Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundację Dzieciom „Zdążyć z Pomocą”.
Więcej informacji na dug.net.pl/pomagamy/.

#1 2006-08-27 17:29:20

ukasz
Użytkownik
Skąd: wroclaw
Zarejestrowany: 2006-06-21

radius z czym to sie je ?

witam

chce swoja siec przerobic na wifi i musze ja dbrze zabezpieczyc. na bank wpa/wpa2 ale nie rozumiem do konca jak to dziala bez/razem z radiusem.

wgule po czym radius wie ze to jest taki komp/user a nie inny nie uzywajac pppe ?

co takieg jest w radiusie ze jest taki fajny, bo ludzie se go chwala.

jesli macie jakies fajne pomysly to mowcie. ja jak narazie to wpa + samba kontroler domeny.


http://wiblo.pl/wilk/userbars/debian_user_black.png

Offline

 

#2 2006-08-28 20:10:34

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: radius z czym to sie je ?


jesli macie jakies fajne pomysly to mowcie. ja jak narazie to wpa + samba kontroler domeny

Jesli to jest dla Ciebie dobre zabezpieczenie, to ja jestem taki dobry ze przy duzym ruchu robie je w 30min :-)

Najskuteczniejszy jest radius - moim zdaniem bynajmniej, jednak trudny do zrealizowania, a kazde szyfrowanie na wifi drastycznie obniza wydajnosc, musialbys wiec kupic dobry sprzet a nie jakies linksysy a to juz sa spore koszty.
Jesli masz dostatecznie funduszy, checi i samozaparcia to stawiaj na radiusie
Co do zasady jego dzialania: temat jest dosc obszerny - poszukaj na sieci - jest troszke materialow, jesli nie bedziesz w stanie na tej podstawie czegos zrobic to wtedy z KONKRETNYM pytaniem zglos sie na forum - jest tu wiele madrych glow i napewno ktos Ci pomoze.

Aaaaa zapomnialem dodac: jak wlaczysz WPA w jakiejkolwiek formie to powiedz klientom sieci ktorzy maja procesory AMD Duron/Athlon/AthlonXP zeby sobie na intele powymieniali lub na AMD 64bit - nie wiem czemu ale u nas z WPA na zadnym z w/w procesorow net praktycznie nie chodzil :-) ciekawe czemu.....

Zejdzmy jednak na ziemie :-) jesli nie jestes az tak wytrfaly i nie chcesz inwestowac za duzo w siec to polecam Ci pppoe  - swietny opis jest w dziale artykulow by BiExi
Jesli to bedzie zbyt malo (moze jestes czlowiekiem ktory widzi wszedzie czychajace zagrozenia) pobaw sie w ipsec. VPN'y i inne tego typu rozwiazania: maja ta zalete ze sa wystarczajaco bezpieczne a nie obciazaja sieci wifi. Poza wieloma dostepnymi metodami uwierzytelnienia samego klienta, potrafia tez szyfrowac pakiety (po ludzku mowiac) w tzw. tunelach - zabezpieczaja przed podsluchem
Milej zabawy



pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#3 2006-09-02 13:35:42

ukasz
Użytkownik
Skąd: wroclaw
Zarejestrowany: 2006-06-21

Re: radius z czym to sie je ?

a co myslisz o sambie jako kontrolerze domeny i dzieki niej udostepniac neta


http://wiblo.pl/wilk/userbars/debian_user_black.png

Offline

 

#4 2006-09-05 00:00:15

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: radius z czym to sie je ?

nic Ci w tej kwestii nie pomoge bo totalnie nie znam tego tematu


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#5 2006-09-05 14:09:21

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

Albo czaisz o co chodzi

"]


jesli macie jakies fajne pomysly to mowcie. ja jak narazie to wpa + samba kontroler domeny

Jesli to jest dla Ciebie dobre zabezpieczenie, to ja jestem taki dobry ze przy duzym ruchu robie je w 30min :-)

albo nie czaisz :

"]nic Ci w tej kwestii nie pomoge bo totalnie nie znam tego tematu


pozdr

określ się

Offline

 

#6 2006-09-05 17:41:56

ukasz
Użytkownik
Skąd: wroclaw
Zarejestrowany: 2006-06-21

Re: radius z czym to sie je ?

no rzeczywiscie w 30minut obszedlbys radiusa z wpa i kontrolerem domeny.

a nie znasz tematu.....

szukam i czytam i nic wszedzie pisza ze jest cs takiego ale jak to dziala itd to kupa. o 802.1x tez slyszalem i czytalem ze jest super ale tez nic niema jak to dziala.

ale niema co to zdanie z tego artykulu
http://www.cyberbajt.pl/cyber.php?i=raport&id=14
mnie rozwalilo
"Dla WISP najistotniejsze jest zabezpieczenie przed nieuprawnionym dostępem do sieci bezprzewodowej. Stąd szyfrowanie jest zbędne i wystarczy autoryzacja urządzeń radiowych z wykorzystaniem adresów MAC."


http://wiblo.pl/wilk/userbars/debian_user_black.png

Offline

 

#7 2006-09-06 19:20:07

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

RADIUS to autentykator - zapytany przez np AP czy autoryzować danego klienta odpowiada TAK lub NIE. Autoryzować potrafi na podstawie wielu kryteriów np: na podstawie adresu MAC (jezeli jest w bazie to ok , a jak nie to nieok :) ) , czy np na podstawie loginu i hasła (np 802.1x -> PEAP/MSCHAPv2)

Pierwsza sprawa , skołuj działający serwer RADIUS , najlepiej gadający z bazą danych :) , jak skołujesz to zgłoś się do mnie , podeślę ci konfigi.

Jak działa RADIUS - każdy widzi :

Kod:

Wed Sep  6 19:21:06 2006 : Auth: Login OK: [000d88eafed5] (from client AP_Cisco1230_ingramos port 358 cli 000d88eafed5)
Wed Sep  6 19:21:19 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:14:85:e3:c7:21]
Wed Sep  6 19:21:19 2006 : Auth: Login OK: [00:14:85:e3:c7:21] (from client AP_trebaczew_zwierz port 0)
Wed Sep  6 19:21:21 2006 : Auth: Login OK: [0014852a9994] (from client AP_Cisco1230_ingramos port 359 cli 0014852a9994)
Wed Sep  6 19:21:24 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:11:95:51:65:7a]
Wed Sep  6 19:21:24 2006 : Auth: Login OK: [00:11:95:51:65:7a] (from client AP_dzialki port 0)
Wed Sep  6 19:21:31 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:11:95:51:65:7a]
Wed Sep  6 19:21:31 2006 : Auth: Login OK: [00:11:95:51:65:7a] (from client AP_dzialki port 0)
Wed Sep  6 19:21:55 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:11:95:28:ca:ce]
Wed Sep  6 19:21:55 2006 : Auth: Login OK: [00:11:95:28:ca:ce] (from client AP_bloki_v port 0)
Wed Sep  6 19:22:06 2006 : Auth: Login OK: [000d88eafed5] (from client AP_Cisco1230_ingramos port 360 cli 000d88eafed5)
Wed Sep  6 19:22:15 2006 : Auth: Login OK: [001485d46464] (from client AP_Cisco_1220_ingramos_bis port 319 cli 0014.85d4.6464)
Wed Sep  6 19:22:33 2006 : Info: rlm_sql (sql_default_zuo_mt): No matching entry in the database for request from user [00:0e:2e:57:42:60]
Wed Sep  6 19:22:33 2006 : Auth: Login OK: [00:0e:2e:57:42:60] (from client AP_trebaczew_stefan port 0)

Ja aktualnie używam tylko autoryzacji po MACach , ale testowałem 802.1x na Cisco Aironet i Orinoco ap2000 , i WPA + RADIUS na tonze AW-6660

Offline

 

#8 2006-09-07 15:13:11

ukasz
Użytkownik
Skąd: wroclaw
Zarejestrowany: 2006-06-21

Re: radius z czym to sie je ?

zly zwierz bez urazy ale radius po adresach mac to gowno a nie zabezpieczenie. hyba ze sie ma pppoe i radiusa no to wtedy login haslo i mac  no to juz jest git.

musze posiedziec nad pppoe i narazie postawic samo pppoe a pozniej polaczyc je z radiusem.

a czy do 802.1x  potrzebne jest cos w stylu pppoe czy moze radius sie tym zajmuje i jak to wyglada czy sie wpisuje haslo i login w www czy jak w pppoe ?


http://wiblo.pl/wilk/userbars/debian_user_black.png

Offline

 

#9 2006-09-07 19:16:06

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

802.1x : ustawiasz w apeku adres serwera RADIUS , podajesz secret (haslo do niego) , włączasz autoryzacje EAP.

Konfigurujesz RADIUSa , żeby  obsługiwał EAP (generujesz certyfikaty itp) i voila ;]

W windowsie konfigurujesz uwierzytelnianie (PEAP + MSCHAP) , wpisujesz login , przy podłączeniu podajesz hasło ...

zly zwierz bez urazy ale radius po adresach mac to gowno a nie zabezpieczenie.

Doskonale o tym wiem , ale co , mam skakać po apekach , skoro mogę mieć  accessliste w jednym miejscu. Lepszy MAC Auth niż nic :)

Kiedy dorosłem do używania RADIUSa + 802.1x + inne kwiatki , sieć się na tyle rozrosła , że nie widzę szans na bezproblemowe wdrożenie tego :)

Nawet gdybym robił 20 osób dziennie (wpisywanie loginów , haseł , tłumaczenie co i jak , walka ze starymi windowsami etc.), to zajęło by mi to ponad dwa miechy :)

Offline

 

#10 2006-09-09 16:33:45

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: radius z czym to sie je ?

ukasz - to Ty nie czaisz co ja napisalem


no rzeczywiscie w 30minut obszedlbys radiusa z wpa i kontrolerem domeny.

nie radiusa - nawet o tym nie wspomnialem, malo tego sam go polecam w swoim poscie jako bardzo dobry sposob zabezpieczenia
ta wypowiedz dotyczyla wep/wpa (glownie wersji psk) lub kontrolera domeny a Ty zlozyles to wszystko w calosc i jeszcze mi radiusa dorzuciles....


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#11 2006-09-09 18:07:24

ukasz
Użytkownik
Skąd: wroclaw
Zarejestrowany: 2006-06-21

Re: radius z czym to sie je ?

no nie gadaj ze samba jako kontroler domeny zlamiesz szybko z szyfrowanymi haslami


http://wiblo.pl/wilk/userbars/debian_user_black.png

Offline

 

#12 2006-09-09 19:01:54

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

no nie gadaj ze samba jako kontroler domeny zlamiesz szybko z szyfrowanymi haslami

Script kiddies są coraz sprytniejsze :D

Offline

 

#13 2006-09-10 21:29:05

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: radius z czym to sie je ?


Script kiddies są coraz sprytniejsze :D

noooo dokladnie, wszystko idzie do przodu :-)

Spodobal mi sie bardzo pppoe na MT - jest NIECO inny jak rp-pppoe na linuxa....
uwierzytelnienie MS CHAP v2 + szyfrowanie MPPE 128 a sposob wdrozenia w miare prosty jak na malo rozlegle sieci, mysle ze do wiekszosci zastosowan wystarczy. Co o tym sadzicie ??
Jesli ktos potrzebuje dodatkowo czegos EXTRA to w polaczeniu z radiusem jak wedlug mnie nie do zdarcia


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#14 2006-09-10 22:57:00

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

"]
Spodobal mi sie bardzo pppoe na MT - jest NIECO inny jak rp-pppoe na linuxa....

a czym się różni ? :)

Offline

 

#15 2006-09-11 10:41:00

ukasz
Użytkownik
Skąd: wroclaw
Zarejestrowany: 2006-06-21

Re: radius z czym to sie je ?

a czy to prawda ze na eth1 nie moze byc adresacji ip jak pppoe nasluchuje ?

i tak samo po stronie klenta ?

jesli tak to jak ja sie polcze na ftpa od strony sieci lokalnej ?


http://wiblo.pl/wilk/userbars/debian_user_black.png

Offline

 

#16 2006-09-11 11:15:46

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: radius z czym to sie je ?

nie to ze nie moze ale nie powinno - glownie ze wzgledu bezpieczenstwa.

Serwer jest od strony sieci postawiony karta ktora nie ma nadanego adresu, tym samym nie mozemy nawiazac z nim polaczenia tcp/ip
serwer pppoe nasluchuje na jakims wybranym adresie z puli lokalnej na tej wlasnie nieskonfigurowanej karcie.
Klient laczy sie przez pppoe otrzymujac numer ip oraz dns/maske - poswtaje cos jakby tunel miedzy klientem a serwerem gdzie w serwerze tworzy sie interfejs pppX - to z nim klient sie od tej pory komunikuje a dla innych osob eth na ktorym stoi ppp nie ma nadal adresu wiec nie mozna uzyskac na lewo netu dopoki sie nie wdzwoni do pppoe

idea dosc prosta i skuteczna, mppe to algorytm ktory szyfruje zawartosc transmisji, a pap,chap to sposoby samego uwierzytelniania klienta - z czego pap juz poszedl do lamusa.


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#17 2006-11-29 07:36:54

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

Apropos nasłuchiwania:
PPPoE nie korzysta z IP , więc i na żadnym nie nasłuchuje.
Oczekuje natomiast na ramki PADI wysyłane na adres broadcast MAC : ff:ff:ff:ff:ff:ff

http://en.wikipedia.org/wiki/Point-to-Point_Protocol_over_Ethernet

Opcja -L :

-L ip  Sets the local IP address.  This is passed to spawned pppd processes.  If not  speci-
              fied, the default is 10.0.0.1.

To tylko adres tunelu po stronie serwera , nie ma nic do nasłuchiwania , tzn , może ma :) Po nawiązaniu połączenia ppp, na adres (domyślnie 10.0.0.1) mogą bindować usługi .. trza je tylko zrestartować ..

Co do maski w połaczeniach P-t-P ... zawsze widuję 255.255.255.255, ale patrząć na  to howto widze , że to nie aksjomat.


ppp0     Link encap:Point-Point Protocol
           inet addr:10.144.153.104  P-t-P:10.144.153.51 Mask:255.255.255.0
           UP POINTOPOINT RUNNING  MTU:552  Metric:1
           RX packets:0 errors:0 dropped:0 overruns:0
           TX packets:0 errors:0 dropped:0 overruns:0

z manuala do pppd


netmask n
              Ustaw maske sieciową- interfejsu na n, tj.  32  bitową  maske  w  kropkowej  notacji
              dziesietnej  (np.  255.255.255.0).  Jeśli  podana  jest  ta  opcja, to wartość jej
              zostanie połączona logicznym OR z  domyślną  maską  sieciową.   Domyślna  maska
              sieciowa  jest  wybierana  według  wynegocjowanego  zdalnego  adresu  IP; jest maską
              odpowiednią dla klasy  zdalnego  adresu  IP,  połączoną logicznym  OR  z  maskami
              sieciowymi  wszelkich  interfejsow  sieciowych point-to-point  systemu, znajdujących
              sie w tej samej sieci. (Uwaga: na  niektorych  platformach  pppd  zawsze  jako  maski
              sieciowej ucywa 255.255.255.255 jeśli jest to jedyna wartość odpowiednia dla interfejsu point-to-point.)

##################
Skasowałem ten bełkot , mam nadzieję że nikt oprócz pajacyka , sory Pajączka się nie obrazi .. ;>

Offline

 

#18 2006-11-29 12:38:42

Pajaczek
Nowy użytkownik
Zarejestrowany: 2006-11-25

Re: radius z czym to sie je ?

Nie... nie obrazi sie... poprostu od teraz bedzie omijal to forum szerokim lukiem.
Interesowala mnie tylko kwestia pppoe, wiec chwilowo i tak nie mam tu co szukac.

Wiec zegnam wszelkich przemadrzalych modziuf... i inne nieomylne bestie, dla ktorych wszystko czego nierozumieja to jest juz beukot (btw. Beukot by sie za to obrazil, dobrze ze tego nie czyta).

Btw. To ZlySwierz pokasowal ?? Jakos nie przyznaje sie do moderowania, jesli to kto inny, to wypadalo by sie podpisac.

Offline

 

#19 2006-11-29 12:57:56

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

Tak , to zrobiłem ja. :)
Pa misiaczQ ... :)

Offline

 

#20 2006-11-29 15:28:28

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: radius z czym to sie je ?

ahhhh nareszcie cisza.... :)

ZlyZwierz: m/w o to mi chodzilo tylko zle to ujalem - wiem ze ppp nie korzysta z adresu ip bo to nie jest tcp/ip. chodzilo mi o "punkt widzenia" serwera i klienta po wdzwonieniu - wtedy juz adresy sa

A tak przy okazji: jak masz jeden koncentrator na eth0 i do tego samego routera wepniesz jedna lub n kart "nieskonfigurowanych" to nie ma zadnego znaczenia do ktorej kabelkiem/radiem wepniesz klienta - on i tak "uslyszy" daemona na eth0 ? a dodatkowo moga otrzymywac adresy z tej samej puli i nie istnieja zadne przeciwwskazania ??


pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#21 2006-11-29 15:57:02

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

Nie , skoro koncentrator pppoe postawiłeś na eth0 , to na zadnym innym  interfejsie z pppoe nie skorzystasz , chyba , że weźmiesz bridge-utils do ręki i zmostkujesz interfejsy.

Offline

 

#22 2006-11-29 19:40:43

Szczur[R]
Użytkownik
Skąd: Czestochowa
Zarejestrowany: 2006-03-29

Re: radius z czym to sie je ?

to w takim razie czy moze byc n daemonow podajacych jeden ip lokalny po wdzwonieniu ??
Tzn. teraz mam ppp na eth0, klienci dostaja adresy z puli 10.1.0.0/24 i widza serwer 10.1.0.3, ale to tylko posrednik z kilku podsieci bo glowna brama ma 10.1.0.1
pojawila sie jednak koniecznosc rozbicia tego na dwa segmenty (wolalbym nie zmianiac adresacji - nie chce zmian na bramce bo nie troszke czasu i nerwow beda kosztowaly...) wiec chce do routerka dorzucic druga karte, z tego co piszesz (w sumie moglem sam troche pomyslec :)) musze na niej postawic oddzielnego daemona :
w takim ukladzie ppp bedzie na eth0 i eth2 a eth1 do szkieletu - czy moge zapodac obydwa daemony z -L 10.1.0.3 ?? czy wogole to bedzie dzialac i nie bedzie problemow ?  klienci beda miec rownierz adresy z tej samej puli.

pozdr


http://sopot.i365.pl/neo/i/us4.jpg

Offline

 

#23 2006-11-30 06:30:25

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

Nie wiem , czy tak można , nie próbowałem (w sensie dwóch daemonów z takim samym localip), ale jak najbardziej mozna postawić więcej daemonów.
Nie wiem tylko po co , nie jesteś ograniczony do jednej odsieci /24
nie musisz stawiać kilko serwerów pppoe.

Offline

 

#24 2006-11-30 15:31:07

Kamyk_^
Użytkownik
Skąd: Szczecin / Bydgoszcz
Zarejestrowany: 2005-02-14
Serwis

Re: radius z czym to sie je ?

Apropo radiusa mam pytanie:

Czy komus z was udalo sie polaczyc freeradiusa + ldap-a po TLS ?

Zrobilem juz tak ze userzy sa uwierzytelniani przez radiusa z ldap-em, jednak nie idzie to tls :(

Bledy w logach:

Kod:

rlm_ldap: ldap_get_conn: Checking Id: 0
rlm_ldap: ldap_get_conn: Got Id: 0
rlm_ldap: attempting LDAP reconnection
rlm_ldap: (re)connect to ldap:636, authentication 0
rlm_ldap: setting TLS mode to 1
rlm_ldap: setting TLS CACert File to /etc/freeradius/cert/ca.crt
rlm_ldap: setting TLS CACert File to /etc/freeradius/cert/
rlm_ldap: setting TLS Require Cert to never
rlm_ldap: setting TLS Cert File to /etc/freeradius/cert/radius.crt
rlm_ldap: setting TLS Key File to /etc/freeradius/cert/radius.key
rlm_ldap: starting TLS
rlm_ldap: ldap_start_tls_s()
rlm_ldap: could not start TLS Can't contact LDAP server
rlm_ldap: (re)connection attempt failed
rlm_ldap: search failed
rlm_ldap: ldap_release_conn: Release Id: 0

Ma ktos z was pomysl ???

Pozdrawiam


----------------------------------------------------------------------------------------
Debian BePOWER v. 1.0

Offline

 

#25 2006-11-30 16:17:40

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: radius z czym to sie je ?

Ja mam pomysł:

zainteresuj się tym komunikatem:

Kod:

rlm_ldap: could not start TLS Can't contact LDAP server 

sprawdź ustawienia samego LDAP

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)