Объявление

Свернуть
Пока нет объявлений.

Авторизация в WiFi-сети

Свернуть
X
 
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

    Авторизация в WiFi-сети

    Имеется:
    - WiFi-сеть из нескольких сегментов, несколько сотен юзеров
    - Несколько серверов под Win 2003
    - AD для централизованного управления пользователями (клиенты не в домене)
    - DHCP для настройки входящих компов
    - VPN-сервер, через который пользователи ходят в инет
    - KWF в качестве гейта/файрвола/прокси
    Сеть открытая, авторизации и шифрования по 802.1x нет, любой может подключиться и получить доступ к сайту и некоторым внутренним ресурсам. Доступ в инет только по VPN после регистрации.

    В чем собственно проблема? Есть 2 категории юзеров, от которых хотелось-бы избавиться, при этом оставив принцип открытости сети для остальных:
    - "БМП", компьютеры с автонастройкой WiFi, которые находят точки, цепляются, пытаются получить обновления и т.п. А сидящие за ними юзеры даже не подозревают, что куда-то подключились. Сюда же относятся те, кто использует ручные настройки IP, т.е. просто висит на одной из точек, не имея возможности попасть даже на внутренние ресурсы. Естественно что мусора в сети от таких "товарищей" хватает.
    - "Бронепоезд", некоторые юзеры, которые умнее всех и которым закон не писан. Эти пытаются любым способом прорваться в инет, причем самый простой и очевидный, потратить 5 минут на регистрацию, их почему-то категорически не устраивает. Вместо этого начинаются брутфорсы, ддосы и другая подобная прелесть.

    Идея в следующем: сделать предварительную авторизацию по MAC, причем по принципу "черного списка". Те, кто попадает в этот список, автоматически посылаются подальше, остальных в сеть пускает.
    Пытались для этих целей приспособить FreeRadius, но что-то не сростается...

    Может кто решал подобную проблему?

    #2
    По МАС'у решишь вопрос только с заходом в сеть.
    Приобретешь только больший гемор.
    Найдутся умники, которые после нескольких пингов вычислят МАС'и клиентов.
    А дальше периодическая смена МАС'а в винде.
    Никнейм mcWit зарегистрирован!

    Комментарий


      #3
      А мне собственно и нужно решить проблему с заходом в сеть. А точнее отсеять хотя-бы часть идиотов, которые по году висят на точках непонятно зачем.
      Примерно так: в сети появляется девайс с новым MAC, ему дается (например) 2 недели на регистрацию, после этого - до свидания, подключайся к кому-нибудь другому.
      Подмена MAC в нашем случае практически ничего не даст, поскольку в инет можно выйти только по VPN, зная логин и пароль. Так что "черный список" MAC это скорее защита от дурака, чем от начинающего хакера.

      Комментарий


        #4
        непонятно зачем.
        Почему непонятно, нашару сетка,внутренние ресурсы, в контру погонять, через расшару соседа в инете посидеть.
        QUO NON ASCENDAM

        Комментарий


          #5
          В том-то и дело, что нет. Судя по анализу трафика иногда компы пытаются получить обновления, иногда трояны ломятся, да обычно еще Netbios. Никаких осмысленных действий. Просто стоит галочка "Подключаться к доступным сетям автоматически".
          А иногда вообще адрес компа такой, что он просто не может никого видеть. Да и его видно только как MAC на точке и сниффером.
          Самое интересное, что таких много, примерно половина всех подключающихся устройств.

          Комментарий


            #6
            Ну в общем хозяин барин )))
            Тут 2 варианта , либо авторизация WEP -WPA .Либо по мак.
            QUO NON ASCENDAM

            Комментарий


              #7
              Это где же такая халява?!?!

              Комментарий


                #8
                Сообщение от hex Посмотреть сообщение
                Ну в общем хозяин барин )))
                Тут 2 варианта , либо авторизация WEP -WPA .Либо по мак.
                WEP/WPA не подходит, поскольку нет желания обходить несколько сотен юзеров и настраивать каждому комп. А потом еще каждый раз посещать их, когда они снесут подключение или переставят ось :wacko:
                А вот по MAC что-то не получается централизованно настроить. На точках конечно можно блочить маки, но там обычно только 20 маков можно внести. Да и точек 19 штук, сложновато получается.

                Сообщение от RusRu Посмотреть сообщение
                Это где же такая халява?!?!
                Украина, небольшой курортный городок

                Комментарий


                  #9
                  но там обычно только 20 маков
                  А больше и не нужно, один хрен физически больше точка не тянет))
                  QUO NON ASCENDAM

                  Комментарий


                    #10
                    Мы говорим о немного разных вещах. Сеть построена по принципу сотовой, с честичным перекрытием "сот". Каждый клиент может сегодня подключаться через одну точку, завтра через другую, послезавтра через третью. Может в течение одного дня сменить несколько точек.
                    Поэтому и хотим сделать централизованную систему, а не настраивать отдельно каждую точку. Тем более что такая настройка все равно проблем не решит.
                    Точка не тянет больше 20 юзеров одновременно (хотя это тоже не факт, зависит от активности юзеров), но у каждой точки сотни маков, которые к ней периодически подключаются.

                    Комментарий


                      #11
                      Сообщение от Algon Посмотреть сообщение
                      Мы говорим о немного разных вещах.
                      Да вы шо !!:haha:
                      Сообщение от Algon Посмотреть сообщение
                      Сеть построена по принципу сотовой, с честичным перекрытием "сот"
                      Раз "построенна" , работайте как строили ,чеж вы хелп кричите?
                      Сообщение от Algon Посмотреть сообщение
                      . Каждый клиент может сегодня подключаться через одну точку, завтра через другую, послезавтра через третью. Может в течение одного дня сменить несколько точек.
                      На СОХО не решаемая задача
                      Сообщение от Algon Посмотреть сообщение
                      Поэтому и хотим сделать централизованную систему, а не настраивать отдельно каждую точку. Тем более что такая настройка все равно проблем не решит
                      Вы вобще даже не сказали на каком оборудовании вы это чудо чудесатое наваяли,
                      Сообщение от Algon Посмотреть сообщение
                      .
                      Точка не тянет больше 20 юзеров одновременно (хотя это тоже не факт, зависит от активности юзеров), но у каждой точки сотни маков, которые к ней периодически подключаются.
                      Развеселили..Этоне сеть - это каша.
                      QUO NON ASCENDAM

                      Комментарий


                        #12
                        Сообщение от hex Посмотреть сообщение
                        Раз "построенна" , работайте как строили ,чеж вы хелп кричите?
                        Никто ничего не кричал, хотелось посоветоваться, а вдруг кто-то уже делал нечто подобное. И, кстати, работаем
                        На СОХО не решаемая задача
                        Почему не решаемая? Потому что никто не пытался решить? Или потому что пытался, но не получилось? :mda:
                        Вы вобще даже не сказали на каком оборудовании вы это чудо чудесатое наваяли, Развеселили..Этоне сеть - это каша.
                        А собственно какая разница, что за оборудование? Любое оборудование, поддерживающее Radius в качестве протокола авторизации, должно работать с авторизацией по MAC, разве нет? Собственно от точек требуется только поддержка 802.1x, а уж кого и по каким критериям пускать/не пускать в сеть это должен решать Radius. Я не прав? Поправьте

                        Комментарий

                        Обработка...
                        X