|
| Jazyk |
Výber jazykovej mutácie:
|
|
|
|
| The time now is 29.04.2024 - 00:44 |
| Author |
Message |
|
|
Post subject: RE: Hacking problem
 Posted: 13.03.2012 - 14:43 #97366
|
|
Basic
Joined: Feb 18, 2007
Posts: 418
|
|
| Ved preto som sa pytal ze ake su realne skusenosti, nerob to a to pretoze toto a toto a pod. Na stole mi to funguje ale realita moze byt ina napr. mrznutie a tak.Pixall niekde pisal ale neviem to najst asi ohladom latencie do 300ms ale tak ako hovorim detaily nepamatam, preto by som uvital to nejak zrekapitulovat. DIK |
|
|
| |
|
|
|
 |
|
|
|
Post subject: RE: Hacking problem
Posted: 13.03.2012 - 15:09 #97368
|
|
Basic
Joined: Dec 08, 2006
Posts: 401
|
|
| Mna by skor zaujimalo ci to ma niekto rozbehane s ISPaminom? Myslim ci niekto ma zakupeny ten ich modul Radius? Ma to viac vyhod napr prihlasovanie na RB pod jednym loginom ked vymenis technika nemusis menit vsetky hesla atd... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 13.03.2012 - 19:37 #97375
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
sef wrote: ›Ved preto som sa pytal ze ake su realne skusenosti, nerob to a to pretoze toto a toto a pod. Na stole mi to funguje ale realita moze byt ina napr. mrznutie a tak.Pixall niekde pisal ale neviem to najst asi ohladom latencie do 300ms ale tak ako hovorim detaily nepamatam, preto by som uvital to nejak zrekapitulovat. DIK
mame uz takmer vsetkych klientov na pppoe vratane wifin a je to parada. dlho trvalo kym sme vychytali blchy a este semtam nejaka vyskoci, ale to je tym ze si robime server sami, nemikrotikujeme. latencia samotneho pppoe je v podstate nemeratelna, urcite je to max 1 ms naviac, ale skor to bude menej. kludne aj na wifinach. ale nie na takych s 30% packet lossom, moze sa to rozpadavat. ale pri 30% packetloss sa rozpadava uz vsetko takze to je jedno.
a k druhej otazke, radius v ISPadmine bol vraj iba nakresleny, zevraj to nefunguje a zevraj to uz aj dali prec. by sa mohol vyjadrit ten kto to skusal a kupil a zaplatil a nepouzil, ked nas tu teraz cita. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 13.03.2012 - 20:05 #97378
|
|
Majster
Joined: Feb 14, 2011
Posts: 2544
|
|
| Miso ja som stale este nepochopil vyznam toho PPOE pre klientov...na čo to je dobré? Klientovi v paneláku hodím TP link cez WAN. Na dedine dam UBNT v router mode...načo ppoe? Dnes sa už nevypisuje ip adresa ktora je shapovana priamo klientovi na sietovku. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 13.03.2012 - 20:55 #97380
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
midnight_man wrote: ›Miso ja som stale este nepochopil vyznam toho PPOE pre klientov...na čo to je dobré? Klientovi v paneláku hodím TP link cez WAN. Na dedine dam UBNT v router mode...načo ppoe? Dnes sa už nevypisuje ip adresa ktora je shapovana priamo klientovi na sietovku.
- pretoze pppoe overuje uzivatela menom+heslom, nie "ipckou" a "mac adresou" co su identifikatory ktore odsniffuje a sfalsuje kazdy kto trochu chce.
- pretoze pppoe inteligentnym sposobom nahradza kokotiny ako su mac/ip filtre, dhcp servre aj snoopingy a tak podobne, ktore "funguju" len tak akoze.
- pretoze pri pppoe sa IP adresa klienta nemusi vypisovat NIKDE, a to ani u klienta, ani u providera.
- pretoze pppoe umoznuje elegantne dostat k userovi verejnu IPcku bez toho sa plytvali dalsie IPcky na siet, broadcast, gateway, a ine smetie.
- pretoze pppoe dokaze v spojeni s ospf zarucit klientovi staticku a nemennu pevnu IP adresu bez ohladu na to kde na sieti sa pripoji.
- pretoze standarny zaznam radiusu o accountingu absolutne do bodky vyhovuje poziadavkam zakona o el komunikacicha na logovanie, na rozdiel od pseudorieseni ktorymi je ukladanie arp tabuliek ci nebodaj hlaviciek paketov.
- pretoze presne viem odkedy dokedy bol user realne pripojeny k mojej sieti a nebude mi vysvetlovat ze mu internet nejde 3 tyzdne, ked jasne v logu vidim ze sa odpojil pred 15 minutami.
- pretoze ked v logu vidim ze sa mi nejaky user casto reconnectuje tak viem ze ma problem na linke a odstranim mu ho skor, nez mi on stihne poruchu nahlasit.
- pretoze pppoe v spojeni s radiusom znamena, ze ZIADNE zariadenie okrem radius servera naobsahuje udaje o klientoch, ich rychlostiach, atd. preto nemusim vymyslat a riesit kokotiny na ktorych je postaveny ISPadmin, ze tlaci nejake ACLka a co ja viem co do zariadeni.
- pretoze do mojej siete sa nedostane ani jeden jediny bajt od usera, ktory nepresiel cez overenie menom+heslom.
- pretoze bez toho je sprava siete so stovkami, nebodaj tisickami klientov tragedia, kdezto s tym je to balada.
- pretoze sprava takejto siete je ovela jednoduchsia a zaroven poskytuje ovela viac uzitocnych informacii, ku ktorym sa bez toho da dostat len s desiatimi barlickami, alebo ani s nimi.
tak preto. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 13.03.2012 - 21:41 #97382
|
|
Basic
Joined: Feb 18, 2007
Posts: 418
|
|
| No a ja som to chcel kvoli tomu preco som vytvoril tuto temu. Pohesloval som (wep, wpa) 2,4 a idem sa pustit do 5G tak hladam riesenia mozno lepsie ako wpa. ISPadmin mam a mal som aj radius sice nezaplateny - ostal mi este od zaciatku ked to nainstalovali a asi pred mesiacom to zmizlo z mojho.Dikobraz to mal ale asi nie v kombinacii s PPPoE. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 13.03.2012 - 22:12 #97383
|
|
Majster
Joined: Feb 14, 2011
Posts: 2544
|
|
pixall wrote: › midnight_man wrote: ›Miso ja som stale este nepochopil vyznam toho PPOE pre klientov...na čo to je dobré? Klientovi v paneláku hodím TP link cez WAN. Na dedine dam UBNT v router mode...načo ppoe? Dnes sa už nevypisuje ip adresa ktora je shapovana priamo klientovi na sietovku.
- pretoze pppoe overuje uzivatela menom+heslom, nie "ipckou" a "mac adresou" co su identifikatory ktore odsniffuje a sfalsuje kazdy kto trochu chce.
- pretoze pppoe inteligentnym sposobom nahradza kokotiny ako su mac/ip filtre, dhcp servre aj snoopingy a tak podobne, ktore "funguju" len tak akoze.
- pretoze pri pppoe sa IP adresa klienta nemusi vypisovat NIKDE, a to ani u klienta, ani u providera.
- pretoze pppoe umoznuje elegantne dostat k userovi verejnu IPcku bez toho sa plytvali dalsie IPcky na siet, broadcast, gateway, a ine smetie.
- pretoze pppoe dokaze v spojeni s ospf zarucit klientovi staticku a nemennu pevnu IP adresu bez ohladu na to kde na sieti sa pripoji.
- pretoze standarny zaznam radiusu o accountingu absolutne do bodky vyhovuje poziadavkam zakona o el komunikacicha na logovanie, na rozdiel od pseudorieseni ktorymi je ukladanie arp tabuliek ci nebodaj hlaviciek paketov.
- pretoze presne viem odkedy dokedy bol user realne pripojeny k mojej sieti a nebude mi vysvetlovat ze mu internet nejde 3 tyzdne, ked jasne v logu vidim ze sa odpojil pred 15 minutami.
- pretoze ked v logu vidim ze sa mi nejaky user casto reconnectuje tak viem ze ma problem na linke a odstranim mu ho skor, nez mi on stihne poruchu nahlasit.
- pretoze pppoe v spojeni s radiusom znamena, ze ZIADNE zariadenie okrem radius servera naobsahuje udaje o klientoch, ich rychlostiach, atd. preto nemusim vymyslat a riesit kokotiny na ktorych je postaveny ISPadmin, ze tlaci nejake ACLka a co ja viem co do zariadeni.
- pretoze do mojej siete sa nedostane ani jeden jediny bajt od usera, ktory nepresiel cez overenie menom+heslom.
- pretoze bez toho je sprava siete so stovkami, nebodaj tisickami klientov tragedia, kdezto s tym je to balada.
- pretoze sprava takejto siete je ovela jednoduchsia a zaroven poskytuje ovela viac uzitocnych informacii, ku ktorym sa bez toho da dostat len s desiatimi barlickami, alebo ani s nimi.
tak preto. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 14.03.2012 - 11:47 #97387
|
|
Basic
Joined: Feb 18, 2007
Posts: 418
|
|
| No ja chcem to robit na kazdom RB ci ALIXe. Jednoducho vytvoris PPPoE server a klientov s menom a heslom tam dohodi ISPadmin. Najvacsi problem mam v tom ze treba vymyslat hesla. Ak by tam bolo generovanie hesla bolo by dobre. Vymysliet hesla pre xxx ludi naraz tak to je dost makacka na hlavu. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 14.03.2012 - 12:01 #97388
|
|
Basic
Joined: Aug 30, 2011
Posts: 248
|
|
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 14.03.2012 - 12:28 #97389
|
|
Basic
Joined: Feb 18, 2007
Posts: 418
|
|
| tak to hej ale zas az tak zlozite to nemusi byt, ved nie som banka |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 14.03.2012 - 12:39 #97390
|
|
Majster
Joined: Okt 31, 2006
Posts: 2062
Location: TT
|
|
| preboha zas riešite blbosti , načo má isp admin zapisovať niečo do každého rb/ alixa ked sa to dá uplne jednoducho poriešiť cez radius server . A tik alebo linux ktorý routuje daný subnet bude robiť len nasko ? Aha už viem ISPadmin nevie pracovať z Radiusom |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 14.03.2012 - 13:08 #97391
|
|
Basic
Joined: Feb 18, 2007
Posts: 418
|
|
| A preco by ISPadmin nemohol zapisovat do kazdeho Alixa? Na co tam bude? na ozdobu? PPPoE uplne riesi to co potrebujem, nemusim mat Radius |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 14.03.2012 - 14:04 #97392
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
sef wrote: ›A preco by ISPadmin nemohol zapisovat do kazdeho Alixa? Na co tam bude? na ozdobu? PPPoE uplne riesi to co potrebujem, nemusim mat Radius
pretoze samotne PPPoE riesi len toto
- pretoze pppoe overuje uzivatela menom+heslom, nie "ipckou" a "mac adresou" co su identifikatory ktore odsniffuje a sfalsuje kazdy kto trochu chce.
- pretoze pppoe inteligentnym sposobom nahradza kokotiny ako su mac/ip filtre, dhcp servre aj snoopingy a tak podobne, ktore "funguju" len tak akoze.
- pretoze pppoe umoznuje elegantne dostat k userovi verejnu IPcku bez toho sa plytvali dalsie IPcky na siet, broadcast, gateway, a ine smetie.
- pretoze do mojej siete sa nedostane ani jeden jediny bajt od usera, ktory nepresiel cez overenie menom+heslom.
a pretoze pppoe+radius riesi naviac aj toto
- pretoze pri pppoe sa IP adresa klienta nemusi vypisovat NIKDE, a to ani u klienta, ani u providera.
- pretoze pppoe dokaze v spojeni s ospf zarucit klientovi staticku a nemennu pevnu IP adresu bez ohladu na to kde na sieti sa pripoji.
- pretoze standarny zaznam radiusu o accountingu absolutne do bodky vyhovuje poziadavkam zakona o el komunikacicha na logovanie, na rozdiel od pseudorieseni ktorymi je ukladanie arp tabuliek ci nebodaj hlaviciek paketov.
- pretoze presne viem odkedy dokedy bol user realne pripojeny k mojej sieti a nebude mi vysvetlovat ze mu internet nejde 3 tyzdne, ked jasne v logu vidim ze sa odpojil pred 15 minutami.
- pretoze ked v logu vidim ze sa mi nejaky user casto reconnectuje tak viem ze ma problem na linke a odstranim mu ho skor, nez mi on stihne poruchu nahlasit.
- pretoze pppoe v spojeni s radiusom znamena, ze ZIADNE zariadenie okrem radius servera naobsahuje udaje o klientoch, ich rychlostiach, atd. preto nemusim vymyslat a riesit kokotiny na ktorych je postaveny ISPadmin, ze tlaci nejake ACLka a co ja viem co do zariadeni.
- pretoze bez toho je sprava siete so stovkami, nebodaj tisickami klientov tragedia, kdezto s tym je to balada.
- pretoze sprava takejto siete je ovela jednoduchsia a zaroven poskytuje ovela viac uzitocnych informacii, ku ktorym sa bez toho da dostat len s desiatimi barlickami, alebo ani s nimi.
tak preto. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 14.03.2012 - 14:26 #97393
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
midnight_man wrote: ›Kua tak toto ma troška núti rozmýšľať nad tým, ešte v začiatkoch. Už minule ma niekde zaujímalo pod čím ti to beží? Na akej mašine?
najprv male vysvetlenie -
cela koncepcia tohto sposobu overovania pozostava z AAA servera (authorisation authentication accounting) - spravidla postavenom na RADIUSe. tu je databaza uzivatelov a ich nastavenia (udaje o rychlostiach, o pripadne pridelenych pevnych IPckach, a tak podobne). u nas linux server pod freeradius-om.
druhou castou riesenia su NAS servre (Network Access Server) co su u nas Alixy a SuperMicra. k nim sa pripajaju useri, cez tieto zariadenia prechadzaju ich data. u nas asi vsetky NAS bezia na linuxe, bud ako routre s pppoe+captive portalom (tzv hotspot), alebo ako nejake ine sluzby (FTP server napriklad).
ako to funguje:
- user sa chce prihlasit na NAS (napriklad pppoe-ckom, alebo aj inou metodou, vid nizsie)
- NAS zoberie meno+heslo usera a posle ho RADIUS serveru na skontrolovanie
- RADIUS vrati NASku bud udaje o rychlostiach usera a tom aka IP sa ma pouzit (bud ma user definovanu pevnu, alebo RADIUS vyberie nejaku volnu IP z blokov ktore ma nastavene na dynamicke pridelovanie), alebo ak meno heslo nesedi tak RADIUS vrati NASku informaciu ze pristup je zamietnuty.
- NAS podla toho bud nahodi userovi shaping a pusti ho do siete, alebo ho posle prec.
- NAS potom v pravidelnom intervale posiela RADIUS serveru informaciu o tom ze kolko dat sa prenieslo od poslednej aktualizacie, takze tieto udaje sa ukladaju centralne v databaze RADIUS servera.
rekapitulacia:
- AAA server (RADIUS) obsahuje mena, hesla, nastavenia userov, statistiky. radius serverom neprejde ziadny datovy paket od uzivatela. traffic nasho radiusu je nejakych par desiatok kilobitov za sekundu.
- NAS servery obsluhujy poziadavky od userov a pri pripojeni do netu fyzicky routuju pakety od uzivatelov.
dodatok:
- NAS server moze byt hocico, nielen PPPoE server. NAS su u nas aj FTP servre - meno a heslo FTP usera sa tiez overuje proti RADIUSu a statistiky o uploade/downloade sa taktiez zapisuju do RADIUSu.
- NAS moze byt napriklad aj VOIP ustredna, ktora si bude svojich uzivatelov a ich klapky overovat cez RADIUS, a udaje o vykonanych hovoroch bude logovat tamtiez.
- jedna databaza userov moze byt pre vsetky sluzby, alebo pre iba niektore z nich. my mame na pristup na internet a na pristup k FTP rozne meno/heslo, ale mohlo by byt rovnake. na pristup cez internet moze u nas pouzit user pppoe alebo captive portal (hotspot), prihlasovacie udaje su rovnake, aj statistiky najdem na rovnakom mieste. v logu vidim ze ci sa user prihlasil cez pppoe alebo captive portal (captive portal dokaze overovat aj podla kombinacie IP+MAC, mimochodom... samozrejme tiez cez radius).
- ako NAS moze sluzit aj napriklad POP3 / iMAP/ SMTP server - zoznam postovych schranok a mena a hesla mozu byt v RADIUSe a sice som to nikdy nepouzil, predpokladam ze by sem mohol accountovat ake objemy posty user prijal a odoslal.
- cele to teda nie je o pristupe na internet, ale o centralizovanej databaze a overovacom a uctovacom serveri, a potom o krabickach ktore robia hrubu pracu podla toho co im RaDIUS odpovie. je to teda o tom, ci budem nejakym uchylnym sposobom z centralnej databazy generovat konfiguraky pre zariadenia a nejak ich priebezne nahravat do zariadeni, a zaroven nejake podobne uchylne a upatlane zbierat z tych zariadeni statistiky.... alebo ci pouzijem na to iste standard zvany radius, RFCckovany, kompativilny, zdokumentovany, ktory nerozkopiruvava mena/hesla kde-teda, ale ktory mena/hesla drzi pekne v sebe a iba dava vediet, ze ci meno/heslo je spravne, + zbiera si k tomu taktiez stanradrizovanym sposobm priebezne statistiky.
a kedze povodna otazka bola ze ake na to streba stroje - pre radius by som odhadol nieco okolo par sto mhz (podla toho co sa tam nastavi, ake intevaly statistik, atd). a pre NAS=router s pppoe, je vykonnostna narocnost asi taka ista ako bez pppoe. pppoe ma nejaku malu reziu naviac, ale je zanedbatelna. zaroven vsak takyto router nema staticky nahodene classy a shapingy pre vsetkych userov ktori su v nom nastaveni, ale iba pre tych ktori su online - takze tu zas bude zataz stroja nizsia nez keby islo o obycajny router.
kdesi na nete som videl prispevky od typka co ma na mikrotiku nejakych 4-6tisic userov online na nejakom quadcore xeone. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Hacking problem
Posted: 14.03.2012 - 19:48 #97399
|
|
Basic
Joined: Jan 23, 2009
Posts: 175
|
|
| sef >>> to ze ti v ispadmine ukazovalo ze tam radius je bol nejaky blud , tiez som to tam mal , ale radius tam nainstalovany nebol . Musel sa doinstalovat po zakupeni modulu . Nieje pravda ze radius v ISPa nefunguje , alebo ze je tam len nakresleny , nakresleny je tam len kym nieje zakupeny modul . Akurat je tam jedna blbost a to taka ze bez pridania NASu , ISPa neprepisuje meno heslo do mysql . Treba pridat najprv NAS secret key ... Az potom potom zacat vytvarat mena hesla , inac v ISPa hesla budu , ale radius tie hesla v mysql mat nebude. Na to treba davat pozor . Inac radius funguje v pohode , nemam s nim ziaden problem ... Pouzival som aj radius na linuxe a nemal som s nim taktiez ziaden problem , ziadne mrznutie ani nic podobne . Este by som len dodal ze netreba zapnut kodovanie PPPoE , zatazuje to procak RBciek a napr na tplink wifiroutry klesa priepustnost na 20-10mbps (klient pripojeny kablom , tplink je home router) ... |
|
|
| |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits |
|
|
|
