|
Название: Доработка noserver для cisco Отправлено: AndyDv от 23 Августа 2009, 23:51:09 Заметил одну неприятную особенность noserver для cisco. Он заносит в динамический ACL только авторизованных в данный момент пользователей. А надо, что бы заносил все его алиасы. Пользователю выдается один ИП для сети допустим 10.235.0.1 и один реальник назначается на pppoe. Так в ACL присутствует только реальный ИП. Соответственно для того что бы пользователь пользовался локалкой необходимо либо ставить ему авторизатор с авторизацией в локалку, либо просто занести в ACL все его алиасы. А поскольку разработчики потихоньку отходят от авторизатора, да и мы тоже, надо доработать noserver.pl для cisco.
Название: Re: Доработка noserver для cisco Отправлено: Efendy от 24 Августа 2009, 08:36:08 Т.е. давать доступ в инет всем неавторизованным серым ипам? Хорошо, Вася дал свой серый ип Пете, себе вообще не назначил никаких ипов (или левый), подключился по пппое. Теперь Петя может сидеть в инете за счет Васи. Если я не правильно понял, то уточни детальнее всю схему. Давать доступ в инет можно только авторизованным айпи
Название: Re: Доработка noserver для cisco Отправлено: AndyDv от 24 Августа 2009, 09:32:16 Т.е. давать доступ в инет всем неавторизованным серым ипам? Хорошо, Вася дал свой серый ип Пете, себе вообще не назначил никаких ипов (или левый), подключился по пппое. Теперь Петя может сидеть в инете за счет Васи. Если я не правильно понял, то уточни детальнее всю схему. Давать доступ в инет можно только авторизованным айпи Хорошие вопросы. Но мы говорим все таки о кошке. У которой даже самой дохлой есть порт секюрити. Это значит что введя ее в режим обучения я сопоставлю в автоматическом режиме все маки ип, если она не такая продвинутая, просто привяжу статически арп таблицу. Следовательно злоумышленнику от Васи надо получить IP, поменять mac, физически находится в том же вилане (том же доме), что бы в это время Петя законнектился в пппое, и все это ради того, что бы получить доступ в локальную сеть. В инет его все равно не пустит, т.к на сателите свой носервер рулит доступами по схеме которая отличается от схемы доступа в локальную сеть.. ААА понял nofire.pl под cisco создавался что бы пользователей прямо с кошки выпускать в инет? Мне надо только управлять доступом пользователей в локальную сеть. Кроме того такого засранца я быстро вычислю, а ущерба он никак не принесет. Скачает может пару файлов в ДС. Название: Re: Доработка noserver для cisco Отправлено: Efendy от 24 Августа 2009, 11:00:19 если безопасность Ip у тебя настроена "руками", то в учетке для серых Ip ставь признак "всегда онлайн".
Тем не менее, статическая привязка и подобные финты выходят за пределы концепции. Я склонен придерживаться мнения, что любой адрес должен быть авторизованным. Если у тебя везде управляемое оборудование, то стоит настроить авторизацию на порту по маку с помощью радиуса, тем самым у нас радиус по стандартному алгоритму укажет NoDeny, что такой-то узел авторизировался Название: Re: Доработка noserver для cisco Отправлено: AndyDv от 24 Августа 2009, 12:24:49 если безопасность Ip у тебя настроена "руками", то в учетке для серых Ip ставь признак "всегда онлайн". Тем не менее, статическая привязка и подобные финты выходят за пределы концепции. Я склонен придерживаться мнения, что любой адрес должен быть авторизованным. Если у тебя везде управляемое оборудование, то стоит настроить авторизацию на порту по маку с помощью радиуса, тем самым у нас радиус по стандартному алгоритму укажет NoDeny, что такой-то узел авторизировался Если серые ип ставить в онлайн их выпустит в инет. У меня сейчас крутится скрипт который выгребает 1 раз в 5 мин клиентские ип, у которых положительный баланс, делает ACL и по snmp скармливает кошке. Но он на баше, т.к. в перле я не силен. А так в принципе работает. Но решение через сателит гораздо изящнее. Позволяет делать ACL небольших размеров. |