Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 13:47

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 96 ]  Przejdź na stronę Poprzednia  1, 2, 3, 4, 5  Następna
Autor Wiadomość
 Tytuł:
Post: poniedziałek, 14 maja 2007, 18:52 
Offline

Rejestracja: środa, 28 marca 2007, 10:36
Posty: 93
Lokalizacja: Białystok
@tasiorek:
Nie neguje użyteczności pppoe. Po prostu bardzo mi się nie podoba to rozwiązanie, ip-sentinel dobrze spełnia swoje zadanie w firmie a w domu nie mam potrzeby dzielenia się internetem z kimkolwiek.
Jeżeli chciałbym stosować fikuśne rozwiązania (w których się lubuję... prawda Maćku :wink: ) to zleciłbym naszemu programiście napisanie w javie apletu, który brałby hasło wpisane przez usera, szyfrowałby je używając jako klucza czegoś przypisanego do kompa np. MachineGuid Windowsa i czegoś zmiennego daty i/lub godziny:minuty (o ile mamy synchronizację czasu z serwerem wewnątrz sieci) a potem taką hybrydą autoryzował się na serwerze z użyciem mechanizmu Challenge/Response.
Zaletą w stosunku do pppoe byłoby to, że nie porzygałbym się widząc mnogość interfejsów sieciowych pppX, podczas absencji w pracy nikt mnie by nie niepokoił tematami: "pani X pokasowała masę plików w kompie tak, że nie działał internet, to jej przeinstalowałem Windowsa i dalej nie działa, weź coś poradź przez telefon". Użytkownicy są tak bezdennie głupi, że mają manię zamykania programów zminimalizowanych do traya. Nie wiem skąd to wynika i co na tym zyskują, ale ile jazgotu było gdy wyłączali sobie ochronę rezydentną antywirusa, bo myśleli że ich w ten sposób szpieguję a potem wrzeszczeli przez telefon, że komputer im się "popsuł". Jestem prawie pewien, że co niemiara byłoby wpadek z programem do logowania. Na szczęście ;) nasz programista jest jeszcze bardziej leniwy niż ja, więc na tym zakończę te przydługie dywagacje. Generalnie uważam, że pppoe to jest jakieś sensowne rozwiązanie, które osobiście zastosuję... gdy będę miał nóż na gardle
:wink:


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 14 maja 2007, 22:26 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Troszkę się OT zrobiło...
Jednak w tym wątku sporo różnych przemyśleń się zebrało, więc pozwole sobie podsumować.
Dwa rozwiązania, o których ostatnio z inicjatywy oriona pisaliśmy, to arpalert i ip-sentinel. Obydwa na pewno sprawdzą się w sieci LAN, gdzie trzeba dyscyplinować nieco użytkowników.
Obydwa mają też duże szanse przydać się w sieciach WLAN, ponieważ nie zapobiegną co prawda podsłuchowi, ale zabronią dostępu tym, którzy na gorąco bez wcześniejszego przygotowania i rozpoznania będą się chcieli podpiąć do sieci. Obydwa też sprawią problemy adminom, którzy mają "nieprzezroczyste" AP i to jest ograniczenie.
Mają jednak zaletę, że nie wymagają żadnych whatever po stronie użytkownika. Ich skuteczność oceniam jako dość wysoką. Oczywiście można zastosować oprogramowanie autoryzujące i preferowałbym tu chillispot. Po pierwsze zapewnia naprawdę wysoki poziom zabezpieczeń, praktycznie uniemożliwia włamanie. Po drugie - pracuje na jednym interfejsie. Wadą jest dynamiczne - jak na razie przydzielanie adresów IP. Drugie rozwiązanie - czyli pppoe mi osobiście się nie podoba ze względu właśnie na używanie dodatkowych programów, problemy ze starszymi windowsami i pracę na wielu wirtualnych interfejsach, ale to oczywiście tylko moje prywatne skromne zdanie.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 15 maja 2007, 11:06 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
potwierdzam slowa macka i oriona, tak arpalert jak i ip-sentinel u mnie dzialaja w sposob opisany powyzej, czyli na obcym IP brak neta lub jest na krotka chwile.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 18 maja 2007, 12:43 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
odwołuję to co napisałem wcześniej :oops:

Po dłuższym (kilka dni) testowaniu pakiet jednak blokuje ruch między userami nawet na switchu.
Potwierdzam słowa poprzedników: sieć jest dostępna na kilka minut a potem automagicznie podmieniają się macki i wszystko głupieje.

Za szybko oceniłem pakiet a on zaczyna działać po dłuższej chwili


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 22 maja 2007, 23:31 
Offline
Użytkownik

Rejestracja: czwartek, 18 sierpnia 2005, 00:39
Posty: 111
Cytuj:
Obydwa też sprawią problemy adminom, którzy mają "nieprzezroczyste" AP i to jest ograniczenie.


Zanim zabiorę sie do konfiguracji chciałbym wiedzieć jakiego rodzaju jest problem przy nieprzezroczystych AP. Mam jeden AP(APC) gdzie wszyscy za nim maja (wiadomo) identyczny MAC:
(Dokładnie 4 os). DHCP troszkę tu głupieje, wiec na sztywno każdy ma przypisany IP i stara się tego pilnować. (tylko tak unikam konfliktów...)

Czy ip-sentinel nie bedzie wariował i pozwoli mi również dla tych kilku ip przypisac ten sam adres MAC?
czy wywali mi jakiś błąd?

_________________
PanieŚwiećNadJgoDystrybucją>>NND


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 22 maja 2007, 23:38 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
No niestety tego nie wiem. Nie mam jak przećwiczyć. Problem polega na tym, że jak komputer prosi dhcp o przyznanie IP, pojawia się z MAC swojej karty, a potem już jest widoczny z MAC AP. Możesz spróbować dać w pliku konfiguracyjnym obydwa MAC. Gdzieś na stronie z manualami ip-sentinela widziałem taka opcję.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 28 maja 2007, 11:52 
Offline
Użytkownik

Rejestracja: czwartek, 13 stycznia 2005, 13:27
Posty: 209
Lokalizacja: podlaskie
witam
czytajac ten temat prawie znalazlem odpowiedz na moje pytanie ale prawie jak wiemy robi wielka roznice.(zastanawiam sie czy nie zaczac nowego watku)
potrzebuje czegos co bedzie zliczac pojawiajace sie nowe karty sieciowe w sieci po mac adresie. potrzebuje trzy wartosci :

- wszystkie mac adresy jakie sie pojawily w sieci od poczatku uruchomienia skryptu
- liczbe nowych z danego dnia
- liczbe starych i nowych aktywnych danego dnia

potrzebuje tego do hotspota, chwilowo mam to rozwiazane przy uzyciu arp i wpisywaniu do pliku wyniku co jakis czas, ale jest to jednak troche niewygodne.

hotspot jest otwarty i kazdy sie moze z nim polaczyc, nie mam statystyk ani dhcp na serwerze ale ip przydzielane jest w dhcp z innego urzadzenia ktore nie daje mozliwosci sprawdzenia tych 3 wartosci.
czy ktos moze ma pomysl jak to zliczyc?

_________________
kobieta z niczego potrafi zrobic: salatke, kapelusz i awanture


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 29 maja 2007, 20:46 
Offline

Rejestracja: środa, 28 marca 2007, 10:36
Posty: 93
Lokalizacja: Białystok
@nicek

Wydaje mi się, że zastosowanie ip-sentinela do uzyskiwania wymienionych przez ciebie informacji jest bez sensu. IMHO przetworzenie logów z DHCP to najprostszy sposób, ale skoro się nie da...
Po pierwsze ip-sentinel nie podaje w bezpośredni sposób daty i czasu wystąpienia zdarzenia. Po drugie w normalnej sieci znasz pary IP-MAC twoich userów i możesz stworzyć działający konfig do ip-sentinela, a jak to zrobić przy hotspocie ?!


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 29 maja 2007, 22:37 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
orion pisze:
@tasiorek:
Nie neguje użyteczności pppoe. Po prostu bardzo mi się nie podoba to rozwiązanie, (...)
Zaletą w stosunku do pppoe byłoby to, że nie porzygałbym się widząc mnogość interfejsów sieciowych pppX, podczas absencji w pracy nikt mnie by nie niepokoił tematami: "pani X pokasowała masę plików w kompie tak, że nie działał internet, to jej przeinstalowałem Windowsa i dalej nie działa, weź coś poradź przez telefon". (...) Generalnie uważam, że pppoe to jest jakieś sensowne rozwiązanie, które osobiście zastosuję... gdy będę miał nóż na gardle
:wink:


Tak sobie czytam i nasuwa mi sie jeden wniosek, bardziej w sumie w formie porównania, mianowicie: kiedyś pewien kierowca przekonywał mnie , że auto napędzane LPG to pomyłka, ponieważ silnik dostaje "w dupę", bo to paliwo nie jest dla samochodów. Na moje pytanie "dlaczego nie?" odpowiedział, że to jest "suche" paliwo, że silniki się zacierają, że w ogóle NIE. Zapytałem go czy ma , lub miał jakąś styczność z autem zasilanym LPG i odpowiedział mi :"nie , no coś Ty , przecież nie zamontuję tego w swoim aucie" . Ja mam Escorta z LPG, który bez większych kłopotów ma 362.000km przejechane w tym ponad 200.000km na LPG, mam też pppoe od ponad dwóch lat w swojej sieci i też nie widzę wad tego rozwiązania, wręcz przeciwnie - chwalę i będę chwalił . Jeśli ktoś z Was zajmie się pppoe na tyle, żeby to sprawdzić i potestować różne rozwiązania , przetestuje to na więcej niż 10ciu osobach to może zabierać głos , a dywagacje z serii "bo babcia powiedziała" nie mają najmniejszego sensu.

Cytuj:
Zaletą w stosunku do pppoe byłoby to, że nie porzygałbym się widząc mnogość interfejsów sieciowych pppX,


Nawiązując do tej części wypowiedzi powiem krótko : patrząc na interfejs pppX danego klienta widzę : ilośc danych pobranych, wysłanych. Wyłączenie takiego klienta to "ifconfig pppX down" , w zestawionym tunelu widzę mac adres klienta, jego IP . W logach mam czas logowania i czas wylogowania oraz ilośc pobranych danych. To tylko kilka zalet. Powiedzcie mi : jaki sposób autoryzacji klienta daje większą kontrolę i bezpieczeństwo?

Przepraszam za OT.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 30 maja 2007, 00:21 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Odpowiem tylko na jedno:
Cytuj:
Powiedzcie mi : jaki sposób autoryzacji klienta daje większą kontrolę i bezpieczeństwo?

Chillispot i radius - jestem tego na sto procent pewien, a na najbliższym zjeździe mam zamiar zrobić konkurs włamywania się do tak zabezpieczonej sieci - o ile znajdą się chętni.
Jednak nie chcę tu podejmować niepotrzebnej dyskusji - każdy robi to co chce i jak chce. O wadach chillispot też już pisałem, więc nie zamierzam mówić, że to lepsze niż pppoe.
Podsumowując - uważam, że jeśli się da w zadowalający dla admina sposób, zabezpieczyć sieć bez interakcji userów - to warto pobawić się w takie rozwiązania - jeśli admin uzna, że to za mało - ma wtedy opcję sposobów z logowaniem.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 30 maja 2007, 00:24 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
Maciek pisze:
Odpowiem tylko na jedno:
Cytuj:
Powiedzcie mi : jaki sposób autoryzacji klienta daje większą kontrolę i bezpieczeństwo?

Chillispot i radius - jestem tego na sto procent pewien, a na najbliższym zjeździe mam zamiar zrobić konkurs włamywania się do tak zabezpieczonej sieci - o ile znajdą się chętni.
Jednak nie chcę tu podejmować niepotrzebnej dyskusji - każdy robi to co chce i jak chce. O wadach chillispot też już pisałem, więc nie zamierzam mówić, że to lepsze niż pppoe.
Podsumowując - uważam, że jeśli się da w zadowalający dla admina sposób, zabezpieczyć sieć bez interakcji userów - to warto pobawić się w takie rozwiązania - jeśli admin uzna, że to za mało - ma wtedy opcję sposobów z logowaniem.


Powiedz mi skąd to wiesz, że Chillispot + Radius jest lepszy niż pppoe? O tym właśnie był mój post i widzę, że jak grochem o ścianę.... Tak na prawdę ani jednego ani drugiego nie przetestowałeś do końca - opieram się na wypowiedziach w Twoich postach. A tak na marginesie - miałem radius + pppoe - to przerost formy nad treścią , radius'a wyłączyłem, szkoda zasobów i dodatkowych ustawień, a pomijam już fakt, że niektóre nadajniki nie współpracują z Radiusem, nie mają takiej opcji.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 30 maja 2007, 01:45 
Offline
Użytkownik

Rejestracja: czwartek, 13 stycznia 2005, 13:27
Posty: 209
Lokalizacja: podlaskie
do orion: troche chyba mnie nie zrozumiales... opisalem w tym watku moj problem bo to byl jeden z ostatnich jaki czytalem szukajac odpowiedzi, ale niemialem zamiaru uzywac ip-sentinela do mojego problemu ;). logow z dhcp tak jak pisalem nie sprawdze bo ich niemam (dhcp jest przydzielane nie przez serwer). poczytam jeszcze i moze cos wymysle, na googlach mam jeszcze sporo stron do przeczytania.

_________________
kobieta z niczego potrafi zrobic: salatke, kapelusz i awanture


Na górę
 Wyświetl profil  
 
Post: środa, 30 maja 2007, 13:58 
Offline

Rejestracja: środa, 28 marca 2007, 10:36
Posty: 93
Lokalizacja: Białystok
Albercik pisze:
orion pisze:
@tasiorek:
Nie neguje użyteczności pppoe. Po prostu bardzo mi się nie podoba to rozwiązanie, (...)


[...] Jeśli ktoś z Was zajmie się pppoe na tyle, żeby to sprawdzić i potestować różne rozwiązania , przetestuje to na więcej niż 10ciu osobach to może zabierać głos , a dywagacje z serii "bo babcia powiedziała" nie mają najmniejszego sensu.


To nie będzie na temat, ale skoro tak stawiasz sprawę to odpowiem. To nie są opowieści babci, mam własny pomysł zrealizowania tematu i raczej go zrealizuję tak jak masę innych niestandardowych rozwiązań wymyślonych przeze mnie, które nie wyszły poza mój komputer. Każdy ma inne potrzeby i niech stosuje rozwiązanie, które mu się podoba. Nie podoba ci się mój pomysł, ok, nikogo na siłę nie namawiam ?! Niektórzy z forum stosują autoryzację poprzez ssh oraz inne rozwiązania, pewnie mają jakieś powody, dla których nie stosują pppoe. Nie będę używał czegoś co wymaga dodatkowych kombinacji po stronie klienta. Może to jest fajne gdy jest się dostawcą internetu, ale w sieci korporacyjnej się nie sprawdzi. I nie rajcuje mnie to, że patrząc na interfejs pppX przypisany danemu pracownikowi będę widział ilość danych pobranych i wysłanych, to nie jest mi do niczego potrzebne. Logistyka i technolodzy wysyłają dużo więcej niż inne działy, przecież nie wprowadzę im limitów. Każde rozwiązanie ma zalety i wady, chodzi o to żeby wybrać takie, które najlepiej się sprawdzi w danym zastosowaniu. Banki też odchodzą od rozwiązań typu aplikacja w komputerze klienta+części kluczy ukryte w dziwnych miejscach dysku+dyskietki z kwalifikowanym certyfikatem na rzecz aplikacji dostępnej za pomocą przeglądarki internetowej plus token lub karta kryptograficzna. I to się sprawdza !
Na koniec dygresja do Albercika. Jeżeli kupię samochód na benzynę, pomimo zalet LPG to czy zwyzywasz mnie od idiotów ?!
Z twojej wypowiedzi wnioskuję, że tak.
Z mojej strony EOT.... to temat o ip-sentinelu a nie o wyższości jednych świąt nad drugimi.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 30 maja 2007, 19:40 
Offline
Użytkownik

Rejestracja: środa, 8 czerwca 2005, 19:39
Posty: 571
A moje pytanie z pierwszej strony? :D
Jak to sie zachowuje przy APC nie przepuszczających adresów MAC?
Chodzi mi o sytuacje kiedy inny MAC jest w ethers a inny w dhcpd.conf

Czy ktoś to testował w takim środowisku?

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 30 maja 2007, 19:59 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
No wątek jest długi - ale należy poczytać... było - AP muszą być przezroczyste..

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 30 maja 2007, 21:17 
Offline
Użytkownik

Rejestracja: środa, 8 czerwca 2005, 19:39
Posty: 571
To kicha :-) Dzieki

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 30 maja 2007, 23:19 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
Maciek pisze:
No wątek jest długi - ale należy poczytać... było - AP muszą być przezroczyste..


Następny punkcik dla pppoe :wink:

Cytuj:
Na koniec dygresja do Albercika. Jeżeli kupię samochód na benzynę, pomimo zalet LPG to czy zwyzywasz mnie od idiotów ?!


Cóż , dedukcja zależy od poziomu inteligencji. To mocne słowa, ale jeśli ktoś nie potrafi zrozumieć tak prostego porównania to jak inaczej to wyjaśnić? Pewnie tego nie zauważyłeś, ale sens był inny i schodząc do najniższego poziomu wyjaśnień wytknę Ci choćby to, że nie użyłem żadnego obraźliwego słowa pod żadnym adresem, co więcej sens wypowiedzi był całkowicie inny i chyba czas zakończyć ten temat. Następnym razem dla lepszego zrozumienia rozrysuję to pismem obrazkowym :wink: . A tak na marginesie w sieci korporacynej sprawdza się NT Terminal i oprócz apetytu na zasoby nie ma większych wad.

Jeszcze raz przepraszam najmocniej za OT.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 czerwca 2007, 06:54 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
Przyszło mi coś do głowy , ciekawy pomysł i sprawdził się. Nie każdy nadajnik pozwala na zastosowanie radiusa i nie każdy ma możliwość izolacji klientów. Postanowiłem połączyć ip-sentinel z pppoe. Ten pierwszy ma na celu blokadę komunikacji pomiędzy userami, drugi - autoryzację dostępu do internetu. Można to spokojnie połączyć , ponieważ pppoe działa w innej warstwie OSI niż ip-sentinel. Efekt jest na prawdę niezły - tylko IP nadajników i routerów zostały dodane do listy ip-sentinel, reszta - łącznie z każdym klientem jest jako "włamywacz" w warstwie tcp/ip , jednak sygnał ACK z serwera bez najmniejszego problemu jest rozgłaszany (inna warstwa) i logowanie oraz identyfikacja pppoe przebiegają wyśmienicie.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 czerwca 2007, 12:11 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
Pytanie za 100 punktów : czy ip-sentinel działa tylko w zakresie jednej klasy IP ?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 czerwca 2007, 14:11 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Ipsentinel w ogóle działa nie w tej warstwie. Z moich doświadczeń wynika, że świetnie rozwala stos tcp/ip niezależnie od IP.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 96 ]  Przejdź na stronę Poprzednia  1, 2, 3, 4, 5  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 17 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl