Биллинговая система Nodeny
22 Ноября 2024, 21:22:40 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: Авторизация на порту  (Прочитано 10496 раз)
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« : 11 Августа 2009, 19:39:54 »

На самом деле, мы постепенно отказываемся от авторизатора.
В пользу чего?
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #1 : 12 Августа 2009, 15:54:52 »

pppoe, авторизация на порту
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #2 : 12 Августа 2009, 16:24:13 »

pppoe, авторизация на порту
а что имеется в виду под авторизацией на порту?
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #3 : 14 Августа 2009, 21:48:40 »

Имеется ввиду авторизация на порту, есть такая технология. Лень в гугле искать. Поддерживает винда по-дефолту, а у линукса есть программки. Позволяет авторизоваться на порту путем посылки логина/пароля на свич, после чего открывается порт. Однако же это не гарантирует безопасность на сетевом уровне. Там надо немножко покрутить и ip секурити в свичах и эту опцию чегототам о которой массы так долго говорят.
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #4 : 15 Августа 2009, 08:22:34 »

Имеется ввиду авторизация на порту, есть такая технология. Лень в гугле искать. Поддерживает винда по-дефолту, а у линукса есть программки. Позволяет авторизоваться на порту путем посылки логина/пароля на свич, после чего открывается порт. Однако же это не гарантирует безопасность на сетевом уровне. Там надо немножко покрутить и ip секурити в свичах и эту опцию чегототам о которой массы так долго говорят.
802.1x ?
а как же быть с ви-фи роутерами? Улыбающийся сколько из них умеют 802.1х?
Кстати, если у тебя уже есть управляемое оборудование, то так ли важна авторизация? Достаточно выдать по DHCP option 82 клиенту ip-адрес + dhcp snooping - это будет гарантировать, что на данном порту коммутатора находится конкретный ip, и изменить клиент его себе не сможет.
В принципе, этого достаточно.
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #5 : 15 Августа 2009, 08:42:40 »

Этого недостаточно. Все что ты перечислил гарантирует правильную доставку DHCP-пакетов (запросы  на сервер, левые блокировать). Остается возможность изменения как mac, так и ip. Первое решает как раз авторизация на порту, которая может происходить не только по паролю, но и по маку. Бонусом получаем то, что авторизация идет по RADIUS. Блокировка смены ip - это только Ip security, подвязанная  к option 82. Такое есть в некоторых свичах. Заявлено в спецификации по крайней мере
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #6 : 15 Августа 2009, 11:16:47 »

Блокировка смены ip - это только Ip security, подвязанная  к option 82. Такое есть в некоторых свичах. Заявлено в спецификации по крайней мере
Это и называется dhcp snooping )
Вернее немножко не так:
Цитировать
DHCP snooping регулирует только сообщения DHCP и не может повлиять напрямую на трафик пользователей или другие протоколы. Некоторые функции коммутаторов, не имеющие непосредственного отношения к DHCP, могут выполнять проверки на основании таблицы привязок DHCP snooping (DHCP snooping binding database). В их числе:
Dynamic ARP Protection (Inspection) — проверка ARP-пакетов, направленная на борьбу с ARP-spoofing,
IP Source Guard — выполняет проверку IP-адреса отправителя в IP-пакетах, предназначенная для борьбы с IP-spoofingом.
это имелось в виду
« Последнее редактирование: 15 Августа 2009, 11:19:08 от elite » Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #7 : 15 Августа 2009, 11:25:18 »

Ты написал, что я написал не так, но в итоге написал, что я написал так))

про IP Source Guard и говрил. Если в свиче это есть - схема может считаться безопасной, иначе - толку от нее ноль
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #8 : 15 Августа 2009, 14:20:38 »

Ты написал, что я написал не так, но в итоге написал, что я написал так))
Ну мы друг друга поняли  Смеющийся
а без ip source guard применять option 82 не вижу смысла
имхо к такой схеме и надо стремиться, а всякие 802.1х - от лукавого ))
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!