abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 1
dnes 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 0
dnes 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 6
včera 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
včera 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
včera 22:04 | Pozvánky

Rádi bychom vás pozvali na přednášku o frameworku Avocado. Jedná se o testovací framework další generace, inspirovaný Autotestem a moderními vývojovými nástroji, jako je třeba git. Přednáška se bude konat 23. října od 17 hodin na FEL ČVUT (Karlovo náměstí, budova E, auditorium K9 – KN:E 301). Více informací na Facebooku.

… více »
mjedlick | Komentářů: 0
včera 21:44 | Bezpečnostní upozornění

Nový útok na WPA2 se nazývá KRACK a postihuje prakticky všechna Wi-Fi zařízení / operační systémy. Využívá manipulace s úvodním handshake. Chyba by měla být softwarově opravitelná, je nutné nainstalovat záplaty operačních systémů a aktualizovat firmware zařízení (až budou). Mezitím je doporučeno používat HTTPS a VPN jako další stupeň ochrany.

Václav HFechs Švirga | Komentářů: 3
15.10. 00:11 | Zajímavý projekt

Server Hackaday představuje projekt RainMan 2.0, aneb jak naučit Raspberry Pi 3 s kamerovým modulem pomocí Pythonu a knihovny pro rozpoznávání obrazu OpenCV hrát karetní hru Blackjack. Ukázka rozpoznávání karet na YouTube. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
14.10. 15:11 | IT novinky

Online obchod s počítačovými hrami a elektronickými knihami Humble Bundle byl koupen společností IGN. Dle oficiálních prohlášení by měl Humble Bundle dále fungovat stejně jako dosud.

Ladislav Hagara | Komentářů: 8
14.10. 06:00 | Zajímavý článek

Brendan Gregg již v roce 2008 upozornil (YouTube), že na pevné disky se nemá křičet, že jim to nedělá dobře. Plotny disku se mohou rozkmitat a tím se mohou prodloužit časy odezvy pevného disku. V září letošního roku proběhla v Buenos Aires konference věnovaná počítačové bezpečnosti ekoparty. Alfredo Ortega zde demonstroval (YouTube, pdf), že díky tomu lze pevný disk použít také jako nekvalitní mikrofon. Stačí přesně měřit časy odezvy

… více »
Ladislav Hagara | Komentářů: 8
Těžíte nějakou kryptoměnu?
 (6%)
 (2%)
 (15%)
 (76%)
Celkem 719 hlasů
 Komentářů: 24, poslední 27.9. 08:30
    Rozcestník

    Dotaz: Captive portal

    30.8.2012 21:39 Pavel | skóre: 17
    Captive portal
    Přečteno: 556×
    Zdravim, učím se porozumět této problematice, kterou využívá řada ISP. Není tedy nic snažšího než si to zkoušet doma. Muj plán je následující:
    V síti 192.168.0.0 mám 2 servery. První slouží jako GW s FW a DNS. Ve FW je povolen NAT pro síť 192.168.2.0 Na druhém běží DHCP a WWW. Z jednoho serveru nelze ovládat druhý.
    Pokud se tedy nějaké neznámé zařízení připojí k síti, dostane IP 192.168.1.1 a při přístupu na web se mu zobrazí stránka ISP, kde po vyplnění pár údajů dojde k uložení údajů a autorizaci. Ta proběhne tak, že upravím DHCP list na serveru a klientu bude změněna IP na 192.168.2.1.
    Zároveň na serveru poběží jednoduchá aplikace, která si přečte údaje od klienta a po hodině od registrace změní IP opět na 192.168.1.1 a znefunkční připojení. Moje otázka je jestli je to takto realizovatelné. Jsem si vědom toho, že to neni zrovna efektivní způsob a lze to obejít byť jen pevnou IP adresou, ale pro začátek je to asi to nejsnažší...

    Odpovědi

    mess avatar 30.8.2012 23:28 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Toto opatření není zrovna 2x bezpečné (resp. není vůbec). Navíc, pomocí DHCP nelze vynutit změnu adresy klienta. Maximálně můžeš počkat, až bude klient žádat o obnovení zápůjčky a přidělit mu adresu jinou. To se ale taky můžeš pěkně načekat, takže si myslím, že tudy cesta nevede. Navíc když se jednou klient dozví, přes s jakou IP se dostane do sítě, tak si ji nastaví napevno a na nějakou registraci se ti příště vykašle.

    Já bych viděl 3 varianty:
    1. Implementovat 802.1x, jakožto standardní řešení pro autentizaci.
    2. Nastavíš si VLAN pro uživatele autorizované a pro uživatele neautorizované. Nový uživatel by se připojit do VLAN pro neautorizované a ta tvoje malá aplikace by ho po ověření identity přeřadila do správné VLAN. Případně zkombinovat s předchozím řešením.
    3. Blokovat neautorizované uživatele na firewallu. Ta tvoje aplikace by potom po autentizaci/autorizaci měnila pravidla firewallu. A po uplynutí určitého času by ty pravidla změnila zase zpátky.
    Ale jak se to nastavuje na nějakém konkrétním zařízení, to se mě neptej :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 30.8.2012 23:51 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Možnost č. 4 - nasadit nějakou aplikační bránu, pokud ti jde jenom o omezení HTTP.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:04 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Ano, to by bylo nejlepší řešení, ale připadá mi až moc složité. Předpokládam, že uživatelé budou lidé neznalý, tudíž nebudou si měnit IP adresy. A i kdyby, v tom počtu (cca 5) lidí, snadno uvidím vetřelce. U DHCP mam platnost nastavenou na 60s a funguje to bez problémů, nevidím v tom problém, změnit IP adresu. Navíc toto řešení vyžaduje komunikaci s FW, ale ta není možná. Mám pouze k dispozici server ve stejné podsíti jako klientské PC, proto mi napadlo jediné toto řešení.
    mess avatar 31.8.2012 00:31 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Tvoje "řešení" má ale dva zásadní nedostatky:
    1. Není bezpečné. Ani trochu.
    2. Uživatel bude po ověření čekat až minutu na to, než dostane správnou IP.
    Ještě můžeš na FW blokovat všechen HTTP provoz (porty 80 a 443) a donutit uživatele, aby ve tvé síti používali proxy. A na tom si můžeš dělat, co chceš.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:42 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Pokud moje řešení bude funkční nevidím v tom problém. Bydlím na vesnici, s počtem lidí do 400, odhaduju, že přístup na net má tak 150 lidí, přičemž tak 50 z nich zkoumá wifi sítě. Vlastně za poslední 2 roky, se na moje AP chtělo připojit jen 70 klientů. Navíc jsou zde tři ISP, přičemž všichní maj sítě zabezpečené pouze vypnutím DHCP, takže bezpečnost připojení je srovnatelná. Pro začátek myslím, že stačí.
    mess avatar 31.8.2012 01:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Jestli se chceš připojit do klubu neodborných "ISP", je to tvůj boj :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 01:36 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Já vím, ale to s tim RADIUS serverem se mi líbí taky. Máš s tim nějaké zkušenosti? Lze to nastavit tak, že po novém uživateli to nebude požadovat přihlašovací údaje, ale po registraci už ho to na net bez nich nepustí? Já si nějak nedokážu představit jak by to takle fungovalo.
    mess avatar 31.8.2012 12:25 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Proč chceš na Net pouštět neregistrované uživatele? Aby se jim mohla zobrazit ta přihlašovací stránka? Nebo aby si mohli zařídit registraci?

    Dalo by se to řešit tak, že si nastavíš 2 VLAN - jednu pro neautentizované/neautorizované (nazvěme ji VLAN1) a druhou pro ty, kteří už autentizovaní/autorizovaní jsou (VLAN2).

    Pokud klient neodpoví na požadavek na autentizaci, bude umístěn do VLAN1, jejíž všechen provoz bude směrován třeba na server, kde ti poběží ta registrační aplikace. Tím se zabezpečí, že si člověk u tebe může zařídit registraci, aniž by musel znát přihlašovací údaje.

    Pokud se klient při připojení autentizuje a je mu udělena autorizace, tak je umístěn do VLAN2, jejíž provoz je směrován normálně do Internetu. Tady se o tom něco píše, případně zkus Google.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 12:58 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    chci aby se novému uživateli zobrazila stránka s informací o tom, že se může zaregistrovat do sítě a využívat tak internet, předtím než registraci provede, poběží hodinová zkušební lhůta během níž může taky využít internetu, ovšem s patřičním omezením...
    O to mi právě jde, jestli i když uživatel nezadá přihlašovací údaje, nebo je zadá špatně, aby byl zařazen do VLAN1. Odkaz si jdu přečíst...
    mess avatar 31.8.2012 22:00 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    No a jak chceš ošetřit, aby se po té hodině jen neodpojil a znova nepřipojil (třeba s jinou MAC adresou) a neměl další hodinu zdarma? Já bych spíš ty neregistrované uživatele omezil tak, že by měli přístup třeba jenom na Facebook, Youtube, Senznam, nějaké měření rychlosti a na tvoji registrační stránku a všechno ostatní z té VLAN bych blokoval na tom firewallu.

    S detaily neporadím, nikdy jsem to neměl v rukách, jsem spíš teoretik :-D
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 23:11 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak zrovna Facebook bych nechal zakázanej :-D A jak jsem již psal výše, nečekam připojení tak zkušených lidí, a pokud jo, snaha se cení a zaslouží si být připojeni déle než ostatní :) Problémem ale bude, že neni možná dynamická konfigurace FW, takže asi stejně skončim u mého navrhovaného řešení
    mess avatar 31.8.2012 23:18 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    U tohohle řešení by dynamická konfigurace firewallu nemusela být. Ty VLANy mají oddělené adresové prostory, takže ve FW by byly cca tyto pravida: (VLAN1 bude 192.168.11.0/24, VLAN2 bude 192.168.12.0/24).
    1. Ze sítě 192.168.12.0/24 povol provoz všude.
    2. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres X.
    3. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres Y.
    4. Ze sítě 192.168.11.0/24 zakaž všecko ostatní.
    A o přehazování klientů mezi VLANy se postará AP/switch podle toho, jak dopadne autentizace přes 802.1x, tam nepotřebuješ hrabat do firewallu.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 00:50 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A bude to imunní pokud si uživatel nastaví IP napevno?
    Jendа avatar 1.9.2012 01:19 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Captive portal
    Ne, stejně, jako když si nastaví MAC napevno. To je prostě vlastnost captive portálů a tak to by-design funguje.
    1.9.2012 01:25 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak pak v tom nevidim výhodu oproti mému návrhu
    mess avatar 1.9.2012 11:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Mějme tři předpoklady:
    1. WiFi AP, zabezpečení pomocí WPA2.
    2. Autentizace pomocí 802.1x (na 2. vrstvě modelu ISO/OSI).
    3. Řešení se dvěma VLAN (viz výše).
    Dohromady se tomu někdy říká "WPA2 Enterprise".

    Toto má následující důsledky:
    • Uživatel, jehož síťový adaptér (potažmo MAC adresa) není autentizovaná, bude zařazen do VLAN1. Pokud si takový uživatel nastaví jinou MAC (např. si nějak zjistí některou z autentizovaných), pořád nezná přihlašovací údaje, aby prošel přes 802.1x. A pokud nezná tyto údaje, spadne zase do VLAN1.
    • Pokud si uživatel nastaví IP adresu z VLAN2, tak se nepřipojí vůbec nikam, protože bude pořád součástí VLAN1, takže pokud si nastaví adresu z jiné sítě, tak to nebude fungovat. VLANy jsou oddělené někde mezi 1. a 2. síťovou vrstvou (ne až podle IP na 3. vrstvě). O oddělení VLAN se stará switch/AP a funguje to tak, že každý port switche (nebo klient na AP) je přiřazen do určité VLAN, takže to nezáleží na jejich adresaci, ať už na 2. nebo na 3. vrstvě. Přiřazení portů do jednotlivých VLAN může switch dynamicky měnit, ale klient to nemá šanci nijak ovlivnit.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 15:20 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Už se v tom trochu orientuju, jen mi není jasné to oddělení, lze použít obyčejné AP, které umožňuje WPA2 - radius, nebo je potřeba nějaké speciální?
    mess avatar 1.9.2012 15:38 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na tom AP budeš potřebovat podporu WPA2, Radius, 802.1x (to celé se někdy označuje jako WPA2 Enterprise) a VLAN. Jak konkrétně se to které AP nastaví, aby uživatele přehazovalo mezi těma VLAN, to záleží už na něm. A potom samozřejmě budeš potřebovat nějaký Radius server.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 1.9.2012 16:16 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Ještě dodatek - ne všechna zařízení podporují takovéhle šachování s přiřazením uživatelů do VLAN, tak na to taky bacha, až budeš nějaké vybírat :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 16:49 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A nějakej tip nemáš? RB?
    mess avatar 1.9.2012 17:27 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na fóru MikroTiku se píše něco v tom smyslu, že by to mělo jít. Tebe by zajímal poslední příspěvek. Ve stručnosti píše se tam zhruba toto:
    1. Na RB si vytvoříš pro každou VLAN interface.
    2. Na RB vytvoříš pro každou VLAN pravidla ve Firewallu, které budou posílat její provoz na její virtuální interface (který jsi vytvořil v předchozím kroku) a budou z daného rozhraní pakety číst. Pro každou VLAN dáš ty pravidla do jiného chainu (název chainu doporučuju volit podle označení VLAN).
    3. Na Radiusu použiješ u uživatele vlastnost Filter-Id, do které napíšeš název chainu pro VLAN (z předchozího kroku), do které má ten uživatel patřit.
    4. Ostatní pravidla firewallu nastavíš tak, aby byl ostatní provoz směřován do výchozí VLAN (nebo kam budeš chtít). (Hu, routování pomocí firewallu? :-D).
    S trochou štěstí by to mohlo takhle nějak fungovat. Ještě přidám odkazy (které jsou i na tom odkazovaném fóru).
    http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
    http://wiki.mikrotik.com/wiki/Manual:PPP_AAA#User_Profiles
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.