форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от opennews (??) on 19-Сен-06, 23:33

В статье (http://www.lanbilling.ru/wifi_solution.html) приводятся примеры скриптов для организации упрощенной формы аутентификации клиента в беспроводных сетях. URL: http://www.lanbilling.ru/wifi_solution.html Новость: http://www.opennet.ru/opennews/art.shtml?num=8360

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от balamut (??) on 19-Сен-06, 23:33

это ужасно. vpn и pppoe туннелирование используется для однозначной идентификации пользователя по ip. а в данном примере предполагается что ip пользователю выдается по DHCP. таким образом злоумышленник может всегда поменять ip на чужой. значит возле кафешки однажды заведутся хитрые парни с ноутом, юзающие халявный инет (и рутящих fsb.ru :)), а у юзеров забашлявших за инет - начнутся проблемы с доступом. это решение ново только потому что до подобной глупости из здравомыслящих людей (админов)  никто не додумался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Alex (??) on 20-Сен-06, 01:24
	Ну насколько я понимаю mac address lockout еще никто не отменял. Подозреваю, предполагается, что админ всем этим рулящий не утерял остатки здравого смысла. Хотя в статейке не плохо бы это учеть это и в явном виде указать. А так why not. Все остальные методы решения подобной проблемы либо дороги, либо также "коленочные".
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от asso on 20-Сен-06, 05:28
	>  Ну насколько я понимаю mac address lockout еще никто не отменял. А толку?  Подменить IP- и MAC- адреса на адреса злейшего соседа - дело пяти минут.  arpwatch  ничего не заметит, замарозка ARP таблицы в этом случае не поможет. Привязываться к Mac- и IP- адресам - это то же самое что работать вообще без аутентификации.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от guest (??) on 20-Сен-06, 02:50

I can change MAC address in 5 seconds - who's faster? Article is stupid and dangerous.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от Oleg (??) on 20-Сен-06, 03:22

Идея ненова. Web аутентификация давно реализована, например, в DLink DSA-3100. Да и больше года назад сами реализовали такую схему, которая считала и по трафику и по времени в качестве экспериментальной разработки. Но не стали внедрять из-за проблемы подмены IP адресов. К тому же эта схема работает при одном условии - все точки доступа находятся в одном широковещательном домене и/или прямой их связи с сервером. И абсолютно не экономичная если сеть провайдера состоит из множества узлов не связанных одним широковещательным доменом. К каждому узлу подключается много AP и по данной схеме в каждый узел необходимо ставить по серверу - это не целесообразная трата денег.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Билли on 20-Сен-06, 13:07
	>Идея ненова. Web аутентификация давно реализована, например, в DLink DSA-3100. Поинтересовался. В этой железке во первых web auth работает только по внутренней базе, и с RADIUS не взаимодействует, как следствие, нет возможности генерировать карточки. Во вторых DLink DSA-3100 + точка (что нибудь типа Di-624i) = 410 $ что не есть мягко говоря бюджетно. А насколько я понимаю вариант предложен для глупой точки - бриджа. Опять же вопрос с keep alive. Проверяли ? Есть он в 3100 ? У меня пока есть только сомнения поскольку сам не проверял.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Oleg (??) on 21-Сен-06, 08:13
	Dlink DSA-3100 прекрасно работает с Radius (FreeRadius).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от sasha (??) on 20-Сен-06, 10:11

Статья как издевательство... Для этих целей 802.1x используют. Сейчас поддерживается всеми железяками, не говоря уже о UNIX/Windows

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Билли on 20-Сен-06, 11:10
	Сложилось впечатление, что внимательно читать это не для нас. Во-первых альтернатив подобному механизму не так много, сами столкнувшись с подобной задачей четко осознали что это либо циска с ее возможностями работать по Ip каналам, либо все остальные решение умеющие работать только в широковещательном домене. Первое дорого, второе не приближено к реальности, мягко говоря. На 90% согласен с Олегом в той части что применение подобной схемы оправдано владельцем точки у которого а) есть компьютер б) нет желания ради 10 пользователей пришедших покушать на 20 минут лепить нагромождение тяжелых решений в) имеется четкое понятие о необходимости и достаточности определенных мер по защите своих интересов. Все сказанное выше оппонентами из области теоретики: ну сами подумайте, кто нибудь видел когда нибудь клиента в кафешке или гостинице настраивающего суппликанта 802.1х на windows планшете/ноуте ? Смешно читать. 802.1х - тяжелое решение не для случая когда надо быстро и главное просто зайти в инет, что бы прочитать почту. Ставя себя на место злоумышленника, при стоимость инета, вообще по жизни в 5 копеек, ну какой дебил будет сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать его ip / mac, сменить его себе и не получить нихрена т.к. все сломается у обоих и владелец заведения просто извинится и выдаст новую карточку "потерпевшему". Кстати, если серьезно прочитать критику, то рано или поздно придется придти к тому что WiFi вообще надо выкинуть в помойку т.к. при защите типа WEP она ломается на раз два путем продолжительного анализа ралиоканала. Никто же не выкидывает, а WEP самый распространенный механизм защиты к слову. Много еще можно сказать, да только вывод все равно один, реальность это компромисс межно денежками/простотой и разумной достаточностью. 802.1х как бы этого не НЕ хотелось но пока является сырой. Вон HP до сих пор прошивки переделывает, т.к. даже у последних железок за более чем 100 К есть ошибки в реализации. Dlink это вообще отдельный разговор - keealive там в радиусе видел кто нибудь ? Вот и я не видел. Аутентификация прошла и все, привет, дальше что с ней делать не понятно, чел сидит в нете. Когда он закончит сессию? потеряется она? нет?  одному богу известно? В общем не все так однозначно. Интересно мнение тех кто действительно проблематикой занимался. У меня есть экспертная оценка таких решений для одной крупной сотовой компании, могу поделиться.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от balamut (??) on 20-Сен-06, 22:41
	>Ставя себя на место злоумышленника, при стоимость >инета, вообще по жизни в 5 копеек, ну какой дебил будет >сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать >его ip / mac, сменить его себе и не получить нихрена >т.к. все сломается у обоих и владелец заведения просто извинится и >выдаст новую карточку "потерпевшему". а дебилов хватает между прочим. скрипткиддисы всякие зачем-то дефейсят первые попавшиеся при поиске по гуглю сайты содержащие ключевые слова типа "CMS XXXX version X.X.X", тольк потому что скочали свежий сплойт. несекурно и все тут. настроить стандартное pppoe соединение в вин ХР не сложней чем пароль в веб-морде ввести. в конце концов можно диск сделать. есть же в мастере настройки сетевых подключений пункт "использовать компакт-диск поставщика услуг интернета". лучше бы написали как такой диск сделать, чем из iptables лес городить.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Oleg (??) on 21-Сен-06, 08:21
	>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто >нибудь ? Вот и я не видел. Keep live Dlink DSA-3100 в радиус не шлет. >Когда он закончит сессию? потеряется она? нет?  одному богу >известно? В общем не все так однозначно. Интересно мнение тех кто >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для >одной крупной сотовой компании, могу поделиться. Зато радиус может сообщить DSA-3100 сколько времени данному юзеру работать. Далее сам DSA-3100 по истечении указаного времени шлет стоп-пакет на радиус. Проверено работает. Когда он закончит сессию? потеряется она? нет?  одному богу >известно? В общем не все так однозначно. Интересно мнение тех кто >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для >одной крупной сотовой компании, могу поделиться.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Sergei (??) on 04-Ноя-06, 12:13
	>Сложилось впечатление, что внимательно читать это не для нас. Во-первых альтернатив подобному >механизму не так много, сами столкнувшись с подобной задачей четко осознали >что это либо циска с ее возможностями работать по Ip каналам, >либо все остальные решение умеющие работать только в широковещательном домене. > >Первое дорого, второе не приближено к реальности, мягко говоря. На 90% согласен >с Олегом в той части что применение подобной схемы оправдано владельцем >точки у которого а) есть компьютер б) нет желания ради 10 >пользователей пришедших покушать на 20 минут лепить нагромождение тяжелых решений в) >имеется четкое понятие о необходимости и достаточности определенных мер по защите >своих интересов. > >Все сказанное выше оппонентами из области теоретики: ну сами подумайте, кто нибудь >видел когда нибудь клиента в кафешке или гостинице настраивающего суппликанта 802.1х >на windows планшете/ноуте ? Смешно читать. 802.1х - тяжелое решение не >для случая когда надо быстро и главное просто зайти в инет, >что бы прочитать почту. Ставя себя на место злоумышленника, при стоимость >инета, вообще по жизни в 5 копеек, ну какой дебил будет >сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать >его ip / mac, сменить его себе и не получить нихрена >т.к. все сломается у обоих и владелец заведения просто извинится и >выдаст новую карточку "потерпевшему". > >Кстати, если серьезно прочитать критику, то рано или поздно придется придти к >тому что WiFi вообще надо выкинуть в помойку т.к. при защите >типа WEP она ломается на раз два путем продолжительного анализа ралиоканала. >Никто же не выкидывает, а WEP самый распространенный механизм защиты к >слову. Много еще можно сказать, да только вывод все равно один, >реальность это компромисс межно денежками/простотой и разумной достаточностью. 802.1х как бы >этого не НЕ хотелось но пока является сырой. Вон HP до >сих пор прошивки переделывает, т.к. даже у последних железок за более >чем 100 К есть ошибки в реализации. > >Dlink это вообще отдельный разговор - keealive там в радиусе видел кто >нибудь ? Вот и я не видел. Аутентификация прошла и все, >привет, дальше что с ней делать не понятно, чел сидит в >нете. Когда он закончит сессию? потеряется она? нет?  одному богу >известно? В общем не все так однозначно. Интересно мнение тех кто >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для >одной крупной сотовой компании, могу поделиться. Если можно пришли, пожалуйста, экспертную оценку. И еще может будет полезной информация, заметил, что в DSA 3100 при аутентификации через фрирадиус действует такой атрибут как session_timeout, что не удевительно, ведь в DSA 3100 стоит линух. При этом при подключении пользователя появляется окошко, где написано сколько времени отведено пользователю и сколько осталось до конца. Хотелось бы знать какие еще атрибуты поддерживает radius DSA 3100, да вот позвонил в службу поддержки d-link, а они только разводят руками, написал им письмо в техподдержку, может там чего расскажут, если интересно, когда ответят перешлю.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от suik on 29-Янв-07, 16:40
	>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто >нибудь ? Вот и я не видел. Аутентификация прошла и все, >привет, дальше что с ней делать не понятно, чел сидит в >нете. Когда он закончит сессию? потеряется она? нет?  одному богу >известно? В общем не все так однозначно. Интересно мнение тех кто >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для >одной крупной сотовой компании, могу поделиться. если не сложно поделись пожалуйста
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Эллад on 30-Апр-08, 21:09
	>Dlink это вообще отдельный разговор - keealive там в радиусе видел кто >нибудь ? Вот и я не видел. Аутентификация прошла и все, >привет, дальше что с ней делать не понятно, чел сидит в >нете. Когда он закончит сессию? потеряется она? нет?  одному богу >известно? В общем не все так однозначно. Интересно мнение тех кто >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для >одной крупной сотовой компании, могу поделиться. Любопытно было бы вообще какой-нибудь работающий пример (на эксперименты времени нет). FreeBSD/FreeRADIUS/MySQL, WiFi D-Link Одна из самых простых (524, что ли?) - это то, что уже имеется. Поможете запустить?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от sasha (??) on 20-Сен-06, 11:32

> 802.1х - тяжелое решение не для случая когда надо быстро и главное просто зайти в инет, что бы прочитать почту все настраивается элементарно > Dlink это вообще отдельный разговор - keealive там в радиусе видел кто нибудь ? Вот и я не видел. Аутентификация прошла и все, привет, дальше что с ней делать не понятно, чел сидит в нете. Когда он закончит сессию? потеряется она? не знаю как D-Link , но ZyXEL (ES-4024 или похожие) могут и с RADIUS'ом работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Билли on 20-Сен-06, 12:55
	> все настраивается элементарно Очень спорно, очень. Согласен настраивается, но надо читать инструкцию , лезть в менюхи что то прописывать, это не для hotspot а в баре.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от brain (ok) on 20-Сен-06, 13:58

г. Москва, м. Багратионовская, ТК "Горбушкин Двор". Приглашаю всех проверить как работает наш большой wi-fi hotspot. Кстати, работает на LANBilling + D-Link DWL-3200. Без авторизации пользователя бегают по локальным сайтам. Установив pppoe соединение (инструкция на карточке и на сайте) ходят в инет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от sasha (??) on 20-Сен-06, 17:23

> Очень спорно, очень. Согласен настраивается, но надо читать инструкцию , лезть в менюхи что то прописывать, это не для hotspot а в баре А еще нужно на ноут ОСь ставить, уметь его включать, на кнопочки нажимать... Почему все ориентируются на тупых юзеров? Юзер не тупой. Мои сами OpenVPN-соединения настраивают.. и ничего

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от AleXgRey (ok) on 21-Сен-06, 10:23
	А мои даже непонимают каким образом производиться оплата да и в офисе бухгалтера незнают как word`е редактировать. а ты говоришь OpenVPN....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от PixeL (??) on 21-Сен-06, 21:14
	>А мои даже непонимают каким образом производиться оплата >да и в офисе бухгалтера незнают как word`е редактировать. >а ты говоришь OpenVPN.... аж завидую!!! у нас такие тупые юзеры, что не могут себе нормально вписать логин и пароль для доступа в статистику :D
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Alex (??) on 21-Сен-06, 10:48
	Ну тебе повезло, большинству нет, юзеры на то и юзеры, никто не говорит что они тупые. Наоборот очень даже ничего попадаются 90-60-90 :) бывает вот только у них своя работа и они лучшие в ней. А vpn настраивать не их дело. А человек пришедший в бар вообще мозг на 50 % выключает (throttling у него начинает работать :) как правило, если выпивает отключается еще процентов на 25%. Поверь мне, у меня кафешка в центре. Так что не ровняй чела который сидит в офисе и тупит в комп и чела, который лежит на лежаке в гостинице , ну скажем, где нибудь на побережье португалии.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Антон (??) on 21-Сен-06, 22:49
	>А еще нужно на ноут ОСь ставить, уметь его включать, на кнопочки >нажимать... >Почему все ориентируются на тупых юзеров? Юзер не тупой. >Мои сами OpenVPN-соединения настраивают.. и ничего У вас не массовый сервис, если бы вы имели десяток хотспотов по карточкам и общались со своим суппортом, вы бы поменяли свое мнение про тупизну пользователей. Аутентификация через web правильное дело. Подключил ноут, получил IP по DHCP, на любой URL в браузере получил страницу ввода номера карты, ввел код и сидишь посматриваешл мельком на статистику.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от Аноним on 20-Сен-06, 20:08

С openVPN-ном томорзят онлайн игры, а гилдвор с бара это гламурно)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Sasha (??) on 21-Сен-06, 06:16
	Я его не для бара использую.. это был как пример о нормальности юзеров, и что следует применять такие вещи как .1x для своих целей. И на Д-Линках не нужно зацикливаться.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от Аноним on 21-Сен-06, 18:42

>С openVPN-ном томорзят онлайн игры, а гилдвор с бара это гламурно) От настройки зависит - RTFM.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от scum (??) on 28-Сен-06, 10:22

А я вот чего подумал, а ведь и вправду люди, которые в кафешки с ноутбуками ходят, могут сами OpenVPN настроить. Просто потому, что или они сами компьютерщики, или просто компьютерные фанаты. Для большинства других товарищей таскать с собой ноут - нахрен надо, да и нет у большинства из них ноутбуков вообще. Зачем они им? Но, когда ситуация эта изменится, и каждый будет таскать с собой мини комп (как сейчас с сотовыми обстоит дело), тогда плохо дело будет. Потому что все существующие средства аутентификации/авторизации явно не рассчитаны на понимание принципов их работы простым гражданином (не компьютерщиком). Даже если перед его мордой постоянно махать памяткой, как PPPoE в винде настраивать. Тут нужно что то другое. Лично я голосую за 802.1X и то, что поверх него обязательно накрутят, когда стандарт пойдет в массы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Настройка Web аутентификации для Wi-Fi соединений"

Сообщение от scum (??) on 28-Сен-06, 10:25

Кстати, Билли. А что за экспертная оценка? Если не трудно, намыль пожалуйста на scum001@gmail.com По гроб жизни благодарен буду.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Эллад on 30-Апр-08, 21:50
	Прошу помочь в таком вот вопросе - один наш клиент (неважно какой, главное - для нас важный) обратился организовать в его публичном месте WiFi-сеть, так, чтобы он выдавал карточки приходящим гостям, а они подключались бы самым простым способом к WiFi-сети (небезопасная сеть, что ли?), но при вводе URL в браузере получали бы вместо искомой странички - Web-регистрацию. Туда необходимо ввести логин и пароль с карточки, тогда получаешь доступ в Интернет. В идеале - чтобы после регистрации в сети гость таки попадал бы на введенный URL, но если и будет теряться сайт - тоже не страшно, это всего лишь пожелание клиента - он заботится о гостях. В общем, история, как в аэропортах - так делает какой-нибудь GoldenWiFi. В точности такое и нам надо. Поскольку я имею мало опыта, прошу вас помочь: 1) какая технология для этого применима? На ум приходит RADIUS, но он порождает больше вопросов, чем ответов. Например - как клиенту, законно аутентифицировавшемуся, оборвать сессию по истечении времени (считать надо только время - сессси могуть быть час, два, три и т. п., а потом обрывать соединения)? И, например, если клиент аутентифицировался, а потом взял, да и передал свою карточку соседу? Или, через час взял, да и вновь попытался аутентифицироваться? И как блокировать/разблокировать доступ клиенту к Интернет? На файрволе на выпускающем маршрутизаторе? Каким-нибудь IPTABLES? Как осуществлять редирект для ввода пароля? А потом все-таки возвращать гостя на запрошенную страницу? 2) какое оборудование посоветуете? Я не с проста начал с технологии - когда понятно, что делать, ясны и требования к оборудованию.. Что бы вы посоветовали?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Аноним (??) on 23-Май-08, 13:03
	traffpro.ru думаю за не большую сумму ребята организуют web-авторизацию а если хотишь RADIUS нужен будет биллинг + железо которое будет поддерживать смотри MicroTIK и D-link, если денег хвататет Cisco, Linksys
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Настройка Web аутентификации для Wi-Fi соединений"
	Сообщение от Vladimir Ksielyov on 22-Июл-08, 00:56
	А не пробывали тупо - открытый доступ, но все закругляется на squid - с логином и паролем. и пока сессия открыта, инет есть и считается. сессия закрыта, инета нету. Усер профукал свой логин/пасс - сам виноват. А? P.S. Собираюсь делать что то похожее в деревне.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]