|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
15.09.2011, 18:19 | #1 |
Ископаемый админ
Форумчанин
Регистрация: 08.07.2010
Сообщений: 992
|
Авторизация беспроводных устройств по MAC-адресу.
Давно назрела необходимость ввода предварительной авторизации по MAC-адресам.
Подробнее: Имеется некоторое количество точек доступа WiFi, рассчитанных на подключение пользователей "с улицы". Все поддерживают авторизацию по протоколу Radius. В принципе все работает, но немного напрягают клиентские устройства, которые автоматически подключаются к сети и висят там иногда месяцами, не предпринимая никаких действий или только пытаясь в автоматическом режиме скачать обновления. Также имеются спамеры и разнообразные трояны, которых желательно вообще не пускать в сеть. Самым простым методом было-бы организовать авторизацию по MAC-адресам примерно такого типа: Клиент подключается к ТД, точка передает серверу его MAC, если он в "Черном списке", то подключение сбрасывается, если его там нет - разрешается. Различные эксперименты с Microsoft ISA Server, FreeRadius и т.п. программами пока ни к чему не привели, как и длительные поиски в интернет. Получается настроить любой тип авторизации (от авторизации по сертификатам клиента/сервера до EAP/MSCHAP v2), но все это не подходит, поскольку требует предварительной настройки на устройстве-клиенте. А вроде бы самый простой вариант с проверкой MAC работать не желает ни в какую Если у кого есть опыт реализации подобного - поделитесь пожалуйста.
Выписывайте лучший журнал о беспроводных технологиях "Ukrainian Wireless News"! Издается с 1913 года.
|
19.09.2011, 13:41 | #2 |
Баламучу слегка...
Участник клуба
Регистрация: 01.11.2006
Сообщений: 1,585
|
В самом роутере запретить неугодный мас? Он-то это может без проблем.
|
19.09.2011, 14:27 | #3 |
Ископаемый админ
Форумчанин
Регистрация: 08.07.2010
Сообщений: 992
|
Это очевидный вариант, если сеть небольшая. А в нашем случае клиенту ничего не мешает чуть изменить местоположение и подключиться к другой точке (выбор как минимум из полусотни), каждый раз вручную вбивать MAC-и в полста точек несколько напряжно. Но это не главное...
На всех точках есть "Белый список", но не на всех есть "Черный". Тоесть возможна работа по принципу "этих разрешить, остальных запретить", но нам надо наоборот, что-то типа банлиста. И даже там, где есть "Черный список", он ограничен по размеру, 20 или 50 записей максимум, а этого мало. Так что единственный выход - централизованная система с использованием Radius или чего-то подобного.
Выписывайте лучший журнал о беспроводных технологиях "Ukrainian Wireless News"! Издается с 1913 года.
|
19.09.2011, 15:16 | #4 |
Баламучу слегка...
Участник клуба
Регистрация: 01.11.2006
Сообщений: 1,585
|
Ну а тогда как? С маршрутизатора на проксю пакеты приходят уже с маком маршрутизатора. Что тут банить?
|
19.09.2011, 17:56 | #5 |
Ископаемый админ
Форумчанин
Регистрация: 08.07.2010
Сообщений: 992
|
Это если маршрутизатор в режиме маршрутизатора (сорри за каламбур). Если в режиме прозрачного моста (без ARPNAT), то МАКи проходят без изменений и по сути он работает как обычный свич. А беспроводные точки доступа это вообще не маршрутизаторы, у них по умолчанию radio и lan в прозрачном мосте. С задачей не пускать определенный МАК на сервер и дальше в инет проблем нет никаких. Но в сети он все равно висит и периодически куда-нибудь долбится. В случае, если на компе троян, то долбежка может быть весьма сильной, на уровне DOS-атаки. Задача состоит в том, чтобы отстреливать такие МАКи на начальном этапе подключения к сети, тоесть вообще их в сеть не пускать.
Сама процедура в теории выглядит так: Точка, настроенная на Radius-авторизацию, прежде чем пустить клиента в сеть, запрашивает у Radius-сервера, разрешен ли такому МАКу доступ. Если разрешен - пускает, если нет - подключение сбрасывается, тоесть разрывается связь по радио. Точки настроены нормально, видят Radius, отправляют ему данные и ждут ответ. А вот сам Radius-сервер никак не удается настроить таким образом, чтобы он проверял по базе МАК клиента и выдавал точке соответствующую команду. Сейчас он или всем разрешает вход, или всем запрещает. Видимо что-то не так с парсингом запроса точки, но вот что? Документация на Radius вся англоязычная и весьма запутанная, в конечном итоге разберемся, но вот сколько сил и времени на это понадобится, непонятно. Вот и думал, может кто сталкивался с подобным и сможет дать совет.
Выписывайте лучший журнал о беспроводных технологиях "Ukrainian Wireless News"! Издается с 1913 года.
Последний раз редактировалось WildHunter; 19.09.2011 в 18:01. |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Обычная авторизация или авторизация на уровне браузера? | calugin | Безопасность, Шифрование | 0 | 13.01.2011 00:34 |
Вызов функции по её адресу | nowaalex | Общие вопросы C/C++ | 5 | 22.08.2010 19:18 |
не записываются данные по указанному адресу | s2dentishe | Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM | 1 | 27.05.2010 14:42 |
Взятие значения по адресу | nusik | Общие вопросы C/C++ | 1 | 25.05.2009 01:59 |
html код по адресу сайта | artemavd | Помощь студентам | 1 | 14.05.2009 13:46 |