Биллинговая система Nodeny
25 Ноября 2024, 23:04:06 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: Доработка noserver для cisco  (Прочитано 7512 раз)
AndyDv
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 22


Просмотр профиля Email
« : 23 Августа 2009, 23:51:09 »

Заметил одну неприятную особенность noserver для cisco.  Он заносит в динамический ACL только авторизованных в данный момент пользователей.  А надо, что бы заносил все его алиасы. Пользователю выдается один ИП для сети допустим 10.235.0.1 и один реальник назначается на pppoe. Так в ACL присутствует только реальный ИП. Соответственно для того что бы пользователь пользовался локалкой необходимо либо ставить ему авторизатор с авторизацией в локалку, либо просто занести в ACL все его алиасы. А поскольку разработчики потихоньку отходят от авторизатора, да и мы тоже, надо доработать noserver.pl для cisco.
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #1 : 24 Августа 2009, 08:36:08 »

Т.е. давать доступ в инет всем неавторизованным серым ипам? Хорошо, Вася дал свой серый ип Пете, себе вообще не назначил никаких ипов (или левый), подключился по пппое. Теперь Петя может сидеть в инете за счет Васи. Если я не правильно понял, то уточни детальнее всю схему. Давать доступ в инет можно только авторизованным айпи
Записан
AndyDv
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 22


Просмотр профиля Email
« Ответ #2 : 24 Августа 2009, 09:32:16 »

Т.е. давать доступ в инет всем неавторизованным серым ипам? Хорошо, Вася дал свой серый ип Пете, себе вообще не назначил никаких ипов (или левый), подключился по пппое. Теперь Петя может сидеть в инете за счет Васи. Если я не правильно понял, то уточни детальнее всю схему. Давать доступ в инет можно только авторизованным айпи

Хорошие вопросы. Но мы говорим все таки о кошке. У которой даже самой дохлой есть порт секюрити. Это значит что введя ее в режим обучения я сопоставлю в автоматическом режиме все маки ип, если она не такая продвинутая, просто привяжу статически арп таблицу.  Следовательно злоумышленнику от Васи надо получить IP, поменять mac, физически находится в том же вилане (том же доме), что бы в это время Петя законнектился в пппое, и все это ради того, что бы получить доступ в локальную сеть. В инет его все равно не пустит, т.к  на сателите свой носервер рулит доступами по схеме которая отличается от схемы доступа в локальную сеть..  ААА понял nofire.pl под cisco создавался что бы пользователей прямо с кошки выпускать в инет?  Мне надо только управлять доступом пользователей в локальную сеть. Кроме того такого засранца я быстро вычислю, а ущерба он никак не принесет. Скачает может пару файлов в ДС.
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #3 : 24 Августа 2009, 11:00:19 »

если безопасность Ip у тебя настроена "руками", то в учетке для серых Ip  ставь признак "всегда онлайн".

Тем не менее, статическая привязка и подобные финты выходят за пределы концепции. Я склонен придерживаться  мнения, что любой адрес должен быть авторизованным.  Если у тебя везде управляемое оборудование, то стоит настроить авторизацию на порту по маку с помощью радиуса, тем самым у нас радиус по стандартному алгоритму укажет NoDeny, что такой-то узел авторизировался
Записан
AndyDv
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 22


Просмотр профиля Email
« Ответ #4 : 24 Августа 2009, 12:24:49 »

если безопасность Ip у тебя настроена "руками", то в учетке для серых Ip  ставь признак "всегда онлайн".

Тем не менее, статическая привязка и подобные финты выходят за пределы концепции. Я склонен придерживаться  мнения, что любой адрес должен быть авторизованным.  Если у тебя везде управляемое оборудование, то стоит настроить авторизацию на порту по маку с помощью радиуса, тем самым у нас радиус по стандартному алгоритму укажет NoDeny, что такой-то узел авторизировался

Если серые ип ставить в онлайн их выпустит в инет. У меня сейчас крутится скрипт который выгребает 1 раз в 5 мин клиентские  ип, у которых положительный баланс, делает ACL и по snmp скармливает кошке. Но он на баше, т.к. в перле я не силен. А так в принципе работает. Но решение через сателит гораздо изящнее. Позволяет делать ACL небольших размеров.
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!