The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Настройка Web аутентификации для Wi-Fi соединений

19.09.2006 21:02

В статье приводятся примеры скриптов для организации упрощенной формы аутентификации клиента в беспроводных сетях.

  1. Главная ссылка к новости (http://www.lanbilling.ru/wifi_...)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/8360-wifi
Ключевые слова: wifi, auth, billing, iptables
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, balamut (??), 23:33, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    это ужасно. vpn и pppoe туннелирование используется для однозначной идентификации пользователя по ip. а в данном примере предполагается что ip пользователю выдается по DHCP. таким образом злоумышленник может всегда поменять ip на чужой. значит возле кафешки однажды заведутся хитрые парни с ноутом, юзающие халявный инет (и рутящих fsb.ru :)), а у юзеров забашлявших за инет - начнутся проблемы с доступом.
    это решение ново только потому что до подобной глупости из здравомыслящих людей (админов)  никто не додумался.
     
     
  • 2.2, Alex (??), 01:24, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ну насколько я понимаю mac address lockout еще никто не отменял. Подозреваю, предполагается, что админ всем этим рулящий не утерял остатки здравого смысла. Хотя в статейке не плохо бы это учеть это и в явном виде указать. А так why not. Все остальные методы решения подобной проблемы либо дороги, либо также "коленочные".
     
     
  • 3.5, asso (?), 05:28, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >  Ну насколько я понимаю mac address lockout еще никто не отменял.

    А толку?  Подменить IP- и MAC- адреса на адреса злейшего соседа - дело пяти минут.  arpwatch  ничего не заметит, замарозка ARP таблицы в этом случае не поможет.

    Привязываться к Mac- и IP- адресам - это то же самое что работать вообще без аутентификации.

     

  • 1.3, guest (??), 02:50, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    I can change MAC address in 5 seconds - who's faster?
    Article is stupid and dangerous.
     
  • 1.4, Oleg (??), 03:22, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Идея ненова. Web аутентификация давно реализована, например, в DLink DSA-3100.
    Да и больше года назад сами реализовали такую схему, которая считала и
    по трафику и по времени в качестве экспериментальной разработки. Но не стали
    внедрять из-за проблемы подмены IP адресов. К тому же эта схема работает
    при одном условии - все точки доступа находятся в одном широковещательном
    домене и/или прямой их связи с сервером. И абсолютно не экономичная если сеть провайдера состоит из множества узлов не связанных одним широковещательным доменом. К каждому узлу подключается много AP и по данной схеме в каждый узел необходимо ставить по серверу - это не целесообразная трата денег.
     
     
  • 2.10, Билли (?), 13:07, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Идея ненова. Web аутентификация давно реализована, например, в DLink DSA-3100.
    Поинтересовался. В этой железке во первых web auth работает только по внутренней базе, и с RADIUS не взаимодействует, как следствие, нет возможности генерировать карточки. Во вторых DLink DSA-3100 + точка (что нибудь типа Di-624i) = 410 $ что не есть мягко говоря бюджетно. А насколько я понимаю вариант предложен для глупой точки - бриджа. Опять же вопрос с keep alive. Проверяли ? Есть он в 3100 ? У меня пока есть только сомнения поскольку сам не проверял.


     
     
  • 3.16, Oleg (??), 08:13, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Dlink DSA-3100 прекрасно работает с Radius (FreeRadius).
     

  • 1.6, sasha (??), 10:11, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статья как издевательство...
    Для этих целей 802.1x используют. Сейчас поддерживается всеми железяками, не говоря уже о UNIX/Windows
     
     
  • 2.7, Билли (?), 11:10, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Сложилось впечатление, что внимательно читать это не для нас Во-первых альтерна... большой текст свёрнут, показать
     
     
  • 3.14, balamut (??), 22:41, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Ставя себя на место злоумышленника, при стоимость
    >инета, вообще по жизни в 5 копеек, ну какой дебил будет
    >сидеть с ноутом, что бы дождаться пока очередной клиент зайдет, проанализировать
    >его ip / mac, сменить его себе и не получить нихрена
    >т.к. все сломается у обоих и владелец заведения просто извинится и
    >выдаст новую карточку "потерпевшему".

    а дебилов хватает между прочим. скрипткиддисы всякие зачем-то дефейсят первые попавшиеся при поиске по гуглю сайты содержащие ключевые слова типа "CMS XXXX version X.X.X", тольк потому что скочали свежий сплойт.
    несекурно и все тут. настроить стандартное pppoe соединение в вин ХР не сложней чем пароль в
    веб-морде ввести. в конце концов можно диск сделать. есть же в мастере настройки сетевых подключений пункт "использовать компакт-диск поставщика услуг интернета". лучше бы написали как такой диск сделать, чем из iptables лес городить.

     
  • 3.17, Oleg (??), 08:21, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
    >нибудь ? Вот и я не видел.

    Keep live Dlink DSA-3100 в радиус не шлет.

    >Когда он закончит сессию? потеряется она? нет?  одному богу
    >известно? В общем не все так однозначно. Интересно мнение тех кто
    >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
    >одной крупной сотовой компании, могу поделиться.

    Зато радиус может сообщить DSA-3100 сколько времени данному юзеру работать. Далее сам DSA-3100 по истечении указаного времени шлет стоп-пакет на радиус. Проверено работает.

    Когда он закончит сессию? потеряется она? нет?  одному богу
    >известно? В общем не все так однозначно. Интересно мнение тех кто
    >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
    >одной крупной сотовой компании, могу поделиться.


     
  • 3.25, Sergei (??), 12:13, 04/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Если можно пришли, пожалуйста, экспертную оценку И еще может будет полезной инф... большой текст свёрнут, показать
     
  • 3.26, suik (?), 16:40, 29/01/2007 [^] [^^] [^^^] [ответить]  
  • +/

    >Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
    >нибудь ? Вот и я не видел. Аутентификация прошла и все,
    >привет, дальше что с ней делать не понятно, чел сидит в
    >нете. Когда он закончит сессию? потеряется она? нет?  одному богу
    >известно? В общем не все так однозначно. Интересно мнение тех кто
    >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
    >одной крупной сотовой компании, могу поделиться.

    если не сложно поделись пожалуйста

     
  • 3.27, Эллад (?), 21:09, 30/04/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Dlink это вообще отдельный разговор - keealive там в радиусе видел кто
    >нибудь ? Вот и я не видел. Аутентификация прошла и все,
    >привет, дальше что с ней делать не понятно, чел сидит в
    >нете. Когда он закончит сессию? потеряется она? нет?  одному богу
    >известно? В общем не все так однозначно. Интересно мнение тех кто
    >действительно проблематикой занимался. У меня есть экспертная оценка таких решений для
    >одной крупной сотовой компании, могу поделиться.

    Любопытно было бы вообще какой-нибудь работающий пример (на эксперименты времени нет). FreeBSD/FreeRADIUS/MySQL, WiFi D-Link Одна из самых простых (524, что ли?) - это то, что уже имеется. Поможете запустить?

     

  • 1.8, sasha (??), 11:32, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 802.1х - тяжелое решение не для случая когда надо быстро и главное просто зайти в инет, что бы прочитать почту

    все настраивается элементарно

    > Dlink это вообще отдельный разговор - keealive там в радиусе видел кто нибудь ? Вот и я не видел. Аутентификация прошла и все, привет, дальше что с ней делать не понятно, чел сидит в нете. Когда он закончит сессию? потеряется она?

    не знаю как D-Link , но ZyXEL (ES-4024 или похожие) могут и с RADIUS'ом работать.

     
     
  • 2.9, Билли (?), 12:55, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > все настраивается элементарно

    Очень спорно, очень. Согласен настраивается, но надо читать инструкцию , лезть в менюхи что то прописывать, это не для hotspot а в баре.

     

  • 1.11, brain (ok), 13:58, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    г. Москва, м. Багратионовская, ТК "Горбушкин Двор". Приглашаю всех проверить как работает наш большой wi-fi hotspot.

    Кстати, работает на LANBilling + D-Link DWL-3200. Без авторизации пользователя бегают по локальным сайтам. Установив pppoe соединение (инструкция на карточке и на сайте) ходят в инет.

     
  • 1.12, sasha (??), 17:23, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Очень спорно, очень. Согласен настраивается, но надо читать инструкцию , лезть в менюхи что то прописывать, это не для hotspot а в баре

    А еще нужно на ноут ОСь ставить, уметь его включать, на кнопочки нажимать...
    Почему все ориентируются на тупых юзеров? Юзер не тупой.
    Мои сами OpenVPN-соединения настраивают.. и ничего

     
     
  • 2.18, AleXgRey (ok), 10:23, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А мои даже непонимают каким образом производиться оплата
    да и в офисе бухгалтера незнают как word'е редактировать.
    а ты говоришь OpenVPN....
     
     
  • 3.21, PixeL (??), 21:14, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >А мои даже непонимают каким образом производиться оплата
    >да и в офисе бухгалтера незнают как word'е редактировать.
    >а ты говоришь OpenVPN....


    аж завидую!!! у нас такие тупые юзеры, что не могут себе нормально вписать логин и пароль для доступа в статистику :D

     
  • 2.19, Alex (??), 10:48, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тебе повезло, большинству нет, юзеры на то и юзеры, никто не говорит что они тупые. Наоборот очень даже ничего попадаются 90-60-90 :) бывает вот только у них своя работа и они лучшие в ней. А vpn настраивать не их дело. А человек пришедший в бар вообще мозг на 50 % выключает (throttling у него начинает работать :) как правило, если выпивает отключается еще процентов на 25%. Поверь мне, у меня кафешка в центре. Так что не ровняй чела который сидит в офисе и тупит в комп и чела, который лежит на лежаке в гостинице , ну скажем, где нибудь на побережье португалии.
     
  • 2.22, Антон (??), 22:49, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >А еще нужно на ноут ОСь ставить, уметь его включать, на кнопочки
    >нажимать...
    >Почему все ориентируются на тупых юзеров? Юзер не тупой.
    >Мои сами OpenVPN-соединения настраивают.. и ничего

    У вас не массовый сервис, если бы вы имели десяток хотспотов по карточкам и общались со своим суппортом, вы бы поменяли свое мнение про тупизну пользователей.

    Аутентификация через web правильное дело. Подключил ноут, получил IP по DHCP, на любой URL в браузере получил страницу ввода номера карты, ввел код и сидишь посматриваешл мельком на статистику.

     

  • 1.13, Аноним (-), 20:08, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С openVPN-ном томорзят онлайн игры, а гилдвор с бара это гламурно)
     
     
  • 2.15, Sasha (??), 06:16, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Я его не для бара использую.. это был как пример о нормальности юзеров, и что следует применять такие вещи как .1x для своих целей. И на Д-Линках не нужно зацикливаться.
     

  • 1.20, Аноним (-), 18:42, 21/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >С openVPN-ном томорзят онлайн игры, а гилдвор с бара это гламурно)
    От настройки зависит - RTFM.
     
  • 1.23, scum (??), 10:22, 28/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А я вот чего подумал, а ведь и вправду люди, которые в кафешки с ноутбуками ходят, могут сами OpenVPN настроить. Просто потому, что или они сами компьютерщики, или просто компьютерные фанаты. Для большинства других товарищей таскать с собой ноут - нахрен надо, да и нет у большинства из них ноутбуков вообще. Зачем они им? Но, когда ситуация эта изменится, и каждый будет таскать с собой мини комп (как сейчас с сотовыми обстоит дело), тогда плохо дело будет. Потому что все существующие средства аутентификации/авторизации явно не рассчитаны на понимание принципов их работы простым гражданином (не компьютерщиком). Даже если перед его мордой постоянно махать памяткой, как PPPoE в винде настраивать. Тут нужно что то другое. Лично я голосую за 802.1X и то, что поверх него обязательно накрутят, когда стандарт пойдет в массы.
     
  • 1.24, scum (??), 10:25, 28/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, Билли. А что за экспертная оценка? Если не трудно, намыль пожалуйста на scum001@gmail.com По гроб жизни благодарен буду.
     
     
  • 2.28, Эллад (?), 21:50, 30/04/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу помочь в таком вот вопросе - один наш клиент (неважно какой, главное - для нас важный) обратился организовать в его публичном месте WiFi-сеть, так, чтобы он выдавал карточки приходящим гостям, а они подключались бы самым простым способом к WiFi-сети (небезопасная сеть, что ли?), но при вводе URL в браузере получали бы вместо искомой странички - Web-регистрацию. Туда необходимо ввести логин и пароль с карточки, тогда получаешь доступ в Интернет. В идеале - чтобы после регистрации в сети гость таки попадал бы на введенный URL, но если и будет теряться сайт - тоже не страшно, это всего лишь пожелание клиента - он заботится о гостях. В общем, история, как в аэропортах - так делает какой-нибудь GoldenWiFi. В точности такое и нам надо.
    Поскольку я имею мало опыта, прошу вас помочь:
    1) какая технология для этого применима? На ум приходит RADIUS, но он порождает больше вопросов, чем ответов. Например - как клиенту, законно аутентифицировавшемуся, оборвать сессию по истечении времени (считать надо только время - сессси могуть быть час, два, три и т. п., а потом обрывать соединения)? И, например, если клиент аутентифицировался, а потом взял, да и передал свою карточку соседу? Или, через час взял, да и вновь попытался аутентифицироваться? И как блокировать/разблокировать доступ клиенту к Интернет? На файрволе на выпускающем маршрутизаторе? Каким-нибудь IPTABLES? Как осуществлять редирект для ввода пароля? А потом все-таки возвращать гостя на запрошенную страницу?
    2) какое оборудование посоветуете? Я не с проста начал с технологии - когда понятно, что делать, ясны и требования к оборудованию.. Что бы вы посоветовали?
     
     
  • 3.29, Аноним (-), 13:03, 23/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    traffpro.ru думаю за не большую сумму ребята организуют web-авторизацию

    а если хотишь RADIUS нужен будет биллинг + железо которое будет поддерживать
    смотри MicroTIK и D-link, если денег хвататет Cisco, Linksys

     
     
  • 4.30, Vladimir Ksielyov (?), 00:56, 22/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А не пробывали тупо - открытый доступ, но все закругляется на squid - с логином и паролем.
    и пока сессия открыта, инет есть и считается. сессия закрыта, инета нету.
    Усер профукал свой логин/пасс - сам виноват.

    А?

    P.S. Собираюсь делать что то похожее в деревне.


     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру