Биллинговая система Nodeny

Главная категория => Разработка => Тема начата: AndyDv от 23 Августа 2009, 23:51:09



Название: Доработка noserver для cisco
Отправлено: AndyDv от 23 Августа 2009, 23:51:09
Заметил одну неприятную особенность noserver для cisco.  Он заносит в динамический ACL только авторизованных в данный момент пользователей.  А надо, что бы заносил все его алиасы. Пользователю выдается один ИП для сети допустим 10.235.0.1 и один реальник назначается на pppoe. Так в ACL присутствует только реальный ИП. Соответственно для того что бы пользователь пользовался локалкой необходимо либо ставить ему авторизатор с авторизацией в локалку, либо просто занести в ACL все его алиасы. А поскольку разработчики потихоньку отходят от авторизатора, да и мы тоже, надо доработать noserver.pl для cisco.


Название: Re: Доработка noserver для cisco
Отправлено: Efendy от 24 Августа 2009, 08:36:08
Т.е. давать доступ в инет всем неавторизованным серым ипам? Хорошо, Вася дал свой серый ип Пете, себе вообще не назначил никаких ипов (или левый), подключился по пппое. Теперь Петя может сидеть в инете за счет Васи. Если я не правильно понял, то уточни детальнее всю схему. Давать доступ в инет можно только авторизованным айпи


Название: Re: Доработка noserver для cisco
Отправлено: AndyDv от 24 Августа 2009, 09:32:16
Т.е. давать доступ в инет всем неавторизованным серым ипам? Хорошо, Вася дал свой серый ип Пете, себе вообще не назначил никаких ипов (или левый), подключился по пппое. Теперь Петя может сидеть в инете за счет Васи. Если я не правильно понял, то уточни детальнее всю схему. Давать доступ в инет можно только авторизованным айпи

Хорошие вопросы. Но мы говорим все таки о кошке. У которой даже самой дохлой есть порт секюрити. Это значит что введя ее в режим обучения я сопоставлю в автоматическом режиме все маки ип, если она не такая продвинутая, просто привяжу статически арп таблицу.  Следовательно злоумышленнику от Васи надо получить IP, поменять mac, физически находится в том же вилане (том же доме), что бы в это время Петя законнектился в пппое, и все это ради того, что бы получить доступ в локальную сеть. В инет его все равно не пустит, т.к  на сателите свой носервер рулит доступами по схеме которая отличается от схемы доступа в локальную сеть..  ААА понял nofire.pl под cisco создавался что бы пользователей прямо с кошки выпускать в инет?  Мне надо только управлять доступом пользователей в локальную сеть. Кроме того такого засранца я быстро вычислю, а ущерба он никак не принесет. Скачает может пару файлов в ДС.


Название: Re: Доработка noserver для cisco
Отправлено: Efendy от 24 Августа 2009, 11:00:19
если безопасность Ip у тебя настроена "руками", то в учетке для серых Ip  ставь признак "всегда онлайн".

Тем не менее, статическая привязка и подобные финты выходят за пределы концепции. Я склонен придерживаться  мнения, что любой адрес должен быть авторизованным.  Если у тебя везде управляемое оборудование, то стоит настроить авторизацию на порту по маку с помощью радиуса, тем самым у нас радиус по стандартному алгоритму укажет NoDeny, что такой-то узел авторизировался


Название: Re: Доработка noserver для cisco
Отправлено: AndyDv от 24 Августа 2009, 12:24:49
если безопасность Ip у тебя настроена "руками", то в учетке для серых Ip  ставь признак "всегда онлайн".

Тем не менее, статическая привязка и подобные финты выходят за пределы концепции. Я склонен придерживаться  мнения, что любой адрес должен быть авторизованным.  Если у тебя везде управляемое оборудование, то стоит настроить авторизацию на порту по маку с помощью радиуса, тем самым у нас радиус по стандартному алгоритму укажет NoDeny, что такой-то узел авторизировался

Если серые ип ставить в онлайн их выпустит в инет. У меня сейчас крутится скрипт который выгребает 1 раз в 5 мин клиентские  ип, у которых положительный баланс, делает ACL и по snmp скармливает кошке. Но он на баше, т.к. в перле я не силен. А так в принципе работает. Но решение через сателит гораздо изящнее. Позволяет делать ACL небольших размеров.