abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Pingora 0.2.0
    11.5. 18:22 | Nová verze

    Byla vydána verze 0.2.0 v Rustu napsaného frameworku Pingora pro vytváření rychlých, spolehlivých a programovatelných síťových systémů. Společnost Cloudflare jej letos v únoru uvolnila pod licencí Apache 2.0.

    Ladislav Hagara | Komentářů: 0
    xrdp 0.10.0
    10.5. 19:11 | Nová verze

    Open source RDP (Remote Desktop Protocol) server xrdp (Wikipedie) byl vydán ve verzi 0.10.0. Z novinek je vypíchnuta podpora GFX (Graphic Pipeline Extension). Nová větev řeší také několik bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 13
    Rocky Linux 9.4
    10.5. 04:11 | Nová verze

    Rocky Linux byl vydán v nové stabilní verzi 9.4. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Dellu byla odcizena databáze zákazníků
    9.5. 22:22 | Bezpečnostní upozornění

    Dellu byla odcizena databáze zákazníků (jméno, adresa, seznam zakoupených produktů) [Customer Care, Bleeping Computer].

    Ladislav Hagara | Komentářů: 22
    Kdy Zed na Linuxu?
    9.5. 21:11 | Zajímavý článek

    V lednu byl otevřen editor kódů Zed od autorů editoru Atom a Tree-sitter. Tenkrát běžel pouze na macOS. Byl napevno svázán s Metalem. Situace se ale postupně mění. V aktuálním příspěvku Kdy Zed na Linuxu? na blogu Zedu vývojáři popisují aktuální stav. Blíží se alfa verze.

    Ladislav Hagara | Komentářů: 53
    Maker Faire Prague
    9.5. 14:33 | Pozvánky

    O víkendu 11. a 12. května lze navštívit Maker Faire Prague, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

    Ladislav Hagara | Komentářů: 0
    Fedora Asahi Remix 40
    8.5. 21:55 | Nová verze

    Byl vydán Fedora Asahi Remix 40, tj. linuxová distribuce pro Apple Silicon vycházející z Fedora Linuxu 40.

    Ladislav Hagara | Komentářů: 20
    Raspberry Pi Connect
    8.5. 20:22 | IT novinky

    Představena byla služba Raspberry Pi Connect usnadňující vzdálený grafický přístup k vašim Raspberry Pi z webového prohlížeče. Odkudkoli. Zdarma. Zatím v beta verzi. Detaily v dokumentaci.

    Ladislav Hagara | Komentářů: 7
    Trinity Desktop Environment (TDE) R14.1.2
    8.5. 12:55 | Nová verze

    Byla vydána verze R14.1.2 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.

    JZD | Komentářů: 0
    Google Store již také v Česku
    7.5. 18:55 | IT novinky

    Dnešním dnem lze již také v Česku nakupovat na Google Store (telefony a sluchátka Google Pixel).

    Ladislav Hagara | Komentářů: 10
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (68%)
     (7%)
     (12%)
     (13%)
    Celkem 189 hlasů
     Komentářů: 11, poslední 10.5. 18:00
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Captive portal
    Štítky: DHCP, DNS, Internet, ISP, NAT, registrace, síť, sítě, uložení, web

    Dotaz: Captive portal

    30.8.2012 21:39 Pavel | skóre: 17
    Captive portal
    Přečteno: 633×
    Zdravim, učím se porozumět této problematice, kterou využívá řada ISP. Není tedy nic snažšího než si to zkoušet doma. Muj plán je následující:
    V síti 192.168.0.0 mám 2 servery. První slouží jako GW s FW a DNS. Ve FW je povolen NAT pro síť 192.168.2.0 Na druhém běží DHCP a WWW. Z jednoho serveru nelze ovládat druhý.
    Pokud se tedy nějaké neznámé zařízení připojí k síti, dostane IP 192.168.1.1 a při přístupu na web se mu zobrazí stránka ISP, kde po vyplnění pár údajů dojde k uložení údajů a autorizaci. Ta proběhne tak, že upravím DHCP list na serveru a klientu bude změněna IP na 192.168.2.1.
    Zároveň na serveru poběží jednoduchá aplikace, která si přečte údaje od klienta a po hodině od registrace změní IP opět na 192.168.1.1 a znefunkční připojení. Moje otázka je jestli je to takto realizovatelné. Jsem si vědom toho, že to neni zrovna efektivní způsob a lze to obejít byť jen pevnou IP adresou, ale pro začátek je to asi to nejsnažší...
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    mess avatar 30.8.2012 23:28 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Toto opatření není zrovna 2x bezpečné (resp. není vůbec). Navíc, pomocí DHCP nelze vynutit změnu adresy klienta. Maximálně můžeš počkat, až bude klient žádat o obnovení zápůjčky a přidělit mu adresu jinou. To se ale taky můžeš pěkně načekat, takže si myslím, že tudy cesta nevede. Navíc když se jednou klient dozví, přes s jakou IP se dostane do sítě, tak si ji nastaví napevno a na nějakou registraci se ti příště vykašle.

    Já bych viděl 3 varianty:
    1. Implementovat 802.1x, jakožto standardní řešení pro autentizaci.
    2. Nastavíš si VLAN pro uživatele autorizované a pro uživatele neautorizované. Nový uživatel by se připojit do VLAN pro neautorizované a ta tvoje malá aplikace by ho po ověření identity přeřadila do správné VLAN. Případně zkombinovat s předchozím řešením.
    3. Blokovat neautorizované uživatele na firewallu. Ta tvoje aplikace by potom po autentizaci/autorizaci měnila pravidla firewallu. A po uplynutí určitého času by ty pravidla změnila zase zpátky.
    Ale jak se to nastavuje na nějakém konkrétním zařízení, to se mě neptej :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 30.8.2012 23:51 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Možnost č. 4 - nasadit nějakou aplikační bránu, pokud ti jde jenom o omezení HTTP.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:04 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Ano, to by bylo nejlepší řešení, ale připadá mi až moc složité. Předpokládam, že uživatelé budou lidé neznalý, tudíž nebudou si měnit IP adresy. A i kdyby, v tom počtu (cca 5) lidí, snadno uvidím vetřelce. U DHCP mam platnost nastavenou na 60s a funguje to bez problémů, nevidím v tom problém, změnit IP adresu. Navíc toto řešení vyžaduje komunikaci s FW, ale ta není možná. Mám pouze k dispozici server ve stejné podsíti jako klientské PC, proto mi napadlo jediné toto řešení.
    mess avatar 31.8.2012 00:31 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Tvoje "řešení" má ale dva zásadní nedostatky:
    1. Není bezpečné. Ani trochu.
    2. Uživatel bude po ověření čekat až minutu na to, než dostane správnou IP.
    Ještě můžeš na FW blokovat všechen HTTP provoz (porty 80 a 443) a donutit uživatele, aby ve tvé síti používali proxy. A na tom si můžeš dělat, co chceš.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:42 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Pokud moje řešení bude funkční nevidím v tom problém. Bydlím na vesnici, s počtem lidí do 400, odhaduju, že přístup na net má tak 150 lidí, přičemž tak 50 z nich zkoumá wifi sítě. Vlastně za poslední 2 roky, se na moje AP chtělo připojit jen 70 klientů. Navíc jsou zde tři ISP, přičemž všichní maj sítě zabezpečené pouze vypnutím DHCP, takže bezpečnost připojení je srovnatelná. Pro začátek myslím, že stačí.
    mess avatar 31.8.2012 01:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Jestli se chceš připojit do klubu neodborných "ISP", je to tvůj boj :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 01:36 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Já vím, ale to s tim RADIUS serverem se mi líbí taky. Máš s tim nějaké zkušenosti? Lze to nastavit tak, že po novém uživateli to nebude požadovat přihlašovací údaje, ale po registraci už ho to na net bez nich nepustí? Já si nějak nedokážu představit jak by to takle fungovalo.
    mess avatar 31.8.2012 12:25 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Proč chceš na Net pouštět neregistrované uživatele? Aby se jim mohla zobrazit ta přihlašovací stránka? Nebo aby si mohli zařídit registraci?

    Dalo by se to řešit tak, že si nastavíš 2 VLAN - jednu pro neautentizované/neautorizované (nazvěme ji VLAN1) a druhou pro ty, kteří už autentizovaní/autorizovaní jsou (VLAN2).

    Pokud klient neodpoví na požadavek na autentizaci, bude umístěn do VLAN1, jejíž všechen provoz bude směrován třeba na server, kde ti poběží ta registrační aplikace. Tím se zabezpečí, že si člověk u tebe může zařídit registraci, aniž by musel znát přihlašovací údaje.

    Pokud se klient při připojení autentizuje a je mu udělena autorizace, tak je umístěn do VLAN2, jejíž provoz je směrován normálně do Internetu. Tady se o tom něco píše, případně zkus Google.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 12:58 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    chci aby se novému uživateli zobrazila stránka s informací o tom, že se může zaregistrovat do sítě a využívat tak internet, předtím než registraci provede, poběží hodinová zkušební lhůta během níž může taky využít internetu, ovšem s patřičním omezením...
    O to mi právě jde, jestli i když uživatel nezadá přihlašovací údaje, nebo je zadá špatně, aby byl zařazen do VLAN1. Odkaz si jdu přečíst...
    mess avatar 31.8.2012 22:00 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    No a jak chceš ošetřit, aby se po té hodině jen neodpojil a znova nepřipojil (třeba s jinou MAC adresou) a neměl další hodinu zdarma? Já bych spíš ty neregistrované uživatele omezil tak, že by měli přístup třeba jenom na Facebook, Youtube, Senznam, nějaké měření rychlosti a na tvoji registrační stránku a všechno ostatní z té VLAN bych blokoval na tom firewallu.

    S detaily neporadím, nikdy jsem to neměl v rukách, jsem spíš teoretik :-D
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 23:11 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak zrovna Facebook bych nechal zakázanej :-D A jak jsem již psal výše, nečekam připojení tak zkušených lidí, a pokud jo, snaha se cení a zaslouží si být připojeni déle než ostatní :) Problémem ale bude, že neni možná dynamická konfigurace FW, takže asi stejně skončim u mého navrhovaného řešení
    mess avatar 31.8.2012 23:18 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    U tohohle řešení by dynamická konfigurace firewallu nemusela být. Ty VLANy mají oddělené adresové prostory, takže ve FW by byly cca tyto pravida: (VLAN1 bude 192.168.11.0/24, VLAN2 bude 192.168.12.0/24).
    1. Ze sítě 192.168.12.0/24 povol provoz všude.
    2. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres X.
    3. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres Y.
    4. Ze sítě 192.168.11.0/24 zakaž všecko ostatní.
    A o přehazování klientů mezi VLANy se postará AP/switch podle toho, jak dopadne autentizace přes 802.1x, tam nepotřebuješ hrabat do firewallu.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 00:50 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A bude to imunní pokud si uživatel nastaví IP napevno?
    Jendа avatar 1.9.2012 01:19 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Captive portal
    Ne, stejně, jako když si nastaví MAC napevno. To je prostě vlastnost captive portálů a tak to by-design funguje.
    Já to s tou denacifikací Slovenska myslel vážně.
    1.9.2012 01:25 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak pak v tom nevidim výhodu oproti mému návrhu
    mess avatar 1.9.2012 11:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Mějme tři předpoklady:
    1. WiFi AP, zabezpečení pomocí WPA2.
    2. Autentizace pomocí 802.1x (na 2. vrstvě modelu ISO/OSI).
    3. Řešení se dvěma VLAN (viz výše).
    Dohromady se tomu někdy říká "WPA2 Enterprise".

    Toto má následující důsledky:
    • Uživatel, jehož síťový adaptér (potažmo MAC adresa) není autentizovaná, bude zařazen do VLAN1. Pokud si takový uživatel nastaví jinou MAC (např. si nějak zjistí některou z autentizovaných), pořád nezná přihlašovací údaje, aby prošel přes 802.1x. A pokud nezná tyto údaje, spadne zase do VLAN1.
    • Pokud si uživatel nastaví IP adresu z VLAN2, tak se nepřipojí vůbec nikam, protože bude pořád součástí VLAN1, takže pokud si nastaví adresu z jiné sítě, tak to nebude fungovat. VLANy jsou oddělené někde mezi 1. a 2. síťovou vrstvou (ne až podle IP na 3. vrstvě). O oddělení VLAN se stará switch/AP a funguje to tak, že každý port switche (nebo klient na AP) je přiřazen do určité VLAN, takže to nezáleží na jejich adresaci, ať už na 2. nebo na 3. vrstvě. Přiřazení portů do jednotlivých VLAN může switch dynamicky měnit, ale klient to nemá šanci nijak ovlivnit.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 15:20 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Už se v tom trochu orientuju, jen mi není jasné to oddělení, lze použít obyčejné AP, které umožňuje WPA2 - radius, nebo je potřeba nějaké speciální?
    mess avatar 1.9.2012 15:38 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na tom AP budeš potřebovat podporu WPA2, Radius, 802.1x (to celé se někdy označuje jako WPA2 Enterprise) a VLAN. Jak konkrétně se to které AP nastaví, aby uživatele přehazovalo mezi těma VLAN, to záleží už na něm. A potom samozřejmě budeš potřebovat nějaký Radius server.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 1.9.2012 16:16 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Ještě dodatek - ne všechna zařízení podporují takovéhle šachování s přiřazením uživatelů do VLAN, tak na to taky bacha, až budeš nějaké vybírat :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 16:49 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A nějakej tip nemáš? RB?
    mess avatar 1.9.2012 17:27 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na fóru MikroTiku se píše něco v tom smyslu, že by to mělo jít. Tebe by zajímal poslední příspěvek. Ve stručnosti píše se tam zhruba toto:
    1. Na RB si vytvoříš pro každou VLAN interface.
    2. Na RB vytvoříš pro každou VLAN pravidla ve Firewallu, které budou posílat její provoz na její virtuální interface (který jsi vytvořil v předchozím kroku) a budou z daného rozhraní pakety číst. Pro každou VLAN dáš ty pravidla do jiného chainu (název chainu doporučuju volit podle označení VLAN).
    3. Na Radiusu použiješ u uživatele vlastnost Filter-Id, do které napíšeš název chainu pro VLAN (z předchozího kroku), do které má ten uživatel patřit.
    4. Ostatní pravidla firewallu nastavíš tak, aby byl ostatní provoz směřován do výchozí VLAN (nebo kam budeš chtít). (Hu, routování pomocí firewallu? :-D).
    S trochou štěstí by to mohlo takhle nějak fungovat. Ještě přidám odkazy (které jsou i na tom odkazovaném fóru).
    http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
    http://wiki.mikrotik.com/wiki/Manual:PPP_AAA#User_Profiles
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.