Freesco, NND, CDN, EOS :: Wyświetl temat - słaby transfer

Niestety podszywajac sie pod istniejacy serwer pppoe wymusilem na kliencie windowsowym w domyslnej konfiguracji autoryzacje za pomoca papa (oczywiscie jest mozliwosc zmiany tego, ale ide o zaklad, ze wiekszosc tego nie zrobila). Nie testowalem autoryzacji sprzetowych apekow po pppoe, ale konfigurujac kilka modeli w zadnym nie przewinela mi sie taka mozliwosc. Jesli jestem w bledzie, to mnie popraw i podaj modele na jakich to jest mozliwe. Chetnie to sprawdze.

: [/] [] ()

Connected to 00:15:e9:e9:30:cf via interface eth1
Using interface ppp2
Connect: ppp2 <--> eth1
Couldn't increase MTU to 1500
Couldn't increase MRU to 1500
Couldn't increase MTU to 1500
peer from calling number 00:15:E9:E9:30:CF authorized
found interface eth0 for proxy arp
local  IP address 10.0.0.3
remote IP address 82.160.201.77
Connected to 00:30:4f:34:20:c8 via interface eth1
Using interface ppp0
Connect: ppp0 <--> eth1
Couldn't increase MTU to 1500
Couldn't increase MRU to 1500

: [/] [] ()

May 13 08:53:38 pppoe1 pppoe-server[7817]: Sent PADT
May 13 08:53:38 pppoe1 pppoe-server[7818]: PADT for session 680 received from 00:14:78:EC:10:88; should be from 00:00:00:00:00
May 13 08:53:38 pppoe1 pppoe-server[7815]: PADT for session 680 received from 00:14:78:EC:10:88; should be from 00:19:E0:0F:E2
May 13 08:53:38 pppoe1 pppoe-server[7809]: PADT for session 680 received from 00:14:78:EC:10:88; should be from 00:00:00:00:00
May 13 08:53:38 pppoe1 pppd[12117]: Terminating on signal 15.
May 13 08:53:41 pppoe1 pppd[12117]: Connection terminated.
May 13 08:53:41 pppoe1 pppd[12117]: Connect time 5.9 minutes.
May 13 08:53:41 pppoe1 pppd[12117]: Sent 1112927 bytes, received 246633 bytes.
May 13 08:53:41 pppoe1 pppd[12117]: Connect time 5.9 minutes.
May 13 08:53:41 pppoe1 pppd[12117]: Sent 1112927 bytes, received 246633 bytes.
May 13 08:53:41 pppoe1 pppd[12117]: Exit.
May 13 08:53:41 pppoe1 pppoe-server[7817]: Session 680 closed for client 00:14:78:ec:10:88 (10.67.17.167) on eth1
May 13 08:55:51 pppoe1 pppd[12413]: LCP terminated by peer
May 13 08:55:51 pppoe1 pppd[12413]: Couldn't increase MTU to 1500
May 13 08:55:51 pppoe1 pppd[12413]: Couldn't increase MRU to 1500
May 13 08:55:52 pppoe1 pppoe-server[14769]: Session 606 created for client 00:15:e9:e9:30:cf (10.67.17.93) on eth1 using Servi
May 13 08:55:52 pppoe1 pppd[14769]: Plugin /etc/ppp/plugins/rp-pppoe.so loaded.
May 13 08:55:52 pppoe1 pppd[14769]: RP-PPPoE plugin version 3.7 compiled against pppd 2.4.2
May 13 08:55:52 pppoe1 pppd[14769]: pppd 2.4.2 started by root, uid 0
May 13 08:55:52 pppoe1 pppd[14769]: Connected to 00:15:e9:e9:30:cf via interface eth1
May 13 08:55:52 pppoe1 pppd[14769]: Using interface ppp11
May 13 08:55:52 pppoe1 pppd[14769]: Connect: ppp11 <--> eth1
May 13 08:55:52 pppoe1 pppd[14769]: Couldn't increase MTU to 1500
May 13 08:55:52 pppoe1 pppd[14769]: Couldn't increase MRU to 1500
May 13 08:55:54 pppoe1 pppd[12413]: Connection terminated.
May 13 08:55:54 pppoe1 pppd[12413]: Connect time 5.1 minutes.
May 13 08:55:54 pppoe1 pppd[12413]: Sent 158 bytes, received 126 bytes.
May 13 08:55:54 pppoe1 pppd[12413]: Connect time 5.1 minutes.
May 13 08:55:54 pppoe1 pppd[12413]: Sent 158 bytes, received 126 bytes.
May 13 08:55:54 pppoe1 pppd[12413]: Exit.

Autor:	paros [ sobota, 10 maja 2008, 18:58 ]
Tytuł:	słaby transfer - sprzęt czy zła konfiguracja NND?
Witam. Od pewnego czasu czytam Wasze forum, FAQ i Google w zasadzie w jednym celu. Mam małą (bardzo małą - 3 kompy w pracy i 2 w domu) sieć. Niestety dom jest w odległości 8 km. od pracy, a budynki "nie widzą się". Poskładałem więc radiolinię złożoną z czterech AP (2 jako klienty, 2 jako AP). Na jednym końcu jest moja praca z LAN'em podpiętym do DSL (po podzieleniu przez dostawcę dla mnie ok. 1 Mb), na drugim LAN domowy. Do tej pory po obu stronach były routery sprzętowe (D-link). Radiolinia zabezpieczona WEP'ami (128 bits) a mimo to zdarzyło się, że coś wlazło mi do sieci. Ktoś poradził mi router NND i radiolinię przez PPPOE. Zrobiłem tak (dzięki nieocenionej pomocy kolegi "Albercik" - dzięki jeszcze raz), ale mam wątpliwości. Otóż wydaje mi się, że dosyć poważnie spadł transfer po tej operacji. Nie wiem, czy to jest cena za PPPOE, czy może za słaby sprzet - proc. PII 200 MMX, 256 RAM czy problemy z konfiguracją NND (teraz już czysty router, bez Apache, MRTG, Niceshaper itp). Konkretnie: "po staremu" zciąganie dużego pliku z FTP ok. 170 kB/s, średni test z "Continuum" 700 kb/s. Po "nowemu" odpowiednio: FTP (oczywiście ten sam plik)140 kB i Continuum 400 kb w "LAN praca" oraz FTP 40 (!)kB i Continuum 200 kb "LAN w domu, po PPPOE". Testy w miarę miarodajne - wyniki średnie z kilku testów robionych w krótkim czasie. Szyfrowanie z AP zdjęte. I teraz właściwe pytanie - czy przy takim sprzęcie jest szansa na lepiej? Zakładamy, że nie ma (lub nie będzie) błędów w konfiguracji... pozdrawiam Leszek

Autor:	tasiorek [ sobota, 10 maja 2008, 19:16 ]
Tytuł:
Kto ci tak poradzil? WEP to zadne zabezpieczenie, pppoe to przerost formy nad trescia w tym wypadku, a robienie tego na PCtach to juz calkiem nietrafiony pomysl. Zastosuj cos z obsluga wpa2, mocno kierunkowe anteny, i skrecona do minimum moc na kartach. Dodatkowym zabezpieczeniem moze byc nstreme z MT, lub worp z tsunami i wezszy kanal (ale to zmniejszy predkosc). Bedzie to na pewno bezpieczniejsze, prostsze w konfiguracji i prawdopodobnie wydajniejsze niz to co masz teraz. Co do predkosci, to roznie moze byc. nie napisales nic o technologii, poziomie sygnalu, kartach.

Autor:	paros [ sobota, 10 maja 2008, 20:47 ]
Tytuł:
Nie byłem precyzyjny. W tej całej radiolinii nie chodzi o stworzenie wspólnej sieci biurowo - domowej, ale na wykorzystaniu Internetu który mam w pracy (za który płacę dosyć sporo) również w domu. ...nstreme z MT, lub worp z tsunami... rzuciłem okiem na ceny - to dopiero przerost formy nad treścią... ...Co do predkosci, to roznie moze byc. nie napisales nic o technologii, poziomie sygnalu, kartach... bo w tym momencie nie chodziło mi o poradę dot. wydajności mojej radiolinii tylko o podpowiedzenie, czy w takiej konfiguracji sprzętowej jaką mam wydajniejsze będzie zastosowanie mocnego szyfrowania na AP'kach (np WPA2) czy PPPOE bez szyfrowania AP'ków. Chodzi o to, że chciałbym oprzeć się o to, co już mam. Inwestycje mogą się nie zwrócić nigdy - od biedy mogę wziąć do domu osobne łącze od jakiegoś dostawcy za ok 70 PLN miesięcznie. Oznacza to, że zaoszczędzam ok 800 PLN rocznie. Czy kupowanie sprzętu miałoby sens? PC (jako NND) jest tylko jeden (był przeznaczony w zasadzie do wyrzucenia) - w domu jest D-link jako klient PPPOE...

Autor:	tasiorek [ niedziela, 11 maja 2008, 11:13 ]
Tytuł:
paros pisze: czy w takiej konfiguracji sprzętowej jaką mam wydajniejsze będzie zastosowanie mocnego szyfrowania na AP'kach (np WPA2) czy PPPOE bez szyfrowania AP'ków. Jak juz mowilem nic nie napisales o sprzecie, wiec ciezko powiedziec. W nowszych kartach wpa2 zalatwiane jest sprzetowo przez karte, wiec nie obciaza procka. pppoe bez szyfrowania jest praktycznie tak bezpieczne jak apeki z wepem. Najprosciej bedzie jak wylaczysz pppoe i porownasz.

Autor:	rikardo7 [ poniedziałek, 12 maja 2008, 09:17 ]
Tytuł:
sprzet raczej powinien sobie poradzic, co do testow to ja bym "Continuum" za bardzo nie wierzyl !! (neo512 pokazuje 295kb/s) z tego co pamietam jak testowalem siec na 4Mb DSL tez pokazywalo nieteges(wieczorem sprawdze DSL). no i ostatnia rzecz Cytuj: a mimo to zdarzyło się, że coś wlazło mi do sieci. co ci wlazilo do tej sieci??robaki? czy miales wlamania?

Freesco, NND, CDN, EOS http://forum.freesco.pl/

słaby transfer - sprzęt czy zła konfiguracja NND? http://forum.freesco.pl/viewtopic.php?f=22&t=16880	Strona 1 z 2

Autor:	paros [ poniedziałek, 12 maja 2008, 16:24 ]
Tytuł:
...nic nie napisales o sprzecie... patrząc od strony Internetu: przewód zakończony wtykiem RJ45 od dostawcy internetu (DSL kiedyś 4Mb teraz ograniczone do ok. 1Mb) - Router NND: płyta jakieś Pentium z procesorem 200MHz MMX i pamięcią 256 MB + 64 MB, eth0 jakiś Realtek na PCI, eth1 i eth2 Intele widziane przez moduł EEPRO na ISA (może tutaj problem?), dysk IDE Maxtor (chyba 80GB). Na eth1 sieć biurowa. Eth2 podniesione bez adresu, na niej PPPOE a dalej OvisLink jako AP blisko biura, potem OvisLink jako APC na wysokim budynku, potem skrętka do OvisLink AP na drugim końcu tego budynku (ten AP "widzi" mój dom), antena Yaga "ileśtam elementów" następnie już w domu antena mocno kierunkowa (panel jako radiator i satelita 90cm jako reflektor), kolejny OvisLink APC i routerek D-link. ... pppoe bez szyfrowania jest praktycznie tak bezpieczne jak apeki z wepem... tego nie wiedziałem - i to prawdopodobnie przesądzi o konfiguracji tego mojego wynalazku. Wg. moich wyobrażeń pppoe miało być panaceum na wszystkich włamywaczy a skoro tak nie jest, zrobię jak sugerowałeś (zrobiłem próbę w oparciu o WPA2-PSK na wszystkich OvisLinkach i routerkach sprzętowych D-Link na końcach. Efekt zdecydowanie lepszy niż NND i pppoe i co ciekawe - również dla sieci w biurze, nie podłączonej do radia). Sugerowałoby to niewydolność routera NND (?)...

Autor:	tasiorek [ poniedziałek, 12 maja 2008, 21:42 ]
Tytuł:
Z pppoe na linuxie zbyt duzego, wiec nic nie doradze. Nie bardzo rozumiem w jakim celu masz tam te d-linki, bo rozumiem, ze dosyl realizuje te 4 ovisy. Zuzycie zasobow routera mozna bez problemu sprawdzic i wtedy bedziesz wiedzial czy to wina kompa, czy czegos innego (ale to pewnie bedzie to, bo p200 demonem predkosci nie jest )

Autor:	rikardo7 [ wtorek, 13 maja 2008, 00:06 ]
Tytuł:
tasiorek napisal : Cytuj: (ale to pewnie bedzie to, bo p200 demonem predkosci nie jest ) masz racje ,ale z samym niceshaperem lub tylko z htb smiga elegancko do 10-15 kompow na podobnym sprzecie zaczynalem P200 i 64 RAM a paros ma wszystkiego 5 kompow.

Autor:	Albercik [ wtorek, 13 maja 2008, 07:59 ]
Tytuł:
tasiorek pisze: paros pisze: . pppoe bez szyfrowania jest praktycznie tak bezpieczne jak apeki z wepem. Nie wprowadzaj człowieka w błąd, takie porównanie daje mylne wyobrażenie o pppoe. To są dwie różne opcje - WEP ogólnie bardzo łatwy w złamaniu , mimo z założenia trudnych algorytmów. PPPOE natomiast w najprostszej (a kolega Paros ma w mschap v2 - o ile zrobił to wg moich wskazówek) nie jest do złamania z prozaicznego powodu - brakuje narzędzi do łamania (podobno w pap już można coś złamać, ale tylko podobno). Są już snifery, ale niewiele wykrywają i nic sensownego z logów odczytać się nie da. Cytuj: Z pppoe na linuxie zbyt duzego, wiec nic nie doradze. I niech tak zostanie, chyba, że mocno to przemaglujesz. ps. Nawiasem mówiąc ja Parosowi nie poleciłem pppoe, ale pomogłem mu go skonfigurować. --EDIT-- Sprawdź zużycie zasobów top'em - zobacz który z procesów faktycznie nadwyręża sprzęt.

Autor:	tasiorek [ wtorek, 13 maja 2008, 08:25 ]
Tytuł:
Albercik pisze: Nie wprowadzaj człowieka w błąd, takie porównanie daje mylne wyobrażenie o pppoe. To są dwie różne opcje - WEP ogólnie bardzo łatwy w złamaniu , mimo z założenia trudnych algorytmów. PPPOE natomiast w najprostszej (a kolega Paros ma w mschap v2 - o ile zrobił to wg moich wskazówek) nie jest do złamania z prozaicznego powodu - brakuje narzędzi do łamania (podobno w pap już można coś złamać, ale tylko podobno). Są już snifery, ale niewiele wykrywają i nic sensownego z logów odczytać się nie da. Sniffowanie to tylko jedna z metod ataku. Na nia mschap v2 faktycznie wystarcza. Niestety pppoe nie ma zadnego mechanizmu autoryzacji serwera. Wystarczy udawac apeka z serwerem pppoe o takim samym ssid i nazwie serwera i klient bez problemu poda nam swoj login i haslo. Nie wazne jakie szyfrowanie zastosujesz na serwerze, bo klient komunikuje sie z serwerem wlamywacza. Albercik pisze: I niech tak zostanie, chyba, że mocno to przemaglujesz. To ze nie mam na linuxie, nie znaczy ze go nie znam. EDIT: przepraszam, mschap v2 autoryzuje tez serwer. Pytanie tylko, czy na tych ovisach mozna wymusic autoryzacje wylacznie z tym szyfrowaniem. Jesli nie, to problem pozostaje.

Autor:	Albercik [ wtorek, 13 maja 2008, 10:19 ]
Tytuł:
tasiorek pisze: EDIT: przepraszam, mschap v2 autoryzuje tez serwer. Pytanie tylko, czy na tych ovisach mozna wymusic autoryzacje wylacznie z tym szyfrowaniem. Jesli nie, to problem pozostaje. Wysyłanie otwartym tekstem dotyczy tylko nazwy użytkownika, dlatego pppoe jest jak dotąd bezpieczne. Hasło jest szyfrowane przy każdym kodowaniu .

Autor:	tasiorek [ wtorek, 13 maja 2008, 11:06 ]
Tytuł:
Albercik pisze: Wysyłanie otwartym tekstem dotyczy tylko nazwy użytkownika, dlatego pppoe jest jak dotąd bezpieczne. Hasło jest szyfrowane przy każdym kodowaniu . Przeczytaj jeszcze raz moje wczesniejsze posty. Nie pisze tu o podsluchiwaniu transmisji koncentrator - klient, tylko o podszyciu sie pod koncentrator. W takim wypadku jesli na kliencie nie jest wymuszona autoryzacja po mschap v2, to serwer wlamywacza nawiaze polaczenie np. w mschap i juz ma login i haslo usera na tacy. Wtedy cale bezpieczenstwo pppoe idzie sie kochac.

Autor:	Albercik [ wtorek, 13 maja 2008, 11:17 ]
Tytuł:
tasiorek pisze: Albercik pisze: Wysyłanie otwartym tekstem dotyczy tylko nazwy użytkownika, dlatego pppoe jest jak dotąd bezpieczne. Hasło jest szyfrowane przy każdym kodowaniu . Przeczytaj jeszcze raz moje wczesniejsze posty. Nie pisze tu o podsluchiwaniu transmisji koncentrator - klient, tylko o podszyciu sie pod koncentrator. W takim wypadku jesli na kliencie nie jest wymuszona autoryzacja po mschap v2, to serwer wlamywacza nawiaze polaczenie np. w mschap i juz ma login i haslo usera na tacy. Wtedy cale bezpieczenstwo pppoe idzie sie kochac. Ja właśnie o tym mówię. Podszyj się i spróbuj zdekodować podawane przez klienta hasło kodowane choćby tylko w pap. Zobacz też co się stanie stawiając bliźniaczy koncentrator w sieci. Cytuj: To ze nie mam na linuxie, nie znaczy ze go nie znam. Zdania są podzielone. Wyczytać to jedno ,sprawdzić praktycznie to drugie. --EDIT-- Kontynuując OT tutaj są dane kodowania haseł: http://technet2.microsoft.com/windowsse ... x?mfr=true

Autor:	tasiorek [ wtorek, 13 maja 2008, 15:41 ]
Tytuł:
Znam metode kodowania mschap i prosze nie pisz mi, ze jest ona bezpieczna. Proponuje przeszukac np. packetstormsecurity.org. Znajdziesz tam ciekawe narzedzia i biuletyny cisco na temat bezpieczenstwa tej autoryzacji.

Autor:	tasiorek [ wtorek, 13 maja 2008, 16:36 ]
Tytuł:
Albercik pisze: Na dzień dzisiejszy jak widać PPPOE+MSCHAP V2 jest nie do zastąpienia w sieciach wi-fi. To sprawdz w jakis sposob autoryzuja sie Twoje apeki, o ile takie masz. Sprawdz tez co robi windowsowy klient w domyslnej konfiguracji, jak podepnie sie do serwera nieobslugujacego ms-chap v2. Wedlug mnie jest do zstapienia chocby przez wpa2 (ktore notabene zalatwiane jest sprzetowo przez nowsze karty) i rozne klucze szyfrujace dla kazdego klienta.

Autor:	Albercik [ wtorek, 13 maja 2008, 18:12 ]
Tytuł:
tasiorek pisze: Wedlug mnie jest do zstapienia chocby przez wpa2 (ktore notabene zalatwiane jest sprzetowo przez nowsze karty) i rozne klucze szyfrujace dla kazdego klienta. Oprócz kilku różnic , o które możemy się sprzeczać, jest jedna , która WPA stawia zdecydowanie za PPPOE i jest bezdyskusyjna, mianowicie dość spore obciążenie nadajnika, co przy np 15 osobach online osiąga już niezłe wartości.

Autor:	tasiorek [ wtorek, 13 maja 2008, 19:07 ]
Tytuł:
Zrobilem maly tescik i powiem Ci tak: w przypadku pap nic nie trzeba dekodowac. Zarowno login jak i haslo leci otwartym tekstem. W chapie idzie najpierw challenge od serwera i pozniej odpowiedz z zaszyfrowanym haslem i loginem w czystym tekscie. Podobnie w mschap1 i mschap2. Na kryptografii sie nie znam, ale skoro cisco pisze ze chapa i mschapa1 mozna bezproblemowo zlamac, a microsoft wprowadzil v2, to nie mam powodu, aby im nie wierzyc. Wszystko byloby pieknie, bo mamy mschapv2. Niestety podszywajac sie pod istniejacy serwer pppoe wymusilem na kliencie windowsowym w domyslnej konfiguracji autoryzacje za pomoca papa (oczywiscie jest mozliwosc zmiany tego, ale ide o zaklad, ze wiekszosc tego nie zrobila). Nie testowalem autoryzacji sprzetowych apekow po pppoe, ale konfigurujac kilka modeli w zadnym nie przewinela mi sie taka mozliwosc. Jesli jestem w bledzie, to mnie popraw i podaj modele na jakich to jest mozliwe. Chetnie to sprawdze. Wyraznego spadku wydajnosci w przypadku stosowania WPA2 nie zauwazylem. 15 osob online na jednej karcie zalatwia sie pollingiem z MT, lub podobno mozna tez za pomoca RTS/CTS ktore jest w standardzie wifi. Myslisz, ze na pppoe nie tracisz wydajnosci? Powiedz mi w takim razie co z dodatkowa enkapsulacja? Wracajac do tematu watku: klientem byl apek sprzetowy. Mschap 2 raczej nie byl wymuszony. Na WPA2 wszystko dzialalo szybciej i w najgorszym wypadku tak samo bezpiecznie. PPPoE nadaje sie do sieci z duza iloscia klientow, bo zapewnia m.in ich izolacje. Musi jednak byc zrobione z glowa (wymuszenie autoryzacji wylacznie po mschapv2). Stosowanie go do linka p2p to czysta glupota i strata wydajnosci (dodatkowe naglowki zwiekszaja rozmiar kazdego pakietu). W takim wypadku lepsze jest WPA2. Do podlaczania klientow to juz kwestia upodobania admina, ale nie pisz, ze nie ma alternatywy poza pppoe. Proponuje tez je lepiej poznac, zanim napiszesz, ze podobno pap mozna zlamac EDIT: zeby nie byc goloslownym: : [/] [] () 19:09:37.358689 PPPoE PADO [Host-Uniq 0x2D00000059000000] [Service-Name] [AC-Name "Hotspot Biuro"] [Service-Name "dnet"] 19:09:37.358780 PPPoE PADR [Service-Name] [Host-Uniq 0x2D0000005A000000] 19:09:37.363394 PPPoE PADS [ses 0x2e] [Host-Uniq 0x2D0000005A000000] [Service-Name] 19:09:37.369087 PPPoE [ses 0x2e] LCP, Conf-Request (0x01), id 0, length 19 19:09:37.372818 PPPoE [ses 0x2e] LCP, Conf-Request (0x01), id 1, length 20 19:09:37.373308 PPPoE [ses 0x2e] LCP, Conf-Reject (0x04), id 0, length 9 19:09:37.378161 PPPoE [ses 0x2e] LCP, Conf-Ack (0x02), id 1, length 20 19:09:37.378268 PPPoE [ses 0x2e] LCP, Conf-Request (0x01), id 1, length 16 19:09:37.378825 PPPoE [ses 0x2e] LCP, Conf-Ack (0x02), id 1, length 16 19:09:37.392651 PPPoE [ses 0x2e] LCP, Ident (0x0c), id 2, length 20 19:09:37.392717 PPPoE [ses 0x2e] LCP, Ident (0x0c), id 3, length 29 19:09:37.393078 PPPoE [ses 0x2e] PAP, Auth-Req (0x01), id 23, Peer tasior, Name haslo_tasiora 19:09:37.532000 PPPoE [ses 0x2e] PAP, Auth-ACK (0x02), id 0, Msg Login ok GeSHi © Codebox Plus To kawalek komunikacji miedzy podstawionym serwerem pppoe wymuszajacym autoryzacje po pap, a klientem. Dla potrzeby testow login tasior, haslo haslo_tasiora. Jak widac mozna je znalezc w czystym tekscie.

Autor:	tasiorek [ środa, 14 maja 2008, 09:27 ]
Tytuł:
Albercik pisze: Cofnąłem się do czasu kiedy wszystkie serwery miałem postawione na pap i w logach w żadnym z nich nie pojawiło się hasło, nie mam pojęcia coś Ty wymyślił, ale jesteś jedynym którego znam, komu pokazało się hasło i w dodatku otwartym tekstem w logach. Ech, no i zaczynamy rozmowy o duchach. Czy ja gdzies napisalem o logach? Czy logi to jedyny sposob uzyskania informacji? To co wkleilem to zrzut z tcpdumpa. Z reszta nie wazne. Haslo jest wysylane otwartym tekstem i da sie zmusic klienta do autoryzacji w pap. Jesli znasz pppoe tylko z obserwacji logow, to nie wypowiadaj sie prosze o jego bezpieczenstwie :p Albercik pisze: Enkapsulacja to wczytani ramki ppp w paczkę ethernetową , jej rozmiar nie przekracza bajta danych. Nawiasem mówiąc, to jeszcze niedawno twierdziłeś, że polling działa tylko z nstreme. Jakaś zmiana w specyfikacji pollingu? Nie bede nic testowal, bo zaraz mi napiszesz, ze Ty tego nie znalazles w logach Porownaj sobie ile danych przechodzi przy sciaganiu pliku 100mb z pppoe i bez pppoe. Rozmiar naglowka wynosi bajt (zawsze, a nie nie przekracza), co dodane do kazdego pakietu robi sie spora iloscia. Porownaj to sie przekonasz. Dalej twierdze, ze polling dziala tylko z nstreme. Napisalem gdzies, ze jest inaczej? Albercik pisze: Tego nie rozumiem zupełnie, na prawdę , nie próbuję drwić. Po prostu nie wiem jak wykonałeś to porównanie Wielu rzeczy nie rozumiesz i z nimi polemizujesz Porownaj wydajnosc linka z wpa2 i z pppoe. O bezpieczenstwie nie bedziemy mowic, bo przeciez w logach tego nie widac Albercik pisze: W tej części też nie rozumiem. APek nie ma mieć autoryzacji, ma być tylko mostem do logowania klienta. Na nim nie ma nic (teoretycznie) . Tutaj też proszę troszkę światła. A jednak w opisywanym przypadku mial. Sa apeki z autoryzacja po pppoe? Maja mozliwosc wymuszenia wylacznie mschapv2? No tak. Plusem pppoe jest to, ze wdrazajac je czegos sie nauczysz. Widze, ze dzialamy na innym poziomie abstrakcji. Przewaznie nie trzeba wprowadzac jakiegos rozwiazania, zeby widziec ze jest ono nietrafione (nie pisze tu o pppoe, tylko o egzotycznych rozwiazaniach).

Autor:	Albercik [ wtorek, 13 maja 2008, 16:13 ]
Tytuł:
tasiorek pisze: :P Znam metode kodowania mschap i prosze nie pisz mi, ze jest ona bezpieczna. Proponuje przeszukac np. packetstormsecurity.org. Znajdziesz tam ciekawe narzedzia i biuletyny cisco na temat bezpieczenstwa tej autoryzacji. Powiedz mi do czego teraz zmierzasz? Teraz już nie łapię sensu Twojego rozumowania. Idąc Twoim tokiem myślenia to najlepiej nie robić nic, bo o wszystkim znajdzie się jakaś wzmianka, że jest możliwość złamania danego zabezpieczenia. Na dzień dzisiejszy jak widać PPPOE+MSCHAP V2 jest nie do zastąpienia w sieciach wi-fi.

Autor:	Albercik [ wtorek, 13 maja 2008, 23:46 ]
Tytuł:
Cytuj: Niestety podszywajac sie pod istniejacy serwer pppoe wymusilem na kliencie windowsowym w domyslnej konfiguracji autoryzacje za pomoca papa (oczywiscie jest mozliwosc zmiany tego, ale ide o zaklad, ze wiekszosc tego nie zrobila). Nie testowalem autoryzacji sprzetowych apekow po pppoe, ale konfigurujac kilka modeli w zadnym nie przewinela mi sie taka mozliwosc. Jesli jestem w bledzie, to mnie popraw i podaj modele na jakich to jest mozliwe. Chetnie to sprawdze. Cofnąłem się do czasu kiedy wszystkie serwery miałem postawione na pap i w logach w żadnym z nich nie pojawiło się hasło, nie mam pojęcia coś Ty wymyślił, ale jesteś jedynym którego znam, komu pokazało się hasło i w dodatku otwartym tekstem w logach. Idąc tym tokiem rozumowania na jednym z serwerów wymusiłam autoryzację po pap i logi wyglądają tak: : [/] [] () Connected to 00:15:e9:e9:30:cf via interface eth1 Using interface ppp2 Connect: ppp2 <--> eth1 Couldn't increase MTU to 1500 Couldn't increase MRU to 1500 Couldn't increase MTU to 1500 peer from calling number 00:15:E9:E9:30:CF authorized found interface eth0 for proxy arp local IP address 10.0.0.3 remote IP address 82.160.201.77 Connected to 00:30:4f:34:20:c8 via interface eth1 Using interface ppp0 Connect: ppp0 <--> eth1 Couldn't increase MTU to 1500 Couldn't increase MRU to 1500 GeSHi © Codebox Plus oraz tak: : [/] [] () May 13 08:53:38 pppoe1 pppoe-server[7817]: Sent PADT May 13 08:53:38 pppoe1 pppoe-server[7818]: PADT for session 680 received from 00:14:78:EC:10:88; should be from 00:00:00:00:00 May 13 08:53:38 pppoe1 pppoe-server[7815]: PADT for session 680 received from 00:14:78:EC:10:88; should be from 00:19:E0:0F:E2 May 13 08:53:38 pppoe1 pppoe-server[7809]: PADT for session 680 received from 00:14:78:EC:10:88; should be from 00:00:00:00:00 May 13 08:53:38 pppoe1 pppd[12117]: Terminating on signal 15. May 13 08:53:41 pppoe1 pppd[12117]: Connection terminated. May 13 08:53:41 pppoe1 pppd[12117]: Connect time 5.9 minutes. May 13 08:53:41 pppoe1 pppd[12117]: Sent 1112927 bytes, received 246633 bytes. May 13 08:53:41 pppoe1 pppd[12117]: Connect time 5.9 minutes. May 13 08:53:41 pppoe1 pppd[12117]: Sent 1112927 bytes, received 246633 bytes. May 13 08:53:41 pppoe1 pppd[12117]: Exit. May 13 08:53:41 pppoe1 pppoe-server[7817]: Session 680 closed for client 00:14:78:ec:10:88 (10.67.17.167) on eth1 May 13 08:55:51 pppoe1 pppd[12413]: LCP terminated by peer May 13 08:55:51 pppoe1 pppd[12413]: Couldn't increase MTU to 1500 May 13 08:55:51 pppoe1 pppd[12413]: Couldn't increase MRU to 1500 May 13 08:55:52 pppoe1 pppoe-server[14769]: Session 606 created for client 00:15:e9:e9:30:cf (10.67.17.93) on eth1 using Servi May 13 08:55:52 pppoe1 pppd[14769]: Plugin /etc/ppp/plugins/rp-pppoe.so loaded. May 13 08:55:52 pppoe1 pppd[14769]: RP-PPPoE plugin version 3.7 compiled against pppd 2.4.2 May 13 08:55:52 pppoe1 pppd[14769]: pppd 2.4.2 started by root, uid 0 May 13 08:55:52 pppoe1 pppd[14769]: Connected to 00:15:e9:e9:30:cf via interface eth1 May 13 08:55:52 pppoe1 pppd[14769]: Using interface ppp11 May 13 08:55:52 pppoe1 pppd[14769]: Connect: ppp11 <--> eth1 May 13 08:55:52 pppoe1 pppd[14769]: Couldn't increase MTU to 1500 May 13 08:55:52 pppoe1 pppd[14769]: Couldn't increase MRU to 1500 May 13 08:55:54 pppoe1 pppd[12413]: Connection terminated. May 13 08:55:54 pppoe1 pppd[12413]: Connect time 5.1 minutes. May 13 08:55:54 pppoe1 pppd[12413]: Sent 158 bytes, received 126 bytes. May 13 08:55:54 pppoe1 pppd[12413]: Connect time 5.1 minutes. May 13 08:55:54 pppoe1 pppd[12413]: Sent 158 bytes, received 126 bytes. May 13 08:55:54 pppoe1 pppd[12413]: Exit. GeSHi © Codebox Plus Ale idźmy dalej. Cytuj: Wyraznego spadku wydajnosci w przypadku stosowania WPA2 nie zauwazylem. 15 osob online na jednej karcie zalatwia sie pollingiem z MT, lub podobno mozna tez za pomoca RTS/CTS ktore jest w standardzie wifi. Myslisz, ze na pppoe nie tracisz wydajnosci? Powiedz mi w takim razie co z dodatkowa enkapsulacja? Enkapsulacja to wczytani ramki ppp w paczkę ethernetową , jej rozmiar nie przekracza bajta danych. Nawiasem mówiąc, to jeszcze niedawno twierdziłeś, że polling działa tylko z nstreme. Jakaś zmiana w specyfikacji pollingu? To tylko jeden bajt danych i w dodatku załózmy , że jest 30klientów na danym AP to większe obciążenie wprowadza broadcast jednego klienta niż dodatkowy bajt w ramce pppoe dla tych 30tu. Cytuj: Na WPA2 wszystko dzialalo szybciej i w najgorszym wypadku tak samo bezpiecznie. Tego nie rozumiem zupełnie, na prawdę , nie próbuję drwić. Po prostu nie wiem jak wykonałeś to porównanie, mam wrażenie , że zaczynasz uzasadniać "nie bo nie i każde twierdzenie na nie". Jeśli możesz to rozwiń tą kwestię. Cytuj: Nie testowalem autoryzacji sprzetowych apekow po pppoe, ale konfigurujac kilka modeli w zadnym nie przewinela mi sie taka mozliwosc. Jesli jestem w bledzie, to mnie popraw i podaj modele na jakich to jest mozliwe. Chetnie to sprawdze. W tej części też nie rozumiem. APek nie ma mieć autoryzacji, ma być tylko mostem do logowania klienta. Na nim nie ma nic (teoretycznie) . Tutaj też proszę troszkę światła. Podsumowując - poszliśmy strasznie w bok z tematem. Nie o to chodziło na pewno Parosowi, ale przy okazji liznął teorii pppoe i sensu tegoż używania. Ja osobiście nie uważam, że pppoe ma prawo bytu tylko w dużych sieciach, ponieważ im mniej klientów tym łatwiej to wdrożyć, kontrolować i administrować tym, a sama konfiguracja tak na prawdę dla znającego temat jest dość prosta (wbrew pozorom) i daje adminowi niesamowitą kontrolę. Nie wiem jakie założenia powziął Paros wdrażając pppoe , ale każdy sposób, aby się czegoś nauczyć jest dobry, A Ty Tasiorek masz chyba podejście zbyt "przemysłowe" do prób wdrażania różnych , dla Ciebie , nowinek czy egzotycznych rozwiązań i często jesteś bardzo hermetyczny w swoich teoriach.

Strona 1 z 2	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/