аутентификация локальных клиентов 802.1X


  • есть задача:
    локалка, у который файрволо пфсенса разрешен доступ всем на определенный список ипов.
    дхцп сервер выдает адреса на короткий срок (допустим сутки)
    надо что бы определенные клиенты, которые могут быть в сети редко  -подпадали под правило фарволла которым разрешено все….
    резервировать в дхцп -нельзя, сеть считаем небезопасной. т.е. могут подделать дхцп....
    надо что то понадежнее, типа радиуса или еще что то? (802.1X  )
    я пока только начал изучать варианты чем можно такое сделать, первое что пришло в голову - рртр или опенвпн... но не хочется лишний раз делать подключения и тд...


  • Ну а резервирование по MAK не подойдет?


  • нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…


  • @alexandrnew:

    нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

    CaptivePortal


  • он не поможет когда нужен нат…
    да и не хотелось бы что бы юзер лишний логин\пасс вводил


  • Тогда только pptp, pppoe . Больше никак.


  • @werter:

    Тогда только pptp, pppoe . Больше никак.

    я бы так не был уверен :)
    тем более pptp, pppoe -не лучший вариант… уж на такой случай я бы делал таки опенвпн


  • Внутри ОДНОЙ сети (локально) еще и опенвпн?! Да небось с сертификатами на каждого? Не ищем легких путей? Как говорит один мой знакомый:" Презерватив,изолента,презерватив,изолента - никакого секса!  ;D"
    Тогда почему бы этих отдельных вообще во VLAN не позапихивать? Если есть оборудование, конечно.


  • вы задачу читали?
    вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…

    • не надо что бы юзер что то вводил.

  • @alexandrnew:

    вы задачу читали?
    вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…

    • не надо что бы юзер что то вводил.

    1. Читал. У вас там что ВСЕ юзеры как минимум CCNA ? Все знают КАК и ЧЕМ снифать трафик ? А главное снифать-то надо на ШЛЮЗЕ, чтобы вытащить пароль. Или у вас до сих пор ХАБЫ стоят.

    2. Если уже решили как и чем это сделать и люди предложили уже все возможные варианты, то чего ждете ?


  • напомню - надо что бы юзер ничего дополнительно не вводил, следовательно рртр или ррое пас должен быть сохранен локально, для данного юзера.  - софта его показывающего данный пас - более чем.

    при старте топика я написал - оптимальное решение в сторону 802.1X  и радиуса…
    опенвпн (как сервис) заюзаю если не получится оптимальный вариант.


  • Просмотрел 802.1x - работает пониже уровня IP, в принципе должен/может использоваться свичом для конкретного порта. Как в эту картину pfSense думаешь вписать? все правила работают на уровне IP.


  • hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...


  • @alexandrnew:

    hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...

    Кто сказал что под Фрю hostapd нет (или это "однофамилец"  ??? ?) ? Как минимум :

    1. http://habrahabr.ru/blogs/bsdelniki/72158/#habracut
    2. http://forum.lissyara.su/viewtopic.php?f=4&t=11707
    3. http://brainstorm.name/archives/33
    4. Google


  • @alexandrnew:

    нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

    какое оборудование используется в конторе, имеется ввиду сетевая активка?


  • @zar0ku1:

    @alexandrnew:

    нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

    какое оборудование используется в конторе, имеется ввиду сетевая активка?

    вопрос в том -что оборудование тут врядли поможет.
    это распределенная вайфай сеть, по нвшим филиалам, которой пользуются гости, в т.ч. и продвинутые ИТшники (кстати, всех с прошедшим :) ), которым подделать мак- не проблема, сеть - огромная, более 200 вайфай точек…
    ставить на них всех умную активку, с данным протоколом- дорого... заставлять некоторых руководителей вводить логин\пас - тоже не очень удобно...а привязать их ип к маку- бесполезно.. причина выше...


  • если гости да еще и вайфай, то портлокинг отпадает, который я хотел придложить

    нужно какие-то умные вайфайки, либо разграничение по вланам с урезанием прав или что-то в этом духе


  • так я и об єтом думаю :), пока проще и умнее чем сервис опенвпн - ничего не придумал :)