аутентификация локальных клиентов 802.1X



  • есть задача:
    локалка, у который файрволо пфсенса разрешен доступ всем на определенный список ипов.
    дхцп сервер выдает адреса на короткий срок (допустим сутки)
    надо что бы определенные клиенты, которые могут быть в сети редко  -подпадали под правило фарволла которым разрешено все….
    резервировать в дхцп -нельзя, сеть считаем небезопасной. т.е. могут подделать дхцп....
    надо что то понадежнее, типа радиуса или еще что то? (802.1X  )
    я пока только начал изучать варианты чем можно такое сделать, первое что пришло в голову - рртр или опенвпн... но не хочется лишний раз делать подключения и тд...



  • Ну а резервирование по MAK не подойдет?



  • нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…



  • @alexandrnew:

    нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

    CaptivePortal



  • он не поможет когда нужен нат…
    да и не хотелось бы что бы юзер лишний логин\пасс вводил



  • Тогда только pptp, pppoe . Больше никак.



  • @werter:

    Тогда только pptp, pppoe . Больше никак.

    я бы так не был уверен :)
    тем более pptp, pppoe -не лучший вариант… уж на такой случай я бы делал таки опенвпн



  • Внутри ОДНОЙ сети (локально) еще и опенвпн?! Да небось с сертификатами на каждого? Не ищем легких путей? Как говорит один мой знакомый:" Презерватив,изолента,презерватив,изолента - никакого секса!  ;D"
    Тогда почему бы этих отдельных вообще во VLAN не позапихивать? Если есть оборудование, конечно.



  • вы задачу читали?
    вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…

    • не надо что бы юзер что то вводил.


  • @alexandrnew:

    вы задачу читали?
    вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…

    • не надо что бы юзер что то вводил.

    1. Читал. У вас там что ВСЕ юзеры как минимум CCNA ? Все знают КАК и ЧЕМ снифать трафик ? А главное снифать-то надо на ШЛЮЗЕ, чтобы вытащить пароль. Или у вас до сих пор ХАБЫ стоят.

    2. Если уже решили как и чем это сделать и люди предложили уже все возможные варианты, то чего ждете ?



  • напомню - надо что бы юзер ничего дополнительно не вводил, следовательно рртр или ррое пас должен быть сохранен локально, для данного юзера.  - софта его показывающего данный пас - более чем.

    при старте топика я написал - оптимальное решение в сторону 802.1X  и радиуса…
    опенвпн (как сервис) заюзаю если не получится оптимальный вариант.



  • Просмотрел 802.1x - работает пониже уровня IP, в принципе должен/может использоваться свичом для конкретного порта. Как в эту картину pfSense думаешь вписать? все правила работают на уровне IP.



  • hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...



  • @alexandrnew:

    hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...

    Кто сказал что под Фрю hostapd нет (или это "однофамилец"  ??? ?) ? Как минимум :

    1. http://habrahabr.ru/blogs/bsdelniki/72158/#habracut
    2. http://forum.lissyara.su/viewtopic.php?f=4&t=11707
    3. http://brainstorm.name/archives/33
    4. Google



  • @alexandrnew:

    нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

    какое оборудование используется в конторе, имеется ввиду сетевая активка?



  • @zar0ku1:

    @alexandrnew:

    нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

    какое оборудование используется в конторе, имеется ввиду сетевая активка?

    вопрос в том -что оборудование тут врядли поможет.
    это распределенная вайфай сеть, по нвшим филиалам, которой пользуются гости, в т.ч. и продвинутые ИТшники (кстати, всех с прошедшим :) ), которым подделать мак- не проблема, сеть - огромная, более 200 вайфай точек…
    ставить на них всех умную активку, с данным протоколом- дорого... заставлять некоторых руководителей вводить логин\пас - тоже не очень удобно...а привязать их ип к маку- бесполезно.. причина выше...



  • если гости да еще и вайфай, то портлокинг отпадает, который я хотел придложить

    нужно какие-то умные вайфайки, либо разграничение по вланам с урезанием прав или что-то в этом духе



  • так я и об єтом думаю :), пока проще и умнее чем сервис опенвпн - ничего не придумал :)


Locked