forum.opennet.ru - "Авторизация через telnet/radius/firewall/nat" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Авторизация через telnet/radius/firewall/nat"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Авторизация через telnet/radius/firewall/nat"
Сообщение от Nerian on 25-Дек-07, 22:39
Добрый день! С помощью черего в linux/freebsd можно настроить авторизацию для доступа через nat с использованием telnet? К примеру пользователь без доступа, может сделать с машины telnet server.com 259 где у него спросят его логин и пароль, после черего сервер создаст нужное правило на фаерволе. Есть ли готовые решения, или придёться писать свой скрипт и вещать его через xinetd? Спасибо
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Авторизация через telnet/radius/firewall/nat, newser, 22:48 , 25-Дек-07, (1)

Авторизация через telnet/radius/firewall/nat, Nerian, 22:58 , 25-Дек-07, (2)

Авторизация через telnet/radius/firewall/nat, newser, 23:09 , 25-Дек-07, (3)

Авторизация через telnet/radius/firewall/nat, Nerian, 23:12 , 25-Дек-07, (4)
Авторизация через telnet/radius/firewall/nat, Koba LTD, 13:39 , 26-Дек-07, (6)

Авторизация через telnet/radius/firewall/nat, LM, 14:52 , 26-Дек-07, (7)

Авторизация через telnet/radius/firewall/nat, Tuxper, 12:03 , 26-Дек-07, (5)

Авторизация через telnet/radius/firewall/nat, Ночной админ, 03:30 , 27-Дек-07, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Авторизация через telnet/radius/firewall/nat"

Сообщение от newser (ok) on 25-Дек-07, 22:48

>[оверквотинг удален]
>с использованием telnet?
>
>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>где у него спросят его логин и пароль, после черего сервер
>создаст нужное правило на фаерволе.
>
>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>через xinetd?
>
>Спасибо
Полагаю, безопасность Вас не интересует в принципе?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Авторизация через telnet/radius/firewall/nat"

Сообщение от Nerian on 25-Дек-07, 22:58

>[оверквотинг удален]
>>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>>где у него спросят его логин и пароль, после черего сервер
>>создаст нужное правило на фаерволе.
>>
>>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>>через xinetd?
>>
>>Спасибо
>
>Полагаю, безопасность Вас не интересует в принципе?
В данный момент меня больше интересует какой продукт для этого можно использовать. Просто я видел такое на CheckPoint'е, и задумался, а можно ли так сделать на *nix. Я понимаю что телнет можно просниферить как нечего делать, но это уже другой вопрос )
Как универсальный и достаточно "безопасный" вариант мне в голову приходит только создание пользователя к примеру inetuser у которого вместо щела стоит скрипт который при успешной авторизации добавит на 60 минут правило в фаервол разрешающий доступ с ip с которого было подключение, с условием что авторизация прощла. Но в этом примере имеються два неудобства (связанные с безопасностью):
1. Клиент должен иметь программу ssh для доступа к серверу (что не всегда есть)
2. Клиент по мимо своего пароля должен ещё помнить пароль и логин inetuser/inetuser.
В общей сложности такой скрипт делаеться и отлаживаеться за час.
Просто повторюсь. Интересует уже готовое решение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Авторизация через telnet/radius/firewall/nat"

Сообщение от newser (ok) on 25-Дек-07, 23:09

>[оверквотинг удален]
>
>
>1. Клиент должен иметь программу ssh для доступа к серверу (что не
>всегда есть)
>2. Клиент по мимо своего пароля должен ещё помнить пароль и логин
>inetuser/inetuser.
>
>В общей сложности такой скрипт делаеться и отлаживаеться за час.
>
>Просто повторюсь. Интересует уже готовое решение.
Насчёт готовых решений не подскажу, но предложу вариант, раз с написанием скриптов у Вас проблем нет:
Простейшая авторизация может быть реализована через https - просто и в достаточной мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю эту схему как хотите, в том числе и в плане безопасности.
Это один из возможных вариантов, направление, так сказать.
Удачи!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Авторизация через telnet/radius/firewall/nat"

Сообщение от Nerian on 25-Дек-07, 23:12

Спасибо! ) Ещё один интересный способ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Авторизация через telnet/radius/firewall/nat"

Сообщение от Koba LTD on 26-Дек-07, 13:39

>[оверквотинг удален]
>
>Простейшая авторизация может быть реализована через https - просто и в достаточной
>мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается
>скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю
>эту схему как хотите, в том числе и в плане безопасности.
>
>
>Это один из возможных вариантов, направление, так сказать.
>
>Удачи!
Вопрос - а чем не подходил VPN - есть все что вам нужно - и авторизация, после успешного прохождения которой подымаеться защещеный канал и интерфейся с маршрутами, там же в скриптах можно и правила на файрвол вешать.
т.е. авторизация - есть, безопастность(приемлимая) -есть, унивирсальность в плане клиента - есть. Зачем ара изобритать велосипед.
Вот так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Авторизация через telnet/radius/firewall/nat"

Сообщение от LM (??) on 26-Дек-07, 14:52

Да я так спросил. Увидил как сделано в checkpoint и подмал а как так сделать в linux. Мне по большому всё равно безопасно или нет, подходит ли в этом случае vpn или просто nat. Интересно просто чем такое можно было бы реализовать в linux/bsd.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Авторизация через telnet/radius/firewall/nat"

Сообщение от Tuxper (ok) on 26-Дек-07, 12:03

>[оверквотинг удален]
>с использованием telnet?
>
>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>где у него спросят его логин и пароль, после черего сервер
>создаст нужное правило на фаерволе.
>
>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>через xinetd?
>
>Спасибо
Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила и пока открыто окно клиента SSH, инет работает...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Авторизация через telnet/radius/firewall/nat"

Сообщение от Ночной админ (ok) on 27-Дек-07, 03:30

>Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться
>по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила
>и пока открыто окно клиента SSH, инет работает...
Гуглим по запросу "Аутентификационный шлюз на базе authpf"
Есть это тут https://www.opennet.ru/base/sec/authpf_auth.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Авторизация через telnet/radius/firewall/nat"
Сообщение от newser (ok) on 25-Дек-07, 22:48
>[оверквотинг удален] >с использованием telnet? > >К примеру пользователь без доступа, может сделать с машины telnet server.com 259 >где у него спросят его логин и пароль, после черего сервер >создаст нужное правило на фаерволе. > >Есть ли готовые решения, или придёться писать свой скрипт и вещать его >через xinetd? > >Спасибо Полагаю, безопасность Вас не интересует в принципе?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Авторизация через telnet/radius/firewall/nat"
	Сообщение от Nerian on 25-Дек-07, 22:58
	>[оверквотинг удален] >>К примеру пользователь без доступа, может сделать с машины telnet server.com 259 >>где у него спросят его логин и пароль, после черего сервер >>создаст нужное правило на фаерволе. >> >>Есть ли готовые решения, или придёться писать свой скрипт и вещать его >>через xinetd? >> >>Спасибо > >Полагаю, безопасность Вас не интересует в принципе? В данный момент меня больше интересует какой продукт для этого можно использовать. Просто я видел такое на CheckPoint'е, и задумался, а можно ли так сделать на *nix. Я понимаю что телнет можно просниферить как нечего делать, но это уже другой вопрос ) Как универсальный и достаточно "безопасный" вариант мне в голову приходит только создание пользователя к примеру inetuser у которого вместо щела стоит скрипт который при успешной авторизации добавит на 60 минут правило в фаервол разрешающий доступ с ip с которого было подключение, с условием что авторизация прощла. Но в этом примере имеються два неудобства (связанные с безопасностью): 1. Клиент должен иметь программу ssh для доступа к серверу (что не всегда есть) 2. Клиент по мимо своего пароля должен ещё помнить пароль и логин inetuser/inetuser. В общей сложности такой скрипт делаеться и отлаживаеться за час. Просто повторюсь. Интересует уже готовое решение.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Авторизация через telnet/radius/firewall/nat"
	Сообщение от newser (ok) on 25-Дек-07, 23:09
	>[оверквотинг удален] > > >1. Клиент должен иметь программу ssh для доступа к серверу (что не >всегда есть) >2. Клиент по мимо своего пароля должен ещё помнить пароль и логин >inetuser/inetuser. > >В общей сложности такой скрипт делаеться и отлаживаеться за час. > >Просто повторюсь. Интересует уже готовое решение. Насчёт готовых решений не подскажу, но предложу вариант, раз с написанием скриптов у Вас проблем нет: Простейшая авторизация может быть реализована через https - просто и в достаточной мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю эту схему как хотите, в том числе и в плане безопасности. Это один из возможных вариантов, направление, так сказать. Удачи!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Авторизация через telnet/radius/firewall/nat"
	Сообщение от Nerian on 25-Дек-07, 23:12
	Спасибо! ) Ещё один интересный способ
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Авторизация через telnet/radius/firewall/nat"
	Сообщение от Koba LTD on 26-Дек-07, 13:39
	>[оверквотинг удален] > >Простейшая авторизация может быть реализована через https - просто и в достаточной >мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается >скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю >эту схему как хотите, в том числе и в плане безопасности. > > >Это один из возможных вариантов, направление, так сказать. > >Удачи! Вопрос - а чем не подходил VPN - есть все что вам нужно - и авторизация, после успешного прохождения которой подымаеться защещеный канал и интерфейся с маршрутами, там же в скриптах можно и правила на файрвол вешать. т.е. авторизация - есть, безопастность(приемлимая) -есть, унивирсальность в плане клиента - есть. Зачем ара изобритать велосипед. Вот так.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Авторизация через telnet/radius/firewall/nat"
	Сообщение от LM (??) on 26-Дек-07, 14:52
	Да я так спросил. Увидил как сделано в checkpoint и подмал а как так сделать в linux. Мне по большому всё равно безопасно или нет, подходит ли в этом случае vpn или просто nat. Интересно просто чем такое можно было бы реализовать в linux/bsd.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Авторизация через telnet/radius/firewall/nat"
Сообщение от Tuxper (ok) on 26-Дек-07, 12:03
>[оверквотинг удален] >с использованием telnet? > >К примеру пользователь без доступа, может сделать с машины telnet server.com 259 >где у него спросят его логин и пароль, после черего сервер >создаст нужное правило на фаерволе. > >Есть ли готовые решения, или придёться писать свой скрипт и вещать его >через xinetd? > >Спасибо Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила и пока открыто окно клиента SSH, инет работает...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Авторизация через telnet/radius/firewall/nat"
	Сообщение от Ночной админ (ok) on 27-Дек-07, 03:30
	>Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться >по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила >и пока открыто окно клиента SSH, инет работает... Гуглим по запросу "Аутентификационный шлюз на базе authpf" Есть это тут https://www.opennet.ru/base/sec/authpf_auth.txt.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]