abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 0
dnes 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 0
dnes 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
dnes 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
dnes 00:11 | Zajímavý článek

Výrobce síťových prvků, společnost Netgear, spustila nový program, který slibuje vývojářům, expertům, ale i běžným uživatelům vyplacení finanční odměny za nalezení bezpečnostních chyby v jejich produktech. Za nalezení zranitelnosti v hardware, API nebo mobilní aplikaci nabízí odměnu od 150 do 15 tisíc dolarů (dle závažnosti).

Michal Makovec | Komentářů: 0
dnes 00:08 | Pozvánky

V sobotu 18. 2. se v Praze v prostorách VŠE uskuteční od 9:30 již 4. ročník největší české konference o open source redakčním systému WordPress (WP) - WordCamp Praha 2017.

… více »
smíťa | Komentářů: 0
včera 23:58 | Komunita

Kryptoměnová komunita zahájila nový rok spuštěním projektu Blockchain.cz, jehož cílem je kolektivně nalézt ideální překlad pro čím dál frekventovanější slovo „blockchain“. Přispět návrhem může kdokoli. Sběr bude trvat až do konce září 2017. Následně bude probíhat dvoutýdenní veřejné hlasování, které bude zakončeno výběrem toho nejlepšího návrhu.

xHire | Komentářů: 8
včera 15:55 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno je celkově 270 bezpečnostních chyb. V Oracle Java SE je například opraveno 17 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 16 z nich. V Oracle MySQL je opraveno 27 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 5 z nich.

Ladislav Hagara | Komentářů: 0
včera 02:48 | Nová verze

Po půl roce od vydání verze 9.0 (zprávička) byla vydána verze 10.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 31
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 337 hlasů
 Komentářů: 24, poslední 17.1. 10:14
    Rozcestník
    Reklama

    Dotaz: Captive portal

    30.8.2012 21:39 Pavel | skóre: 17
    Captive portal
    Přečteno: 539×
    Zdravim, učím se porozumět této problematice, kterou využívá řada ISP. Není tedy nic snažšího než si to zkoušet doma. Muj plán je následující:
    V síti 192.168.0.0 mám 2 servery. První slouží jako GW s FW a DNS. Ve FW je povolen NAT pro síť 192.168.2.0 Na druhém běží DHCP a WWW. Z jednoho serveru nelze ovládat druhý.
    Pokud se tedy nějaké neznámé zařízení připojí k síti, dostane IP 192.168.1.1 a při přístupu na web se mu zobrazí stránka ISP, kde po vyplnění pár údajů dojde k uložení údajů a autorizaci. Ta proběhne tak, že upravím DHCP list na serveru a klientu bude změněna IP na 192.168.2.1.
    Zároveň na serveru poběží jednoduchá aplikace, která si přečte údaje od klienta a po hodině od registrace změní IP opět na 192.168.1.1 a znefunkční připojení. Moje otázka je jestli je to takto realizovatelné. Jsem si vědom toho, že to neni zrovna efektivní způsob a lze to obejít byť jen pevnou IP adresou, ale pro začátek je to asi to nejsnažší...

    Odpovědi

    mess avatar 30.8.2012 23:28 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Toto opatření není zrovna 2x bezpečné (resp. není vůbec). Navíc, pomocí DHCP nelze vynutit změnu adresy klienta. Maximálně můžeš počkat, až bude klient žádat o obnovení zápůjčky a přidělit mu adresu jinou. To se ale taky můžeš pěkně načekat, takže si myslím, že tudy cesta nevede. Navíc když se jednou klient dozví, přes s jakou IP se dostane do sítě, tak si ji nastaví napevno a na nějakou registraci se ti příště vykašle.

    Já bych viděl 3 varianty:
    1. Implementovat 802.1x, jakožto standardní řešení pro autentizaci.
    2. Nastavíš si VLAN pro uživatele autorizované a pro uživatele neautorizované. Nový uživatel by se připojit do VLAN pro neautorizované a ta tvoje malá aplikace by ho po ověření identity přeřadila do správné VLAN. Případně zkombinovat s předchozím řešením.
    3. Blokovat neautorizované uživatele na firewallu. Ta tvoje aplikace by potom po autentizaci/autorizaci měnila pravidla firewallu. A po uplynutí určitého času by ty pravidla změnila zase zpátky.
    Ale jak se to nastavuje na nějakém konkrétním zařízení, to se mě neptej :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 30.8.2012 23:51 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Možnost č. 4 - nasadit nějakou aplikační bránu, pokud ti jde jenom o omezení HTTP.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:04 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Ano, to by bylo nejlepší řešení, ale připadá mi až moc složité. Předpokládam, že uživatelé budou lidé neznalý, tudíž nebudou si měnit IP adresy. A i kdyby, v tom počtu (cca 5) lidí, snadno uvidím vetřelce. U DHCP mam platnost nastavenou na 60s a funguje to bez problémů, nevidím v tom problém, změnit IP adresu. Navíc toto řešení vyžaduje komunikaci s FW, ale ta není možná. Mám pouze k dispozici server ve stejné podsíti jako klientské PC, proto mi napadlo jediné toto řešení.
    mess avatar 31.8.2012 00:31 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Tvoje "řešení" má ale dva zásadní nedostatky:
    1. Není bezpečné. Ani trochu.
    2. Uživatel bude po ověření čekat až minutu na to, než dostane správnou IP.
    Ještě můžeš na FW blokovat všechen HTTP provoz (porty 80 a 443) a donutit uživatele, aby ve tvé síti používali proxy. A na tom si můžeš dělat, co chceš.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:42 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Pokud moje řešení bude funkční nevidím v tom problém. Bydlím na vesnici, s počtem lidí do 400, odhaduju, že přístup na net má tak 150 lidí, přičemž tak 50 z nich zkoumá wifi sítě. Vlastně za poslední 2 roky, se na moje AP chtělo připojit jen 70 klientů. Navíc jsou zde tři ISP, přičemž všichní maj sítě zabezpečené pouze vypnutím DHCP, takže bezpečnost připojení je srovnatelná. Pro začátek myslím, že stačí.
    mess avatar 31.8.2012 01:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Jestli se chceš připojit do klubu neodborných "ISP", je to tvůj boj :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 01:36 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Já vím, ale to s tim RADIUS serverem se mi líbí taky. Máš s tim nějaké zkušenosti? Lze to nastavit tak, že po novém uživateli to nebude požadovat přihlašovací údaje, ale po registraci už ho to na net bez nich nepustí? Já si nějak nedokážu představit jak by to takle fungovalo.
    mess avatar 31.8.2012 12:25 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Proč chceš na Net pouštět neregistrované uživatele? Aby se jim mohla zobrazit ta přihlašovací stránka? Nebo aby si mohli zařídit registraci?

    Dalo by se to řešit tak, že si nastavíš 2 VLAN - jednu pro neautentizované/neautorizované (nazvěme ji VLAN1) a druhou pro ty, kteří už autentizovaní/autorizovaní jsou (VLAN2).

    Pokud klient neodpoví na požadavek na autentizaci, bude umístěn do VLAN1, jejíž všechen provoz bude směrován třeba na server, kde ti poběží ta registrační aplikace. Tím se zabezpečí, že si člověk u tebe může zařídit registraci, aniž by musel znát přihlašovací údaje.

    Pokud se klient při připojení autentizuje a je mu udělena autorizace, tak je umístěn do VLAN2, jejíž provoz je směrován normálně do Internetu. Tady se o tom něco píše, případně zkus Google.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 12:58 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    chci aby se novému uživateli zobrazila stránka s informací o tom, že se může zaregistrovat do sítě a využívat tak internet, předtím než registraci provede, poběží hodinová zkušební lhůta během níž může taky využít internetu, ovšem s patřičním omezením...
    O to mi právě jde, jestli i když uživatel nezadá přihlašovací údaje, nebo je zadá špatně, aby byl zařazen do VLAN1. Odkaz si jdu přečíst...
    mess avatar 31.8.2012 22:00 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    No a jak chceš ošetřit, aby se po té hodině jen neodpojil a znova nepřipojil (třeba s jinou MAC adresou) a neměl další hodinu zdarma? Já bych spíš ty neregistrované uživatele omezil tak, že by měli přístup třeba jenom na Facebook, Youtube, Senznam, nějaké měření rychlosti a na tvoji registrační stránku a všechno ostatní z té VLAN bych blokoval na tom firewallu.

    S detaily neporadím, nikdy jsem to neměl v rukách, jsem spíš teoretik :-D
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 23:11 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak zrovna Facebook bych nechal zakázanej :-D A jak jsem již psal výše, nečekam připojení tak zkušených lidí, a pokud jo, snaha se cení a zaslouží si být připojeni déle než ostatní :) Problémem ale bude, že neni možná dynamická konfigurace FW, takže asi stejně skončim u mého navrhovaného řešení
    mess avatar 31.8.2012 23:18 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    U tohohle řešení by dynamická konfigurace firewallu nemusela být. Ty VLANy mají oddělené adresové prostory, takže ve FW by byly cca tyto pravida: (VLAN1 bude 192.168.11.0/24, VLAN2 bude 192.168.12.0/24).
    1. Ze sítě 192.168.12.0/24 povol provoz všude.
    2. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres X.
    3. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres Y.
    4. Ze sítě 192.168.11.0/24 zakaž všecko ostatní.
    A o přehazování klientů mezi VLANy se postará AP/switch podle toho, jak dopadne autentizace přes 802.1x, tam nepotřebuješ hrabat do firewallu.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 00:50 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A bude to imunní pokud si uživatel nastaví IP napevno?
    Jendа avatar 1.9.2012 01:19 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Captive portal
    Ne, stejně, jako když si nastaví MAC napevno. To je prostě vlastnost captive portálů a tak to by-design funguje.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    1.9.2012 01:25 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak pak v tom nevidim výhodu oproti mému návrhu
    mess avatar 1.9.2012 11:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Mějme tři předpoklady:
    1. WiFi AP, zabezpečení pomocí WPA2.
    2. Autentizace pomocí 802.1x (na 2. vrstvě modelu ISO/OSI).
    3. Řešení se dvěma VLAN (viz výše).
    Dohromady se tomu někdy říká "WPA2 Enterprise".

    Toto má následující důsledky:
    • Uživatel, jehož síťový adaptér (potažmo MAC adresa) není autentizovaná, bude zařazen do VLAN1. Pokud si takový uživatel nastaví jinou MAC (např. si nějak zjistí některou z autentizovaných), pořád nezná přihlašovací údaje, aby prošel přes 802.1x. A pokud nezná tyto údaje, spadne zase do VLAN1.
    • Pokud si uživatel nastaví IP adresu z VLAN2, tak se nepřipojí vůbec nikam, protože bude pořád součástí VLAN1, takže pokud si nastaví adresu z jiné sítě, tak to nebude fungovat. VLANy jsou oddělené někde mezi 1. a 2. síťovou vrstvou (ne až podle IP na 3. vrstvě). O oddělení VLAN se stará switch/AP a funguje to tak, že každý port switche (nebo klient na AP) je přiřazen do určité VLAN, takže to nezáleží na jejich adresaci, ať už na 2. nebo na 3. vrstvě. Přiřazení portů do jednotlivých VLAN může switch dynamicky měnit, ale klient to nemá šanci nijak ovlivnit.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 15:20 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Už se v tom trochu orientuju, jen mi není jasné to oddělení, lze použít obyčejné AP, které umožňuje WPA2 - radius, nebo je potřeba nějaké speciální?
    mess avatar 1.9.2012 15:38 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na tom AP budeš potřebovat podporu WPA2, Radius, 802.1x (to celé se někdy označuje jako WPA2 Enterprise) a VLAN. Jak konkrétně se to které AP nastaví, aby uživatele přehazovalo mezi těma VLAN, to záleží už na něm. A potom samozřejmě budeš potřebovat nějaký Radius server.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 1.9.2012 16:16 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Ještě dodatek - ne všechna zařízení podporují takovéhle šachování s přiřazením uživatelů do VLAN, tak na to taky bacha, až budeš nějaké vybírat :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 16:49 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A nějakej tip nemáš? RB?
    mess avatar 1.9.2012 17:27 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na fóru MikroTiku se píše něco v tom smyslu, že by to mělo jít. Tebe by zajímal poslední příspěvek. Ve stručnosti píše se tam zhruba toto:
    1. Na RB si vytvoříš pro každou VLAN interface.
    2. Na RB vytvoříš pro každou VLAN pravidla ve Firewallu, které budou posílat její provoz na její virtuální interface (který jsi vytvořil v předchozím kroku) a budou z daného rozhraní pakety číst. Pro každou VLAN dáš ty pravidla do jiného chainu (název chainu doporučuju volit podle označení VLAN).
    3. Na Radiusu použiješ u uživatele vlastnost Filter-Id, do které napíšeš název chainu pro VLAN (z předchozího kroku), do které má ten uživatel patřit.
    4. Ostatní pravidla firewallu nastavíš tak, aby byl ostatní provoz směřován do výchozí VLAN (nebo kam budeš chtít). (Hu, routování pomocí firewallu? :-D).
    S trochou štěstí by to mohlo takhle nějak fungovat. Ještě přidám odkazy (které jsou i na tom odkazovaném fóru).
    http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
    http://wiki.mikrotik.com/wiki/Manual:PPP_AAA#User_Profiles
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.