>Сложилось впечатление, что внимательно читать это не для нас. Во-первых альтернатив подобному
>механизму не так много, сами столкнувшись с подобной задачей четко осознали
>что это либо циска с ее возможностями работать по Ip каналам,
>либо все остальные решение умеющие работать только в широковещательном домене.
>
>Первое дорого, второе не приближено к реальности, мягко говоря. На 90% согласен
>с Олегом в той части что применение подобной схемы оправдано владельцем
>точки у которого а) есть компьютер б) нет желания ради 10
>пользователей пришедших покушать на 20 минут лепить нагромождение тяжелых решений в)
>имеется четкое понятие о необходимости и достаточности определенных мер по защите
>своих интересов.
>
>Все сказанное выше оппонентами из области теоретики: ну сами подумайте, кто нибудь
>видел когда нибудь клиента в кафешке или гостинице настраивающего суппликанта 802.1х
>на windows планшете/ноуте ? Смешно читать. 802.1х - тяжелое решение не
>для случая когда надо быстро и главное просто зайти в инет,
>что бы прочитать почту. Ставя себя на место злоумышленника, при стоимость
>инета, вообще по жизни в 5 копеек, ну какой дебил будет
>сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать
>его ip / mac, сменить его себе и не получить нихрена
>т.к. все сломается у обоих и владелец заведения просто извинится и
>выдаст новую карточку "потерпевшему".
>
>Кстати, если серьезно прочитать критику, то рано или поздно придется придти к
>тому что WiFi вообще надо выкинуть в помойку т.к. при защите
>типа WEP она ломается на раз два путем продолжительного анализа ралиоканала.
>Никто же не выкидывает, а WEP самый распространенный механизм защиты к
>слову. Много еще можно сказать, да только вывод все равно один,
>реальность это компромисс межно денежками/простотой и разумной достаточностью. 802.1х как бы
>этого не НЕ хотелось но пока является сырой. Вон HP до
>сих пор прошивки переделывает, т.к. даже у последних железок за более
>чем 100 К есть ошибки в реализации.
>
>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
>нибудь ? Вот и я не видел. Аутентификация прошла и все,
>привет, дальше что с ней делать не понятно, чел сидит в
>нете. Когда он закончит сессию? потеряется она? нет? одному богу
>известно? В общем не все так однозначно. Интересно мнение тех кто
>действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
>одной крупной сотовой компании, могу поделиться. Если можно пришли, пожалуйста, экспертную оценку. И еще может будет полезной информация, заметил, что в DSA 3100 при аутентификации через фрирадиус действует такой атрибут как session_timeout, что не удевительно, ведь в DSA 3100 стоит линух. При этом при подключении пользователя появляется окошко, где написано сколько времени отведено пользователю и сколько осталось до конца. Хотелось бы знать какие еще атрибуты поддерживает radius DSA 3100, да вот позвонил в службу поддержки d-link, а они только разводят руками, написал им письмо в техподдержку, может там чего расскажут, если интересно, когда ответят перешлю.
|
