[mdk-re] Авторизация на Gateway(IPSEC, etc...)

[mdk-re] Авторизация на Gateway(IPSEC, etc...)

[Mikhail Nikitin]

[-- Attachment #1: Type: text/plain, Size: 1211 bytes --]

Здравствуйте, уважаемые коллеги и сочувствующие!

Возникла проблема, которая одно время здесь обсуждалась,
да в архивах найти не могу.

Итак: Есть скажем, home-area-network. Порядка 100 машин.
Интернета пока нет, соответственно, контроль оплаты за пользование 
ресурсами сети производится методом выдергивания из хаба неуплативших. 

Из клиентов есть как Windows, так и Linux.

Чего хочется? Хочется интернета. Траффик дорогой, платить готовы не все. 
Отсюда идея - сделать авторизацию для использования gateway. То есть:
человек авторизуется один раз, по логину/паролю и, соотвественно, получает
доступ к шлюзу и интернету. Так как хабы "тупые", а есть очень нетривиальные
пользователи, умеющие пользоваться как снифферами, так и tcpdump, etc..., то
есть большое желание криптовать весь траффик, проходящий от шлюза до клиентских
авторизованных машин. 

Какими средствами это реализовывать и в какую сторону копать?
Особенно критично наличие нормальных "морд" для Windows-клиентов.

Если кто-то вспомнит где было подобное обсуждение, просьба указать.

-- 
Михаил
 
*I am the "ILOVEGNU" signature virus. Just copy me to your signature.
This email was infected under the terms of the GNU General Public License.*

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [mdk-re] Авторизация на Gateway(IPSEC, etc...)

[Alexander Kubatkin]

On Tue, 2 Oct 2001 18:09:19 +0400
Mikhail Nikitin <inform@uslugionline.ru> wrote:

> Здравствуйте, уважаемые коллеги и сочувствующие!
> 
> Возникла проблема, которая одно время здесь обсуждалась,
> да в архивах найти не могу.
> 
> Итак: Есть скажем, home-area-network. Порядка 100 машин.
> Интернета пока нет, соответственно, контроль оплаты за пользование 
> ресурсами сети производится методом выдергивания из хаба неуплативших. 
> 
> Из клиентов есть как Windows, так и Linux.
> 
> Чего хочется? Хочется интернета. Траффик дорогой, платить готовы не все. 
> Отсюда идея - сделать авторизацию для использования gateway. То есть:
> человек авторизуется один раз, по логину/паролю и, соотвественно, получает
> доступ к шлюзу и интернету. Так как хабы "тупые", а есть очень
> нетривиальные
> пользователи, умеющие пользоваться как снифферами, так и tcpdump, etc...,
> то
> есть большое желание криптовать весь траффик, проходящий от шлюза до
> клиентских
> авторизованных машин. 
> 
> Какими средствами это реализовывать и в какую сторону копать?

pppoe или pptp...

> Особенно критично наличие нормальных "морд" для Windows-клиентов.
> 
> Если кто-то вспомнит где было подобное обсуждение, просьба указать.
> 
> -- 
> Михаил
>  
> *I am the "ILOVEGNU" signature virus. Just copy me to your signature.
> This email was infected under the terms of the GNU General Public
> License.*



__________________________________________________________
Alexander Kubatkin  

[mdk-re] Re: [mdk-re] Авторизация на Gateway(IPSEC, etc...)

[Igor Homyakov]

Кажется в журнале "программист" была статья
про организацию авторизации на gw через web интерфейс,
который для безопасности можно "завернуть" в ssl.

Доступ регулируется правилами ip(chains|tables) по ip
адресу машины. Чтобы рабочие станции не меняли
адреса надо сделать static записи в arp таблице.

просто, дешево, сердито :))))
--
Igor Homyakov                            RAMAX International
System Administrator         Banking Technologies Department
<homyakov(at)ramax.spb.ru>              http://www.ramax.com

Re: [mdk-re] Авторизация на Gateway(IPSEC, etc...)

[Любимов А.В.]

On Tue, 2 Oct 2001 18:09:19 +0400

> Чего хочется? Хочется интернета. Траффик дорогой, платить готовы не все. 
> Отсюда идея - сделать авторизацию для использования gateway. То есть:
> человек авторизуется один раз, по логину/паролю и, соотвественно, получает
> доступ к шлюзу и интернету. Так как хабы "тупые", а есть очень нетривиальные
> пользователи, умеющие пользоваться как снифферами, так и tcpdump, etc..., то
> есть большое желание криптовать весь траффик, проходящий от шлюза до клиентских
> авторизованных машин. 
> 
> Какими средствами это реализовывать и в какую сторону копать?
> Особенно критично наличие нормальных "морд" для Windows-клиентов.
> 
> Если кто-то вспомнит где было подобное обсуждение, просьба указать.

Все это слово в слово есть и называется VPN virtual private network
клиент есть везде; в винде он встроеный
Искать везде потому как проблемы эти уже поднимались везде и соответственно инфа ценная осела равномерно по форумам и сайтам.

Re: [mdk-re] Re: [mdk-re] Авторизация на Gateway(IPSEC, etc...)

[Любимов А.В.]

On Tue, 2 Oct 2001 18:26:02 +0400
"Igor Homyakov" <homyakov@ramax.spb.ru> wrote:

> Кажется в журнале "программист" была статья
> про организацию авторизации на gw через web интерфейс,
> который для безопасности можно "завернуть" в ssl.
> 
> Доступ регулируется правилами ip(chains|tables) по ip
> адресу машины. Чтобы рабочие станции не меняли
> адреса надо сделать static записи в arp таблице.
> 
> просто, дешево, сердито :))))

и ничего не решает

трафик не шифруется
mac адрес легко меняется и вот уже я в интернете а админ в пролете
авторизация полностью ручная - сначала вручную войди, поработай, вручную выйди. Жуть как неудобно.

это просто был пример для начинающих программеров.

Re: [mdk-re] Re: [mdk-re] Авторизация на Gateway(IPSEC, etc...)

[Mikhail Nikitin]

[-- Attachment #1: Type: text/plain, Size: 814 bytes --]

On Tue, 2 Oct 2001 18:26:02 +0400
"Igor Homyakov" <homyakov@ramax.spb.ru> wrote:

> Кажется в журнале "программист" была статья
> про организацию авторизации на gw через web интерфейс,
> который для безопасности можно "завернуть" в ssl.

> Доступ регулируется правилами ip(chains|tables) по ip
> адресу машины. Чтобы рабочие станции не меняли
> адреса надо сделать static записи в arp таблице.

Не катит. Поменяют MAC. есть знаете ли
#/sbin/ifconfig eth0 hw va:su:ap:up:ki:n!
и все... есть еще программаторы софтовые rtl8029,rtl8139 чипсетов,
так что авторизация методом ip/mac не катит. 
 
> просто, дешево, сердито :))))
Просто, дешево но не сердито :(

-- 
Михаил
 
*I am the "ILOVEGNU" signature virus. Just copy me to your signature.
This email was infected under the terms of the GNU General Public License.*

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [mdk-re] Авторизация на Gateway(IPSEC, etc...)

[Mikhail Nikitin]

[-- Attachment #1: Type: text/plain, Size: 472 bytes --]

On Tue, 2 Oct 2001 18:16:12 +0400
"Alexander Kubatkin" <_kaa_@mail.ru> wrote:

> 
> pppoe или pptp...
> 
Да, большое спасибо, нашел poptop.lineo.com если кому нужно
будет.
Эта штука оказывается, есть в Sisyphus, так что все ок.
Да, btw, кто чем пользуется для посчета статистики (желательно
на основе iptables) ?

-- 
Михаил
 
*I am the "ILOVEGNU" signature virus. Just copy me to your signature.
This email was infected under the terms of the GNU General Public License.*

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]