>Сложилось впечатление, что внимательно читать это не для нас. Во-первых альтернатив подобному >механизму не так много, сами столкнувшись с подобной задачей четко осознали >что это либо циска с ее возможностями работать по Ip каналам, >либо все остальные решение умеющие работать только в широковещательном домене. > >Первое дорого, второе не приближено к реальности, мягко говоря. На 90% согласен >с Олегом в той части что применение подобной схемы оправдано владельцем >точки у которого а) есть компьютер б) нет желания ради 10 >пользователей пришедших покушать на 20 минут лепить нагромождение тяжелых решений в) >имеется четкое понятие о необходимости и достаточности определенных мер по защите >своих интересов. > >Все сказанное выше оппонентами из области теоретики: ну сами подумайте, кто нибудь >видел когда нибудь клиента в кафешке или гостинице настраивающего суппликанта 802.1х >на windows планшете/ноуте ? Смешно читать. 802.1х - тяжелое решение не >для случая когда надо быстро и главное просто зайти в инет, >что бы прочитать почту. Ставя себя на место злоумышленника, при стоимость >инета, вообще по жизни в 5 копеек, ну какой дебил будет >сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать >его ip / mac, сменить его себе и не получить нихрена >т.к. все сломается у обоих и владелец заведения просто извинится и >выдаст новую карточку "потерпевшему". > >Кстати, если серьезно прочитать критику, то рано или поздно придется придти к >тому что WiFi вообще надо выкинуть в помойку т.к. при защите >типа WEP она ломается на раз два путем продолжительного анализа ралиоканала. >Никто же не выкидывает, а WEP самый распространенный механизм защиты к >слову. Много еще можно сказать, да только вывод все равно один, >реальность это компромисс межно денежками/простотой и разумной достаточностью. 802.1х как бы >этого не НЕ хотелось но пока является сырой. Вон HP до >сих пор прошивки переделывает, т.к. даже у последних железок за более >чем 100 К есть ошибки в реализации. > >Dlink это вообще отдельный разговор - keealive там в радиусе видел кто >нибудь ? Вот и я не видел. Аутентификация прошла и все, >привет, дальше что с ней делать не понятно, чел сидит в >нете. Когда он закончит сессию? потеряется она? нет? одному богу >известно? В общем не все так однозначно. Интересно мнение тех кто >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для >одной крупной сотовой компании, могу поделиться. Если можно пришли, пожалуйста, экспертную оценку. И еще может будет полезной информация, заметил, что в DSA 3100 при аутентификации через фрирадиус действует такой атрибут как session_timeout, что не удевительно, ведь в DSA 3100 стоит линух. При этом при подключении пользователя появляется окошко, где написано сколько времени отведено пользователю и сколько осталось до конца. Хотелось бы знать какие еще атрибуты поддерживает radius DSA 3100, да вот позвонил в службу поддержки d-link, а они только разводят руками, написал им письмо в техподдержку, может там чего расскажут, если интересно, когда ответят перешлю.
|