Авторизация беспроводных устройств по MAC-адресу.

[WildHunter]

Давно назрела необходимость ввода предварительной авторизации по MAC-адресам.

Подробнее:
Имеется некоторое количество точек доступа WiFi, рассчитанных на подключение пользователей "с улицы". Все поддерживают авторизацию по протоколу Radius.

В принципе все работает, но немного напрягают клиентские устройства, которые автоматически подключаются к сети и висят там иногда месяцами, не предпринимая никаких действий или только пытаясь в автоматическом режиме скачать обновления.
Также имеются спамеры и разнообразные трояны, которых желательно вообще не пускать в сеть.

Самым простым методом было-бы организовать авторизацию по MAC-адресам примерно такого типа:
Клиент подключается к ТД, точка передает серверу его MAC, если он в "Черном списке", то подключение сбрасывается, если его там нет - разрешается.

Различные эксперименты с Microsoft ISA Server, FreeRadius и т.п. программами пока ни к чему не привели, как и длительные поиски в интернет. Получается настроить любой тип авторизации (от авторизации по сертификатам клиента/сервера до EAP/MSCHAP v2), но все это не подходит, поскольку требует предварительной настройки на устройстве-клиенте.
А вроде бы самый простой вариант с проверкой MAC работать не желает ни в какую

Если у кого есть опыт реализации подобного - поделитесь пожалуйста.

[Баламут]

В самом роутере запретить неугодный мас? Он-то это может без проблем.

[WildHunter]

Это очевидный вариант, если сеть небольшая. А в нашем случае клиенту ничего не мешает чуть изменить местоположение и подключиться к другой точке (выбор как минимум из полусотни), каждый раз вручную вбивать MAC-и в полста точек несколько напряжно. Но это не главное...
На всех точках есть "Белый список", но не на всех есть "Черный". Тоесть возможна работа по принципу "этих разрешить, остальных запретить", но нам надо наоборот, что-то типа банлиста.
И даже там, где есть "Черный список", он ограничен по размеру, 20 или 50 записей максимум, а этого мало.

Так что единственный выход - централизованная система с использованием Radius или чего-то подобного.

[Баламут]

Ну а тогда как? С маршрутизатора на проксю пакеты приходят уже с маком маршрутизатора. Что тут банить?

[WildHunter]

Это если маршрутизатор в режиме маршрутизатора (сорри за каламбур). Если в режиме прозрачного моста (без ARPNAT), то МАКи проходят без изменений и по сути он работает как обычный свич. А беспроводные точки доступа это вообще не маршрутизаторы, у них по умолчанию radio и lan в прозрачном мосте. С задачей не пускать определенный МАК на сервер и дальше в инет проблем нет никаких. Но в сети он все равно висит и периодически куда-нибудь долбится. В случае, если на компе троян, то долбежка может быть весьма сильной, на уровне DOS-атаки. Задача состоит в том, чтобы отстреливать такие МАКи на начальном этапе подключения к сети, тоесть вообще их в сеть не пускать.

Сама процедура в теории выглядит так:
Точка, настроенная на Radius-авторизацию, прежде чем пустить клиента в сеть, запрашивает у Radius-сервера, разрешен ли такому МАКу доступ. Если разрешен - пускает, если нет - подключение сбрасывается, тоесть разрывается связь по радио.
Точки настроены нормально, видят Radius, отправляют ему данные и ждут ответ. А вот сам Radius-сервер никак не удается настроить таким образом, чтобы он проверял по базе МАК клиента и выдавал точке соответствующую команду.
Сейчас он или всем разрешает вход, или всем запрещает. Видимо что-то не так с парсингом запроса точки, но вот что?

Документация на Radius вся англоязычная и весьма запутанная, в конечном итоге разберемся, но вот сколько сил и времени на это понадобится, непонятно.
Вот и думал, может кто сталкивался с подобным и сможет дать совет.