Спасибо.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Безопастность PPPoE"  
Сообщение от mr_Y on 24-Май-06, 10:55 
PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети. (см. полное названи протокола)
Для такой авторизации необходим PPP и скорее всего PPTP.
В таком случае авторизация проходит по (MS)CHAP протоколу. Также возможно шифрование трафика - MPPE (от M$).
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Безопастность PPPoE"  
Сообщение от def (??) on 24-Май-06, 11:36 
>PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети.
>(см. полное названи протокола)
>Для такой авторизации необходим PPP и скорее всего PPTP.
>В таком случае авторизация проходит по (MS)CHAP протоколу. Также возможно шифрование трафика
>- MPPE (от M$).

Я это понимаю. Но канал сначала нужно организовать, а потом уже идет авторизация. Если локалка, фреймы PPPoE может перехватить любой, у них же нет получателя, и если кто-то установит у себя на сервер PPPoE/PPP, то может довести пользователя до режима авторизации, где он и выдаст пароль. Поправте если я не прав

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Безопастность PPPoE"  
Сообщение от mr_Y on 24-Май-06, 12:29 
>если кто-то установит у себя на сервер PPPoE/PPP,
>то может довести пользователя до режима авторизации, где он и выдаст
>пароль. Поправте если я не прав

Пущай ставит. Пользователь при подключении к серверу вводит его IP адрес (локальной сети). А как у вас  2 IP в 1 сети дружить будут? Это вам не DHCP. Хотя, говорят там тоже можно авторитативность проверить.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Безопастность PPPoE"  
Сообщение от def (??) on 24-Май-06, 12:40 
>>если кто-то установит у себя на сервер PPPoE/PPP,
>>то может довести пользователя до режима авторизации, где он и выдаст
>>пароль. Поправте если я не прав
>
>Пущай ставит. Пользователь при подключении к серверу вводит его IP адрес (локальной
>сети). А как у вас  2 IP в 1 сети
>дружить будут? Это вам не DHCP. Хотя, говорят там тоже можно
>авторитативность проверить.

Не вводить.... PPPoE протокол 2го уровня, так же как и PPP. Возможно в винде это и можно как-то сделать, но в установках АДСЛ-модемов (ZyXEL) только логин/пароль... и всё. АДСЛ-щиков тоже хочется в сеть "запихнуть".

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Безопастность PPPoE"  
Сообщение от mr_Y on 24-Май-06, 14:56 
>Не вводить.... PPPoE протокол 2го уровня, так же как и PPP. Возможно
>в винде это и можно как-то сделать, но в установках АДСЛ-модемов
>(ZyXEL) только логин/пароль... и всё. АДСЛ-щиков тоже хочется в сеть "запихнуть".

С этого надо было начать. С ADSL ZyXEL извини, не в курсе...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Безопастность PPPoE"  
Сообщение от Ottard on 24-Май-06, 14:18 
Насчет безопастности:
Во первых при авторизации ты можешь использовать протокол CHAP. Это значит что твой пороль посылается в криптованом виде. Даже если кто-то в сети настроит PPPoE sniffer, он получит криптованый пароль.


Несколько заммечаний по написанному:

>PPPoE никого не авторизует а способствует организации канала точка-точка по локальной сети.

PPPoE server таки авторизует юзера либо по PAP либо по CHAP протоколу.
И PPPoE и PPTP работают на основе одного и того-же PPP demona. Разница в типе авторизации и в том что уже после авторизации PPTP позволяет сделать MPPE traffic encription tunel.

>Пользователь при подключении к серверу вводит его IP адрес

Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Безопастность PPPoE"  
Сообщение от mr_Y on 24-Май-06, 14:52 
>PPPoE server таки авторизует юзера либо по PAP либо по CHAP протоколу.
Сомневаюсь :)
http://www.roaringpenguin.com/penguin/open_source_rp-pppoe.php
см. README

>И PPPoE и PPTP работают на основе одного и того-же PPP demona.
>Разница в типе авторизации и в том что уже после авторизации
>PPTP позволяет сделать MPPE traffic encription tunel.
Значит таки на основе PPP, который и авторизует! Зачем себе противоречить?

>>Пользователь при подключении к серверу вводит его IP адрес
>
>Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
>Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)

http://www.lanbilling.ru/vpn_solution.html - А я настаиваю!

Еще будет полезно заглянуть сюда http://samba.org/ppp/
И сюда http://www.opennet.me/base/net/pptp_mppe_mppc.txt.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Безопастность PPPoE"  
Сообщение от Grey (??) on 24-Май-06, 15:04 
Да в чём спор то? :)
PPTP - клиент указывает IP сервера (по опорной IP сети), устанавливает ppp и потом отдаёт имя с паролем для аутентификации. После этого клиент получает IP и работает с ним. На стороне сервера аутентификацию выполняет (возможно в radius) тот, кто поднял ppp т.е. ppp или pppd или как у меня exppp.
PPPoE - происходит примерно тоже самое только к серверу клиент стучится не по опорной IP сети а по Ethernet, т.е. IP адрес сервера клиент не указывает. Всё остальное вроде очень похоже...

Суть спора не пойму... интересует секретность при аутентификации? или что? Поднять поддельный pptp сервер в принципе можно, но не думаю что от этого будет много толку для хацкера (если сеть в принципе построена верно). Поддельный PPPoE тоже можно поднять, но там есть тоже свои ньюансы (сам ен пользовал, не в курсе).
Передачу паролей и там и там можно сделать CHAP или MSCHAP т.е. пароли будут шифроваться. Трафик шифровать не вижу смысла. Если эта система используется для отдаче клиенту дырки в мир, то смысла шифровать трафик очень не много. Если такая система используется для доступа в ЛВС из мира, то шифровать трафик есть очень не маленький смысл. :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Безопастность PPPoE"  
Сообщение от def (??) on 24-Май-06, 15:22 
>Да в чём спор то? :)
>PPTP - клиент указывает IP сервера (по опорной IP сети), устанавливает ppp
>и потом отдаёт имя с паролем для аутентификации. После этого клиент
>получает IP и работает с ним. На стороне сервера аутентификацию выполняет
>(возможно в radius) тот, кто поднял ppp т.е. ppp или pppd
>или как у меня exppp.
>PPPoE - происходит примерно тоже самое только к серверу клиент стучится не
>по опорной IP сети а по Ethernet, т.е. IP адрес сервера
>клиент не указывает. Всё остальное вроде очень похоже...
>
>Суть спора не пойму... интересует секретность при аутентификации? или что? Поднять поддельный
>pptp сервер в принципе можно, но не думаю что от этого
>будет много толку для хацкера (если сеть в принципе построена верно).
>Поддельный PPPoE тоже можно поднять, но там есть тоже свои ньюансы
>(сам ен пользовал, не в курсе).
>Передачу паролей и там и там можно сделать CHAP или MSCHAP т.е.
>пароли будут шифроваться. Трафик шифровать не вижу смысла. Если эта система
>используется для отдаче клиенту дырки в мир, то смысла шифровать трафик
>очень не много. Если такая система используется для доступа в ЛВС
>из мира, то шифровать трафик есть очень не маленький смысл. :)
>


Я уже сам не понял о чем спор. Задачи шифровать нету. Задача в том, чтобы безопастно прередать пароль. PPTP не подходит, ибо погда у клиента получается 2 ИП... зачем это надо?... Поэтому решено было использовать PPPoE... и ИП один и АДСЛ-роутеры можно подключить единообразно с клиентами.

Задача изначально была в безопасной авторизации пользователей и организации PPP-соединения, потому как писать свое что-то долго и неефективно, а авторизация по ИП или МАК - неактуально

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Безопастность PPPoE"  
Сообщение от Grey (??) on 24-Май-06, 15:45 
>Я уже сам не понял о чем спор. Задачи шифровать нету. Задача
>в том, чтобы безопастно прередать пароль. PPTP не подходит, ибо погда
>у клиента получается 2 ИП... зачем это надо?... Поэтому решено было
>использовать PPPoE... и ИП один и АДСЛ-роутеры можно подключить единообразно с
>клиентами.
>
>Задача изначально была в безопасной авторизации пользователей и организации PPP-соединения, потому как
>писать свое что-то долго и неефективно, а авторизация по ИП или
>МАК - неактуально

а какая проблема с двумя IP ? подняв коннект клиент получит IP для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и будет пахать спокойно ... у меня так толпа пашет и ничего
а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не будет пахать как надо ... оно пашет только в одном сегменте... для работы через (к примеру) роутер надо будет на роутере делать некие движения....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Безопастность PPPoE"  
Сообщение от def (??) on 24-Май-06, 15:51 
>а какая проблема с двумя IP ? подняв коннект клиент получит IP
>для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и
>будет пахать спокойно ... у меня так толпа пашет и ничего

Для поднятия PPTP у клиента уже должен быть IP чтобы установить соединение. И как это организовать? Выдавать по DHCP IP из 192.168.0.0/16 а для работы в туннеле использовать 10.0.0.0/8. Неправильно это... PPTP не для тех задач сделали, которые мне нужно решить

>а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не
>будет пахать как надо ... оно пашет только в одном сегменте...
>для работы через (к примеру) роутер надо будет на роутере делать
>некие движения....

Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го уровня... Пакеты на 3м уровне не разрулите

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Безопастность PPPoE"  
Сообщение от Grey (??) on 24-Май-06, 16:09 
>>а какая проблема с двумя IP ? подняв коннект клиент получит IP
>>для работы в туннеле и поднимет дефолтовый маршрут в туннель.... и
>>будет пахать спокойно ... у меня так толпа пашет и ничего
>
>Для поднятия PPTP у клиента уже должен быть IP чтобы установить соединение.
>И как это организовать? Выдавать по DHCP IP из 192.168.0.0/16 а
>для работы в туннеле использовать 10.0.0.0/8. Неправильно это... PPTP не для
>тех задач сделали, которые мне нужно решить

ну это на вкус и цвет ...... :)

>
>>а вот при разбиении сети на домены коллизий (на сегменты) PPPoE не
>>будет пахать как надо ... оно пашет только в одном сегменте...
>>для работы через (к примеру) роутер надо будет на роутере делать
>>некие движения....
>
>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>уровня... Пакеты на 3м уровне не разрулите

клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно .... вы MAC адрес клиента увидете через роутер к примеру?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "Безопастность PPPoE"  
Сообщение от def (??) on 24-Май-06, 16:24 
>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>уровня... Пакеты на 3м уровне не разрулите
>
>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>вы MAC адрес клиента увидете через роутер к примеру?

я ж об этом и написал, что делать не нужно ничего не потому что все и так работает, а потому что в любом случае не будет работать :)))

Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и сервером.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "Безопастность PPPoE"  
Сообщение от Grey (??) on 24-Май-06, 16:26 
>>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>>уровня... Пакеты на 3м уровне не разрулите
>>
>>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>>вы MAC адрес клиента увидете через роутер к примеру?
>
>я ж об этом и написал, что делать не нужно ничего не
>потому что все и так работает, а потому что в любом
>случае не будет работать :)))
>
>Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и
>сервером.

в разрыве сегмента (роутере) надо делать arpproxy и должно работать ..... но сам не делал ... вообще я не занимался PPPoE потому что меня вполне устроило в своё время pptp :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "Безопастность PPPoE"  
Сообщение от Grey (??) on 24-Май-06, 16:28 
>>>Не нужно никаких движений... все равно не поможет. PPPoE - протокол 2го
>>>уровня... Пакеты на 3м уровне не разрулите
>>
>>клиенту будет доступен PPPoE сервак по Ethernet через разрыв сегмента? интересно ....
>>вы MAC адрес клиента увидете через роутер к примеру?
>
>я ж об этом и написал, что делать не нужно ничего не
>потому что все и так работает, а потому что в любом
>случае не будет работать :)))
>
>Конечно же не увижу. Нужны коммутаторы только 2го уровня между клиентами и
>сервером.

а сегментировать сеть вам рано или поздно придётся... потому как всё строить на одном сегменте (домене коллизий) это до поры до времени ....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "Безопастность PPPoE"  
Сообщение от def (??) on 24-Май-06, 16:46 
>а сегментировать сеть вам рано или поздно придётся... потому как всё строить
>на одном сегменте (домене коллизий) это до поры до времени ....

есть ли что-то такое... некое, что поднимает PPPoE обращаясь к RADIUS-серверу? - какая-то Cisco или ZyXEL? Если да - клиент получит IP и тогда уже его можно будет маршрутизировать

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "Безопастность PPPoE"  
Сообщение от Grey (??) on 24-Май-06, 18:04 
>>а сегментировать сеть вам рано или поздно придётся... потому как всё строить
>>на одном сегменте (домене коллизий) это до поры до времени ....
>
>есть ли что-то такое... некое, что поднимает PPPoE обращаясь к RADIUS-серверу? -
>какая-то Cisco или ZyXEL? Если да - клиент получит IP и
>тогда уже его можно будет маршрутизировать

о чём речь?
представьте что у вас сеть, в которой роутер разделяет клиента и сервер PPPoE. на роутере разрыв сегмента (домена коллизий)... в таком положении клиент не увидет сервер PPPoE и не сможет к нему прицепиться...
При чём тут RADIUS? radius нужен для того, что б тот кто делает ppp на сервере смог авторизовать клиента перед тем как дать ему IP и возможность работать по поднятому ppp.
При чём тут маршрутизация? пока клиент не получил IP и возможность работать по ppp ни о какой маршрутизации речи нет и быть не может. Когда у клиента работает ppp и есть адрес выданный сервером, тогда маршрутизируйте сколько угодно ... но я говорил не об этом...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "Безопастность PPPoE"  
Сообщение от def (??) on 25-Май-06, 10:36 

Мы вроде бы говорим об одном но в то же время о разном...

>представьте что у вас сеть, в которой роутер разделяет клиента и сервер
>PPPoE. на роутере разрыв сегмента (домена коллизий)... в таком положении клиент
>не увидет сервер PPPoE и не сможет к нему прицепиться...

Именно, поэтомы я и хочу поставить с каждом сегменте ЧТО-ТО, что будет выполнять роль сервера PPPoE.

>При чём тут RADIUS? radius нужен для того, что б тот кто
>делает ppp на сервере смог авторизовать клиента перед тем как дать
>ему IP и возможность работать по поднятому ppp.

Проблема в чем: нельзя разнести PPPoE-сервер и PPP-сервер.. Всё было бы проще если сделать на PPPTP, но есть АДСЛ-модемы, которые это не поддерживают.

>При чём тут маршрутизация? пока клиент не получил IP и возможность работать
>по ppp ни о какой маршрутизации речи нет и быть не
>может. Когда у клиента работает ppp и есть адрес выданный сервером,
>тогда маршрутизируйте сколько угодно ... но я говорил не об этом...

Вот поэтому и не должно быть роутеров между PPPoE-сервером и клиентом...

а что это за роутер, который бродкасты рассылает???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "Безопастность PPPoE"  
Сообщение от Ottard on 24-Май-06, 17:17 

>>Ничего пользователь не вводит. PPPoE дискавери осуществляется бродкастом.
>>Чтобы инициировать дискавери процесс клиент посылает бродкастом Active Discoveri Initiation Frame (PADI)
>
>http://www.lanbilling.ru/vpn_solution.html - А я настаиваю!
>
>Еще будет полезно заглянуть сюда http://samba.org/ppp/
>И сюда http://www.opennet.me/base/net/pptp_mppe_mppc.txt.html

Ты путаешь PPPoE и PPtP. Я описывал первый случай и там таки да, не нужно указывать IP сервера. ты-же ссылаешься на VPN (PPTP) и в нем сервер указывается.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру