abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 02:00 | Nová verze

Byla vydána stabilní verze 2.0 linuxové distribuce Lakka, jež umožňuje transformovat podporované počítače v herní konzole. Lakka 2.0 obsahuje například LibreELEC 8.0 nebo RetroArch 1.5.0.

Ladislav Hagara | Komentářů: 2
včera 23:44 | Pozvánky

24. 5. 2017 od 9:00 proběhne v Brně na Fakultě informatiky MU (Botanická 68a) v místnosti D2 jednodenní konference Industry Cocktail (Facebook), na které máš šanci nahlédnout do způsobů využití nových technologií v aktuálních projektech z různých průmyslových odvětví. To, že složité problémy se neřeší jen v laboratořích a způsoby, jakými se s nimi vypořádat v praxi, rozeberou přednášející z jednotlivých firem.

mjedlick | Komentářů: 0
včera 23:33 | Nová verze

Byla vydána verze 0.69 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešen je také bezpečnostní problém ve verzi pro Windows.

Ladislav Hagara | Komentářů: 0
28.4. 13:11 | Nová verze

Po téměř dvou letech byla vydána nová verze 4.0 linuxové distribuce Audiophile Linux (též AP-Linux-V4). Tato distribuce vychází z Arch Linuxu, používá systemd, správce oken Fluxbox a vlastní real-time jádro pro nižší latence. Z novinek můžeme jmenovat podporu nových procesorů Intel Skylake a Kaby Lake nebo možnost instalace vedle jiných OS na stejný disk. Pokud se zajímáte o přehrávání hudby v Linuxu, doporučuji návštěvu webu této

… více »
Blaazen | Komentářů: 7
27.4. 18:55 | Nová verze

Byla vydána nová stabilní verze 1.9 (1.9.818.44) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují podporu nového vyhledávače Ecosia. Ten z příjmů z reklam podporuje výsadbu stromů po celém světě (YouTube). Nově lze přeskupovat ikonky rozšíření nebo řadit poznámky. Nejnovější Vivaldi je postaveno na Chromiu 58.0.3029.82.

Ladislav Hagara | Komentářů: 20
27.4. 17:00 | Nová verze

Byla vydána verze 3.7.0 svobodného systému pro správu obsahu (CMS) Joomla!. V oznámení o vydání (YouTube) se píše o 700 vylepšeních. Opraveno bylo také 8 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 1
27.4. 08:22 | Komunita

Grsecurity (Wikipedie) je sada bezpečnostních patchů pro linuxové jádro (porovnání se SELinuxem, AppArmorem a KSPP). Od září 2015 nejsou stabilní verze těchto patchů volně k dispozici. Dle včerejšího oznámení (FAQ) nejsou s okamžitou platností volně k dispozici už ani jejich testovací verze.

Ladislav Hagara | Komentářů: 80
26.4. 23:33 | Komunita

OpenBSD 6.1 vyšlo již 11. dubna. Po dvou týdnech byla vydána i oficiální píseň. Její název je Winter of 95 a k dispozici je ve formátech MP3 a OGG.

Ladislav Hagara | Komentářů: 0
26.4. 18:55 | Nová verze

Byla vydána verze 2017.1 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux. S vydáním verze 2016.1 se Kali Linux stal průběžně aktualizovanou distribucí. Aktualizovat jej lze pomocí příkazů "apt update; apt dist-upgrade; reboot".

Ladislav Hagara | Komentářů: 0
26.4. 18:22 | Nová verze

Po téměř pěti letech od vydání verze 2.00 byla vydána nová stabilní verze 2.02 systémového zavaděče GNU GRUB (GRand Unified Bootloader). Přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 28
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (35%)
 (1%)
 (6%)
 (45%)
 (9%)
Celkem 348 hlasů
 Komentářů: 50, poslední 27.4. 04:06
    Rozcestník

    Dotaz: Captive portal

    30.8.2012 21:39 Pavel | skóre: 17
    Captive portal
    Přečteno: 548×
    Zdravim, učím se porozumět této problematice, kterou využívá řada ISP. Není tedy nic snažšího než si to zkoušet doma. Muj plán je následující:
    V síti 192.168.0.0 mám 2 servery. První slouží jako GW s FW a DNS. Ve FW je povolen NAT pro síť 192.168.2.0 Na druhém běží DHCP a WWW. Z jednoho serveru nelze ovládat druhý.
    Pokud se tedy nějaké neznámé zařízení připojí k síti, dostane IP 192.168.1.1 a při přístupu na web se mu zobrazí stránka ISP, kde po vyplnění pár údajů dojde k uložení údajů a autorizaci. Ta proběhne tak, že upravím DHCP list na serveru a klientu bude změněna IP na 192.168.2.1.
    Zároveň na serveru poběží jednoduchá aplikace, která si přečte údaje od klienta a po hodině od registrace změní IP opět na 192.168.1.1 a znefunkční připojení. Moje otázka je jestli je to takto realizovatelné. Jsem si vědom toho, že to neni zrovna efektivní způsob a lze to obejít byť jen pevnou IP adresou, ale pro začátek je to asi to nejsnažší...

    Odpovědi

    mess avatar 30.8.2012 23:28 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Toto opatření není zrovna 2x bezpečné (resp. není vůbec). Navíc, pomocí DHCP nelze vynutit změnu adresy klienta. Maximálně můžeš počkat, až bude klient žádat o obnovení zápůjčky a přidělit mu adresu jinou. To se ale taky můžeš pěkně načekat, takže si myslím, že tudy cesta nevede. Navíc když se jednou klient dozví, přes s jakou IP se dostane do sítě, tak si ji nastaví napevno a na nějakou registraci se ti příště vykašle.

    Já bych viděl 3 varianty:
    1. Implementovat 802.1x, jakožto standardní řešení pro autentizaci.
    2. Nastavíš si VLAN pro uživatele autorizované a pro uživatele neautorizované. Nový uživatel by se připojit do VLAN pro neautorizované a ta tvoje malá aplikace by ho po ověření identity přeřadila do správné VLAN. Případně zkombinovat s předchozím řešením.
    3. Blokovat neautorizované uživatele na firewallu. Ta tvoje aplikace by potom po autentizaci/autorizaci měnila pravidla firewallu. A po uplynutí určitého času by ty pravidla změnila zase zpátky.
    Ale jak se to nastavuje na nějakém konkrétním zařízení, to se mě neptej :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 30.8.2012 23:51 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Možnost č. 4 - nasadit nějakou aplikační bránu, pokud ti jde jenom o omezení HTTP.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:04 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Ano, to by bylo nejlepší řešení, ale připadá mi až moc složité. Předpokládam, že uživatelé budou lidé neznalý, tudíž nebudou si měnit IP adresy. A i kdyby, v tom počtu (cca 5) lidí, snadno uvidím vetřelce. U DHCP mam platnost nastavenou na 60s a funguje to bez problémů, nevidím v tom problém, změnit IP adresu. Navíc toto řešení vyžaduje komunikaci s FW, ale ta není možná. Mám pouze k dispozici server ve stejné podsíti jako klientské PC, proto mi napadlo jediné toto řešení.
    mess avatar 31.8.2012 00:31 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Tvoje "řešení" má ale dva zásadní nedostatky:
    1. Není bezpečné. Ani trochu.
    2. Uživatel bude po ověření čekat až minutu na to, než dostane správnou IP.
    Ještě můžeš na FW blokovat všechen HTTP provoz (porty 80 a 443) a donutit uživatele, aby ve tvé síti používali proxy. A na tom si můžeš dělat, co chceš.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:42 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Pokud moje řešení bude funkční nevidím v tom problém. Bydlím na vesnici, s počtem lidí do 400, odhaduju, že přístup na net má tak 150 lidí, přičemž tak 50 z nich zkoumá wifi sítě. Vlastně za poslední 2 roky, se na moje AP chtělo připojit jen 70 klientů. Navíc jsou zde tři ISP, přičemž všichní maj sítě zabezpečené pouze vypnutím DHCP, takže bezpečnost připojení je srovnatelná. Pro začátek myslím, že stačí.
    mess avatar 31.8.2012 01:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Jestli se chceš připojit do klubu neodborných "ISP", je to tvůj boj :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 01:36 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Já vím, ale to s tim RADIUS serverem se mi líbí taky. Máš s tim nějaké zkušenosti? Lze to nastavit tak, že po novém uživateli to nebude požadovat přihlašovací údaje, ale po registraci už ho to na net bez nich nepustí? Já si nějak nedokážu představit jak by to takle fungovalo.
    mess avatar 31.8.2012 12:25 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Proč chceš na Net pouštět neregistrované uživatele? Aby se jim mohla zobrazit ta přihlašovací stránka? Nebo aby si mohli zařídit registraci?

    Dalo by se to řešit tak, že si nastavíš 2 VLAN - jednu pro neautentizované/neautorizované (nazvěme ji VLAN1) a druhou pro ty, kteří už autentizovaní/autorizovaní jsou (VLAN2).

    Pokud klient neodpoví na požadavek na autentizaci, bude umístěn do VLAN1, jejíž všechen provoz bude směrován třeba na server, kde ti poběží ta registrační aplikace. Tím se zabezpečí, že si člověk u tebe může zařídit registraci, aniž by musel znát přihlašovací údaje.

    Pokud se klient při připojení autentizuje a je mu udělena autorizace, tak je umístěn do VLAN2, jejíž provoz je směrován normálně do Internetu. Tady se o tom něco píše, případně zkus Google.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 12:58 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    chci aby se novému uživateli zobrazila stránka s informací o tom, že se může zaregistrovat do sítě a využívat tak internet, předtím než registraci provede, poběží hodinová zkušební lhůta během níž může taky využít internetu, ovšem s patřičním omezením...
    O to mi právě jde, jestli i když uživatel nezadá přihlašovací údaje, nebo je zadá špatně, aby byl zařazen do VLAN1. Odkaz si jdu přečíst...
    mess avatar 31.8.2012 22:00 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    No a jak chceš ošetřit, aby se po té hodině jen neodpojil a znova nepřipojil (třeba s jinou MAC adresou) a neměl další hodinu zdarma? Já bych spíš ty neregistrované uživatele omezil tak, že by měli přístup třeba jenom na Facebook, Youtube, Senznam, nějaké měření rychlosti a na tvoji registrační stránku a všechno ostatní z té VLAN bych blokoval na tom firewallu.

    S detaily neporadím, nikdy jsem to neměl v rukách, jsem spíš teoretik :-D
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 23:11 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak zrovna Facebook bych nechal zakázanej :-D A jak jsem již psal výše, nečekam připojení tak zkušených lidí, a pokud jo, snaha se cení a zaslouží si být připojeni déle než ostatní :) Problémem ale bude, že neni možná dynamická konfigurace FW, takže asi stejně skončim u mého navrhovaného řešení
    mess avatar 31.8.2012 23:18 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    U tohohle řešení by dynamická konfigurace firewallu nemusela být. Ty VLANy mají oddělené adresové prostory, takže ve FW by byly cca tyto pravida: (VLAN1 bude 192.168.11.0/24, VLAN2 bude 192.168.12.0/24).
    1. Ze sítě 192.168.12.0/24 povol provoz všude.
    2. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres X.
    3. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres Y.
    4. Ze sítě 192.168.11.0/24 zakaž všecko ostatní.
    A o přehazování klientů mezi VLANy se postará AP/switch podle toho, jak dopadne autentizace přes 802.1x, tam nepotřebuješ hrabat do firewallu.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 00:50 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A bude to imunní pokud si uživatel nastaví IP napevno?
    Jendа avatar 1.9.2012 01:19 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Captive portal
    Ne, stejně, jako když si nastaví MAC napevno. To je prostě vlastnost captive portálů a tak to by-design funguje.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    1.9.2012 01:25 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak pak v tom nevidim výhodu oproti mému návrhu
    mess avatar 1.9.2012 11:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Mějme tři předpoklady:
    1. WiFi AP, zabezpečení pomocí WPA2.
    2. Autentizace pomocí 802.1x (na 2. vrstvě modelu ISO/OSI).
    3. Řešení se dvěma VLAN (viz výše).
    Dohromady se tomu někdy říká "WPA2 Enterprise".

    Toto má následující důsledky:
    • Uživatel, jehož síťový adaptér (potažmo MAC adresa) není autentizovaná, bude zařazen do VLAN1. Pokud si takový uživatel nastaví jinou MAC (např. si nějak zjistí některou z autentizovaných), pořád nezná přihlašovací údaje, aby prošel přes 802.1x. A pokud nezná tyto údaje, spadne zase do VLAN1.
    • Pokud si uživatel nastaví IP adresu z VLAN2, tak se nepřipojí vůbec nikam, protože bude pořád součástí VLAN1, takže pokud si nastaví adresu z jiné sítě, tak to nebude fungovat. VLANy jsou oddělené někde mezi 1. a 2. síťovou vrstvou (ne až podle IP na 3. vrstvě). O oddělení VLAN se stará switch/AP a funguje to tak, že každý port switche (nebo klient na AP) je přiřazen do určité VLAN, takže to nezáleží na jejich adresaci, ať už na 2. nebo na 3. vrstvě. Přiřazení portů do jednotlivých VLAN může switch dynamicky měnit, ale klient to nemá šanci nijak ovlivnit.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 15:20 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Už se v tom trochu orientuju, jen mi není jasné to oddělení, lze použít obyčejné AP, které umožňuje WPA2 - radius, nebo je potřeba nějaké speciální?
    mess avatar 1.9.2012 15:38 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na tom AP budeš potřebovat podporu WPA2, Radius, 802.1x (to celé se někdy označuje jako WPA2 Enterprise) a VLAN. Jak konkrétně se to které AP nastaví, aby uživatele přehazovalo mezi těma VLAN, to záleží už na něm. A potom samozřejmě budeš potřebovat nějaký Radius server.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 1.9.2012 16:16 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Ještě dodatek - ne všechna zařízení podporují takovéhle šachování s přiřazením uživatelů do VLAN, tak na to taky bacha, až budeš nějaké vybírat :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 16:49 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A nějakej tip nemáš? RB?
    mess avatar 1.9.2012 17:27 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na fóru MikroTiku se píše něco v tom smyslu, že by to mělo jít. Tebe by zajímal poslední příspěvek. Ve stručnosti píše se tam zhruba toto:
    1. Na RB si vytvoříš pro každou VLAN interface.
    2. Na RB vytvoříš pro každou VLAN pravidla ve Firewallu, které budou posílat její provoz na její virtuální interface (který jsi vytvořil v předchozím kroku) a budou z daného rozhraní pakety číst. Pro každou VLAN dáš ty pravidla do jiného chainu (název chainu doporučuju volit podle označení VLAN).
    3. Na Radiusu použiješ u uživatele vlastnost Filter-Id, do které napíšeš název chainu pro VLAN (z předchozího kroku), do které má ten uživatel patřit.
    4. Ostatní pravidla firewallu nastavíš tak, aby byl ostatní provoz směřován do výchozí VLAN (nebo kam budeš chtít). (Hu, routování pomocí firewallu? :-D).
    S trochou štěstí by to mohlo takhle nějak fungovat. Ještě přidám odkazy (které jsou i na tom odkazovaném fóru).
    http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
    http://wiki.mikrotik.com/wiki/Manual:PPP_AAA#User_Profiles
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.