Архив форумов ЦИТФорума

[TepKuH]

У человека стоит НАТ, в инет у него пускают только определенные МАС и ИП. Но хитрые пользователи занялись тем что подменяют ИП и МАС и убивают трафик.
Так вот вопрос можно ли как нить усилить безопасность какой нить авторизацией.
Предложение по поводу авторизации на скваиде не подходят(сквид для авторизации только ХТТП и ФТП)

[and3008]

Задача в общем-то не тривиальная...

Думаю надо ставить на клиентов VPN. Это позволит производить авторизацию и защитит клиента от перехвата трафика сниферами.

Обратная строно медали - возрастет нагрузка на процессор в точке доступа в Инет. Шифрование/дешифрование знаете ли...

[TepKuH]

-

[TepKuH]

-

[Dmitry.Karpov http://prof]

-

[and3008]

Проблемма заключается в том, что:
1. Нужно отслеживать каждую сетевую сессию пользователя.
2. Нужна авторизация
3. Нужно (очень желательно) шифрование трафика, если внутренняя сеть ненадежна (возможен перехват сниферами).

Простое и элегантное и уже готовое решение - это VPN. VPN - это общее название. Конкретную реализацию можно сделать через IPSec, L2TP, PPP+PPTP.
Я бы копал в строну IPSec.

[bss]

а чем сквид не устраивает
расскажу как работает у меня
http и ftp пускаю через сквид с авторизацией отлично работает а остальной траффик через файрвол с натом
в любом случае львиная доля траффика приходится на http и ftp

ну а если все-таки не устраивает то процитирую способ который почерпнул в каком то форуме (лично не пробовал)

Автор: Алексей Серебряков
Оригинал доступен по адресу: http://www.ksaa.edu.ru/~val/socks5.htm


Разделение доступа в интернет из локальной сети.

Около года назад у нас появился интернет и вместе с ним проблема - как
делить? Собственно проблема в том, что все машины
многопользовательские, а, как следствие, ограничить доступ на
основании IP адреса невозможно.
Теперь, год спустя, обнаружились 2 наиболее практичных способа. Мы
используем первый, но у вас есть возможность выбирать

Способ первый (IMHO более правильный) заключается в использовании
socks5 сервера и клиента.
При этом получаем отличный firewall с возможностью проксить как TCP
так и UDP плюс полный контроль над работой пользователей в интернет.
Настраиваем следующим образом:
1. Идем на http://www.socks.nec.com/ и берем там socks5 сервер (на данный
момент это socks5-v1.0r8) и socks5tools - скрипт для анализа
лог-файлов сервера.

Конфигурируем socks5 сервер. Запустите ./configure - значения по
умолчанию вполне разумны, хотя я посоветовал бы сменить syslog
facility. По умолчанию socks использует LOG_DAEMON, и как следствие
файл /var/log/messages будет забит сообщениями socks. Во избежание
этого запустите ./configure --with-syslog-facility=LOG_LOCAL0 и
добавьте строчки
"local0.* /var/adm/socks5" и
"*.=info;*.=notice;local0.none /var/log/messages"
в /etc/syslog.conf.
Дальше стандартно - make; make install.
Если все нормально, создаем файл конфигурации /etc/socks5.conf
следующего содержания:


[root@val /etc]# cat socks5.conf
# A Socks5 Config file for a dual homed server
#
# Описание роутинга
# route hostmask portmask interface
route 195.9.ххх. - eth0
#Описание аутентификации - в данном случае требуем со всех
логин/пароль
#auth source-host source-port auth-metod
auth - - u
#permit и deny. В данном случае человек с правильным
логином/паролем может идти куда #угодно подробней - man
socks5.conf
#permit auth cmd src-host dest-host src-port dest-port [user-list]
permit u - - - - - -
#Не делать reverse lookup в DNS - процесс заметно ускоряется
set SOCKS5_NOREVERSEMAP
#Записывать номера портов вместо имен сервисов. Тоже для ускорения
set SOCKS5_NOSERVICENAME
#Не рассылать ident запросы клиентам
set SOCKS5_NOIDENT
# Максимальное число детей socks5 - пусть будет больше, зато всем
хватит
set SOCKS5_MAXCHILD 128

Все, ...

[TepKuH]

-

[bss]

конечно нужна а ты как хотел
а по другому то как

у меня работает вариант со сквидом причем хорошо работает

[TepKuH]

т.е. как я понял выход это только ВПН.
А что друг сказал что ему ВПН не подходит я не знаю.
Вообщем ПА-СИ-БО!!!
Будем копать в сторону ВПНа.

[TepKuH]

Это все обходится.
Инет же не только хттп и фтп
1. Это и mIRC (где народ выливает терабайты за месяц)
2. Это и различные еДОНКЕЙ и прочии аналоги НАБСТЕРов(где тоже улитают терабайты.)
и АСЬКА и КОНТР-СТРАЙК и все это нахаляву.
Подменить ИП и МАС дело 1 минуты.
А юзать сокс5 народ нас непоймет(тип мы платим за инет еще и с гемороем страдать будем)

Вообщем спасибо!!!
Я вначале не подумал про него.
Может что нить еще с ним придумаем.

[pH]

Могу подкинуть идею. Сам не делал, так что за работоспособность ручаться не могу.

Делается авторизационная веб-страничка с формой - логин+пароль (естественно через защищённое соединение).
Для доступа к инету пользователь сначала попадает на эту страницу(которая естественно находится на локальном сервере, который всегда доступен).
После ввода правильного логиа/пароля, определяется IP и МАС клиента, и вносится соответственное изменение в правила фаервола. Здесь есть проблема - если для изменения политики требуется перегружать фаервол, или перечитывать файл настройки, могут возникнуть проблемы с производительностью при частом подключении-отключении(для отключения от инета тоже должна быть соответствующая страничка) клиентов в больших сетях.

[Boris Korenev]

А подскажите, пожалуйста, где можно почитать более подробно про настройку PPPoE.

[and3008]

Это не выход, т.к. слишком однобоко.

IP и MAC можно поменять, а "законного владельца" выкинуть из сети на пару минут.

Как узнать, что клиент "ушел" и пора сменить правила на фаерволе?

Что делать если в сети DHCP и IP-клиента поменяется через 5 минут после захода на заветную страничку?

В общем решение никакое. Только проблеммы для службы тех.поддержки создаст.

Все эти проблеммы решает VPN. Не понимаю почему его все так боятся?

[Dmitry.Karpov http://prof]

-