Portál AbcLinuxu, 7. května 2025 07:31

Dotaz: Squid + WiFi / ethernet + RADIUS - dá se??

25.6.2014 16:59 Matěj Vaňátko | skóre: 19 | Brno
Squid + WiFi / ethernet + RADIUS - dá se??
Přečteno: 244×
Odpovědět | Admin
Ahoj všem,

dlouhou dobu už přemýšlím nad zabezpečením jedné velké sítě pomocí 802.1x a RADIUS serveru. Mám takovou vizi. Rád bych udělal RADIUS jak na drátové síti, tak na WiFi. Dále bych rád autentizoval klienty i oproti proxy serveru, aby se dalo zjistit, kdo, kdy a kam leze.

Když by všechny počítače byly v doméně (AD), tak to není žádný problém. Ale je tu problém, že je tu mnoho BYOD, které se hlásí přes WiFi a v doméně nejsou.

Dá se nějak udělat to, že jakmile se klient autentizuje vůči RADIUSu, tak squid automaticky pozná, že daný klient je již autentifikován a použije do logů už. jméno, které klient zadal při přihlašování?

Dá se vůbec toto nějak realizovat? Potřebuji hlídat jak přístupy k médiu, tak přístupy do internetu. Nebo jak toto řešíte??

Díky mockrát všem
Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

27.6.2014 10:46 NN
Rozbalit Rozbalit vše Re: Squid + WiFi / ethernet + RADIUS - dá se??
Odpovědět | | Sbalit | Link | Blokovat | Admin
Prohlizec pouzije takove credentials, jake najde v systemu. Musel by jsi nakonfigurovat v proxy fallback pro anonymni zarizeni, nebo je blokovat.
27.6.2014 11:10 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Squid + WiFi / ethernet + RADIUS - dá se??
Odpovědět | | Sbalit | Link | Blokovat | Admin
Dá se nějak udělat to, že jakmile se klient autentizuje vůči RADIUSu, tak squid automaticky pozná, že daný klient je již autentifikován a použije do logů už. jméno, které klient zadal při přihlašování?
Myslim ze toto nedokaze Squid priamo, ale mohol by to dokazat squid log analyzator, ktory by zobral IPcku z access logu, porovnal ju sso suborom dvojic IP/loginname z toho dna a jednoducho do toho access logu doplnil na spravne miesto loginname. Tu teda plati, ze autentifikacia na squide by musela byt logicky uz zakazana.
Ale je tu problém, že je tu mnoho BYOD, které se hlásí přes WiFi a v doméně nejsou.
Troska len nerozumiem, ako dosiahnete tu jednoduchost konfiguracie 802.1X pre LAN/WLAN na BYOD klientoch. Ano, zavisi to od druhu pouzitej autentifikacie,ale ak to chcete mat aspon trocha bezpecne, tak pouzit aspon EAP-PEAP, EAP-TLS resp. EAP-TTLS, avsak vsetky z nich vyzaduju urcitu konfiguraciu vratane instalacie certifikatu, co mi pri firme z mnozstvom BFU a hlavne BYOD zariadeni nepride ako trivialna zalezitost...
Uz som sa nad tym zamyslal v mojom environmente, ale asi plati, ze pokial nemame implementovany nejaky automatic certificate enrollment process (ktory posktytuje napr spominane AD) tak je to boj z veternymi mlynmi.
27.6.2014 11:14 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Squid + WiFi / ethernet + RADIUS - dá se??
napada ma este dalsia vec: pre BYOD zariadenia nepouzivat 802.1X, ale radsej implementovat guest VLAN (ak 802.1X nebude uspesna) a pre tuto vlanu spravit squid access s captive portalom, kde na pristup by sa musel zadat firemny login (na zaklade toho dostane user access pre svoju IPcku (teda bez rozdielu pouzivanej aplikacie) na urcity cas). je to dost dobre riesenie v pripadoch, ked na BYOD zariadeniach nieje potrebne mat pristup k firemnym resourcom.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.