Freesco, NND, CDN, EOS

Temat umieszczam w Hyde Parku, bo choć dotyczy nnd, to niekoniecznie bezpośrednio, a sprawa jest na tyle istotna, że warto o niej podyskutować.
Coraz więcej jest obecnie sieci radiowych i coraz więcej chetnych do wardrivingu i podczepiania się na lewo. Na dodatek jest to czasem problem dla admina, bo zostaje podmieniony MAC, kogoś z użytkowników, który oczywiście nie ma wtedy netu.
podstawową ochroną jest WEP i autentykacja po MAC i oczywiście nie rozgłaszanie SSID oraz ręczne ustawianie IP. Jednak to za mało.
Była już mowa o radiusie i pppoe, ale stawianie np 200 interfejsów wirtualnych dla każdego klienta nie przekonuje mnie. Z różnych źródeł dowiaduję się, że nie jest to najlepsze wyjście.
Dla małych sieci z jednakowym podziałem pasma (np hot spoty w hotelach) jest rozwiązanie działające na nnd z 2005 r. - chillispot i radius. Działa to na jednym wirtualnym interfejsie tun0 i można do podziału pasma zastosować modyfikowaną wersję niceshapera. Klient wywołując jakąkolwiek stronę dostaje stronkę do logowania i musi podać hasło i login (https), potem już używa netu normalnie. Admin może ustawić czas ważnej sesji np na 4 godziny i procedura logowania musi być powtórzona. Ewentualny włamywacz nie ma szans, bo sam MAC nie da mu dostępu do sieci. A złamanie hasła nie uda mu się, bo musiałby analizować pakiety z sieci przez wiele godzin a potem wszystkie poddać deszyfracji, żeby jakiś login i hasło znaleźć - nie jest to niemożliwe ale włamywacze dysponują zwykle laptopami a nie komputerami klasy mainframe. Wadą rozwiązania jest losowe przydzielanie IP przez chilli, przez to admin nie wie, jaki klient w danej chwili ma IP.
Drugim rozwiązaniem jest NoCat. Jednak niestety uruchomienie tego w NND przerosło moje możliwości. Wszystko rozbija się o perla. Potrzebne sa jakieś moduły, których nie ma i nie daje się ich dodać do perla, a jeśli nawet to NoCat i tak sieje błędami i nie przeprowadza procedury logowania. Jest wersja nazywająca się NoCat Splash w c++. Jednak zgodnie z nazwą pokazuje klientowi jedynie splash i po kliknięciu OK odblokowuje dostęp do sieci (mogłoby to się nadawać zamiast tablicy ogłoszeń). Udało mi się natomiast rozszyforwac trochę zasadę działania.
Uruchomienie NoCat powoduje wysłanie w kosmos wszystkich żądań z wewnętrznego interfejsu i stworzenie klasy mającej dostęp (chwilowo pustej).
Kiedy pierwszy klient kliknie ok, skrypt cgi uruchamia iptables z dodaniem klienta do klasy (member) i odblokowuje mu tym samym net.
Ufff.. długie te opisy...
Kiedyś pamiętam były rozważania o tym, że we Freesco to się nie da zrobić podziału łącza, wziął się za to RaaDaaR i jakoś sie dało (do dziś administruje jedym Freesco, na którym się to sprawdza). Więc może tym razem pomyślimy o czymś prostym ale pewnym.
Szukam jakichś sensownych rozwiązań, może ktoś mi coś podpowie?

_________________
Belfer.one.PL
Audio Cafe

Jeśli chodzi o moduły perla to ja tez miałem z owymi problem. Niby sie instalowaly w nnd a jednak nie działały. Lekarstwem (fakt ze robilem to w stanie wyprowadzenia z równowagi:P) było zainstalowanie modulow z paczek archa i chodzi to ładnie.

Co do sieci radiowych, mysle ze logowanie co 4 godziny raczej by irytowalo klientów. Zajmuje sie jedną malusieńką siecią radiową, nie stosowalem tam nawet wepa. Jest tylko filtrowanie po macach i wylaczone rozglaszanie SSID.

Jak patrze na efekty stawiania duzych sieci radiowych to za kazdym razem przychodzi mi do głowy, ze chociazby by sie na głowie stanęło, to nie będzie bezpieczne. Wszak pakiety lecą Ci za oknem Troche filozoficzne.

Na razie nie mialem potrzeby stawiania czegos wiekszego na radiu, ale ciekawi mnie jak to sie sprawdza wlasnie ze wzgledu na bezpieczenstwo, dlatego chetnie poslucham wypowiedzi:)

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań

Pewnie, że mało. Zależy jak kto ma skonstruowaną sieć wifi. Prosty i niedrogi sposób to główny AP obsługujący WPA-PSK albo najlepiej nowszy WPA2-AES i tanie apeki w trybie AP-CLIENT u klientów. Dlaczego APC? Zaden z klientów nie zna wtedy kodu sieci (Pre-Shared Key) a jak narazie WPA przy skomplikowanym PSK jest praktycznie nie do złamania, opisy włamów w necie przy WPA kończa się na metodzie bruteforce. WEP to jak wiadomo kilka minut. A same zabezpieczenia końcowe pozostaja wtedy identyczne jak w sieci na skrętce.
Rozwiazanie myśle, przynajmniej narazie, w miare skuteczne jeśli chodzi tylko o to co "lata" w powietrzu

_________________
intel D201GLY2A, nano-ITX, celeron220 1,2GHz, load average: 0.25, 0.21, 0.21, 2GB DDR2, 320HDD SATA

Nie mogę się z Tobą zgodzić Maćku - używam pppoe od momentu , gdy tylko można było go kompilować pod NND i pomijając trudne początki jestem już od dłuższego czasu zadowolonym administratorem trzech serwerów pppoe i na tą chwilę nie widzę absolutnie żadnych wad tego typu rozwiązania. Mogę zrobić na tym praktycznie każdy rodzaj udostępniania internetu klientowi - ip maskowane , publiczne , kolejkowanie na skryptach htb , niceshaperze 05 , 06 ..... nie widzę ani wad ani ograniczeń. A wdrożenie w NND dzięki pracy Mis'a , Mac!ka i wielu innych osób (przepraszam ,że nie wymieniłem wszystkich) jest banalnie proste . Dzięki dpracowaniu systemu logów wiem kto i kiedy się loguje , w jakich godzinach był zalogowany , ile danych pobrał na jednej sesji . Tablica ogłoszeń czy blokada netu niepłacącym jest śmiesznie prosta i działa dosłownie sama . Nie wiem dlaczego to według niektórych jest złe rozwiązanie .

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Maciek ani razu nie pisałeś że potrzebujesz jakichkolwiek modułów perla, jak mi napiszesz co ci ten programik wywalił to ci zrobię pakiecik z tym perlem.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Zbiorczo wszystkim...
Albercik - rozwiązanie z pppoe jest - i ok nie mam nic przeciwko temu żeby było, ale szukam czegoś co będzie proste jak drut i ma to być rozwiązanie autoryzacyjne bazujące na jednym rzeczywistym interfejsie.
JakubC - logowanie co 4 godziny to był przykład, może być co 12, ale co jakis czas musi być. To na wypadek, gdyby komus się nawet udało podpiąć, to bedzie miał krótki okres do czasu najbliższego wylogowania.
DjRobson - wiem, że sprzętowe rozwiązania istnieją, ale... wiadomo że szyfrowanie WEP 128 obniża mozliwości transferu znacznie bardziej niż WEP 64, czy WPA nie stanowi jeszcze większego obciążenia? Poza tym mam w pracy AP, na którym chciałem odpalić WPA (jest taka opcja) - ale wtedy nie mogłem się żadnym kompem połączyć (dyrektora z XP, moim z w2k i linuksem) zdaje się, nie wszystkie karty to łykną. A mówimy o zastosowaniu zabezpieczeń w oparciu o nnd. Poza tym są istniejące sieci i może kiedyś konieczna będzie wymiana sprzętu na ten nowszej generacji, ale jak by mi przyszedł admin i powiedział, że mam wywalić swoją radiówkę i kupić nową za ***set PLN - to bym się lekko wkurzył.
MAC!EK - wrócę do NoCata i podeślę ci komunikaty - ale sprawa chyba jest poważniejsza - jedyne opisy działające mówiły o jakiejś wersji Red Hata i to starej. NoCat wymyślił sobie zdaje się jakies niestandardowe moduły i moze byc z tym kłopot. Poza tym pozostaje jeszcze kwestia obciążenia systemu przez perla....

_________________
Belfer.one.PL
Audio Cafe

Poszukałem co to jest ten NoCat i znalazłem, niby ciekawy projekt ale widać, tutaj że ostatnia aktualizacja była w 2003 roku!
http://nocat.net/downloads/NoCatAuth/

Skompilowałem tak na szybko byle jak i uruchomiłem i nie czepiał się o żadne moduły perla więc nie wiem czego ci może brakować.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

To uruchom autentykację.

_________________
Belfer.one.PL
Audio Cafe

Sam se uruchom, ja nie mam gdzie.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

widze to tak:
1. caly interfejs lokalny przekierowany na 80 port routera (poza 53 dns) ze strona do logowania
2. po zalogowaniu na stronie po wpisaniu login /haslo skrypt odblokowuje usera iptables -I PREROUTING -s IP -j ACCEPT i zapisuje do jakiegos pliki to ip.
3. co jakis czas cron uruchamia skrypt sprawdzajacy arpingiem IP zapisane w pliku i jesli stwierdzi ze host jest deed kasuje iptables i kasuje wpis w pliku

Teraz tak pomyslalem ze ten plik aktywnymi hostami to nawet potrzebny nie jest wystarczy spis wszystkich hostow, w koncu
iptables -D PREROUTING -s IP -j ACCEPT nic nie zrobi dla nieistniejacego wpisu.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Jako , że ten temat nie jest mi obcy chciałbym coś jeszcze dodać :
- co do prostoty serwera pppoe - jest to ogólnie rzecz biorąc około 30minut pracy na bierzącej wersji NND
- do do jednego interfejsu - jak najbardziej , ale wirtualnego IMQ , ponieważ WSZYSTKO co dotyczy wirtualnych pppX można jednym wpisem połączyć do IMQ i kolejkować TYLKO na IMQ . Kolejkowanie to chyba jedyny problem w pppoe, ponieważ wirtualne interfejsy to już tylko zalety - chcesz ręcznie wywalić usera ? prosze bardzo : ifconfig pppX down - takich zalet są dziesiątki , a prostota administrowania pppoe jest kapitalna . Po co kombinowac z NoCat i czasowym wylogowaniem usera ? A jeżeli ktoś na noc zapuści emule to NoCat go wyloguje i co dalej ?

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

I dobrze w mordę jeża
A na serio, nie trzeba wprowadzać wylogowania, choć można, szukam pomysłów na zrobienie prostego jak drut rozwiązania, które dawałoby jednocześnie bezpieczeństwo.

_________________
Belfer.one.PL
Audio Cafe

cęgi boczne<joke>
a tak na sa serio to wg mnie pomysł z logowaniem co np 4h jak najbardziej dobry. Zawsze można dać dłuższy termin np 1 doba. I hmm czemu mamy przyzwalać na łamanie prawa? Niech ktoś da argumenty za tym, żeby na noc zostawiać 100% pewne połączenie? Bo jak ktoś ma np sesję gg to przez restart regułek iptables połączenie będzie podtrzymane (a może się mylę?). Dopiero clr_conns kończy połączenia. A jak ktoś musi piracić 24h/dobę to chyba już nie nasz problem, prawda?

Wracając do problemu to osobne interfejsy + imq to świetny pomysł. 100% kontroli nad wszystkim co się dzieje w naszej sieci. Logowanie co np 5h i sprawa załatwiona.

to ja jeszcze proponuję:
- na https przekierować( z .htaccess i .htpasswd) a na resztę pakietów przekazywanych dać DROP
- i w CGI jakiś skrypcik a na WWW przycisk odblokuj,albo w ogóle bez przycisku tylko po wczytaniu strony automatycznie kasowanie tych reguł dropowania i przekierowania

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

My nie musimy dawać przyzwolenia na piracenie, ale gówno nas obchodzi jak ktoś sobie łącze wykorzystuje - no chyba, że ktoś posiada odpowiednie zapisy w regulaminie odnośnie p2p. Nie wyobrażam sobie co by się działo gdybym zaczął drastycznie limitować p2p. Miałbym na głowie 3/4 użytkowników.

PS. Przepraszam za off topic.

_________________
www.lan14.net

Ja też pod offtopa sie podepne. Nie wiem jak jest z ftp czy też połączenie będzie podtrzymane ale mam znajomego który robi obróbke grafiki dla drukarni. I tak np plik po kompresji miał ostatnio ponad 500 MB wysłanie tego troche zajmuje (jak mu powiedziałem - szybciej by bylo jak bys na DVD to zapisał i pocztą wysłał - odpowiedział - spoko mam czas).

Tak że takich użytkowników także weźcie pod uwage.

_________________
www.inter-foto.pl

Oni za to płacą!! Jak nie wiem co to za rozumowanie. Wykupuje łącze, to mam prawo robić z nim co chce, tak samo przegladac onet jak sciagac jakies pirackie pornusy i programy po nocach. Czy to nie jest każdego prywatna sprawa? Udostepniasz im usługe: internet. Nie masz być ich Aniolem Strozem. A nawet nie mozesz...
Zreszta: spróbuj mi udowodnic ze nie masz ani jednej mp3, ani jednego nielegalnego filmu na dysku... A potem jeszcze spraw zebym uwierzył

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań

Jakub - to że większość ma nielegalne windowsy i do tego gigabity nielegalnych filmów i mp3, nie znaczy jeszcze, że tak ma być.
Niedawno miałem dyskusję ze zwolennikiem "wolności programowo-plikowej", który wpadł na pewien pomysł i kombinował jak by się tu zabezpieczyć, żeby ktoś darmowo jego rozwiązania nie wykorzystał. Mało tego wcale nie zauważył niestosowności sutuacji - bo wychodził z założenia, że jego - małego bałwan jestem - to okradać się nie godzi, ale gigant MS to tego kradzionego windowsa nie poczuje wcale.
Nie zamierzam tu wznawiać dyskusji, która już na forum kiedyś była i wtedy przedstawiłem swoje opinie. Tu nawiązałem tylko dlatego do tej sprawy, ponieważ pojawiła się sugestia, że autoryzacja w sieci będzie przeszkadzała p2p. To nie jest żaden argument.
Wiadomo, że sieci radiowe są narażone na wieksze niebezpieczeństwa niż sieci ethernetowe, w tych drugich bowiem, admin prędzej się zorientuje, że mu się w switchu jeden kabelek więcej pojawił. Tu mamy ze zjawiskiem, które w miastach staje się nagminne. Dziś sam miałem okazję podpiąć się do sieci w której był domyślny rozgłaszany SSID i domyślne hasło firmowe AP. Wiadomo, że rozsądny admin tego nie zostawi, ale to i tak za mało, bo złamanie WEP to kwestia kilkunastu minut nieraz. Nie zabierałbym się za temat (bo prywatnie mnie to nie dotyczy), gdyby nie zgłąszane do mnie prośby (może dlatego, że kiedyś zająłem się radiusem) o rozwiązanie sprawy wardrivingu. Im silniejsze szyfrowanie, tym zasięg słabszy, gubienie pakietów większe - więc posiłkowanie się wyłącznie mocnym szyfrowaniem odpada. Login i hasło jest to zabezpieczenie przed podpięciem sie do sieci kogoś nielegalnie i daltego też sugeruje się wylogowanie automatyczne po zadanym czasie, aby ewentualny włamywacz który wepnie się na działające połączenie np. podczas restartu komputera legalnego użytkownika, długo ze swego zwycięstwa się nie cieszył, sa jeszcze inne rozwiązania (w chilli jest konieczność trzymania otwartego okienka przeglądarki z komunikatem o zalogowaniu. Jak sie je zamknie, to wtedy następuje zmiana zasad dostępu.
MAC!EK i zciech - to o czym piszecie jest w NoCat. Działa to tak:
1. klient włącza komputer
2. wywołuje stronę z przeglądarki
3. zostaje przekierowany na https z logowaniem
4. loguje się
5 dostaje stronę którą wywołał
Problem polega na tym, że po zalogowaniu jest Internal Server Error związany z błędami w perlu. Zatem należałoby napisać tę część, która odpowiada za logowanie na nowo. Skrypty które wywołują iptables są w bashu i działają.

_________________
Belfer.one.PL
Audio Cafe

Chszanic perla. PHP i MSQL Czy jak to sie tam nazywa (nawel bez msql-a) da rade. to prosty program. na stronie logowania wpisujesz Login/password on przeszukuje plik z haslami jak sie zgadza login, haslo, mac i ip przez iptables odblokowuje.
Oczywiscie na https . To wsztstko jest juz praktycznie napisane (tablica ogloszen w php) i skrypt do liczenia hostow dla mrtg na arpingu
Reszta to szczegoly techniczne.

drugi skrypt sprawdza co kilka minut arpingiem czy komp zyje i jesli odszedl kasuje regule.

poniewaz regula jest w nat nie wplywa na juz nawiazane polaczenia

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Powiem szczerze, że czekam z niecierpliwością na finalny produkt tego wątku. Brakuje nam tego w NND jak studentowi wódki. Trzymam kciuki!

_________________
www.lan14.net