аутентификация локальных клиентов 802.1X
-
есть задача:
локалка, у который файрволо пфсенса разрешен доступ всем на определенный список ипов.
дхцп сервер выдает адреса на короткий срок (допустим сутки)
надо что бы определенные клиенты, которые могут быть в сети редко -подпадали под правило фарволла которым разрешено все….
резервировать в дхцп -нельзя, сеть считаем небезопасной. т.е. могут подделать дхцп....
надо что то понадежнее, типа радиуса или еще что то? (802.1X )
я пока только начал изучать варианты чем можно такое сделать, первое что пришло в голову - рртр или опенвпн... но не хочется лишний раз делать подключения и тд... -
Ну а резервирование по MAK не подойдет?
-
нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…
-
-
он не поможет когда нужен нат…
да и не хотелось бы что бы юзер лишний логин\пасс вводил -
Тогда только pptp, pppoe . Больше никак.
-
Тогда только pptp, pppoe . Больше никак.
я бы так не был уверен :)
тем более pptp, pppoe -не лучший вариант… уж на такой случай я бы делал таки опенвпн -
Внутри ОДНОЙ сети (локально) еще и опенвпн?! Да небось с сертификатами на каждого? Не ищем легких путей? Как говорит один мой знакомый:" Презерватив,изолента,презерватив,изолента - никакого секса! ;D"
Тогда почему бы этих отдельных вообще во VLAN не позапихивать? Если есть оборудование, конечно. -
вы задачу читали?
вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…- не надо что бы юзер что то вводил.
-
вы задачу читали?
вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…- не надо что бы юзер что то вводил.
1. Читал. У вас там что ВСЕ юзеры как минимум CCNA ? Все знают КАК и ЧЕМ снифать трафик ? А главное снифать-то надо на ШЛЮЗЕ, чтобы вытащить пароль. Или у вас до сих пор ХАБЫ стоят.
2. Если уже решили как и чем это сделать и люди предложили уже все возможные варианты, то чего ждете ?
-
напомню - надо что бы юзер ничего дополнительно не вводил, следовательно рртр или ррое пас должен быть сохранен локально, для данного юзера. - софта его показывающего данный пас - более чем.
при старте топика я написал - оптимальное решение в сторону 802.1X и радиуса…
опенвпн (как сервис) заюзаю если не получится оптимальный вариант. -
Просмотрел 802.1x - работает пониже уровня IP, в принципе должен/может использоваться свичом для конкретного порта. Как в эту картину pfSense думаешь вписать? все правила работают на уровне IP.
-
hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...
-
hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...
Кто сказал что под Фрю hostapd нет (или это "однофамилец" ??? ?) ? Как минимум :
1. http://habrahabr.ru/blogs/bsdelniki/72158/#habracut
2. http://forum.lissyara.su/viewtopic.php?f=4&t=11707
3. http://brainstorm.name/archives/33
4. Google -
нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…
какое оборудование используется в конторе, имеется ввиду сетевая активка?
-
нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…
какое оборудование используется в конторе, имеется ввиду сетевая активка?
вопрос в том -что оборудование тут врядли поможет.
это распределенная вайфай сеть, по нвшим филиалам, которой пользуются гости, в т.ч. и продвинутые ИТшники (кстати, всех с прошедшим :) ), которым подделать мак- не проблема, сеть - огромная, более 200 вайфай точек…
ставить на них всех умную активку, с данным протоколом- дорого... заставлять некоторых руководителей вводить логин\пас - тоже не очень удобно...а привязать их ип к маку- бесполезно.. причина выше... -
если гости да еще и вайфай, то портлокинг отпадает, который я хотел придложить
нужно какие-то умные вайфайки, либо разграничение по вланам с урезанием прав или что-то в этом духе
-
так я и об єтом думаю :), пока проще и умнее чем сервис опенвпн - ничего не придумал :)
