Перейти до

Не обессудьте...


Рекомендованные сообщения

Возможно привычка к виндусовому софту, возможно еще чтото, но хотелось бы видеть в скриптах OnConnect наличие переменной с MAC-адресом.

Таким образом мы получаем 4-х кратную защиту в связке: логин-пасс и IP-MAC...

В данный момент не запускаю СТГ в массы именно из-за опасений безопасности логин-пасс, так как глупый юзер может дать их своему соседу или другу из благих побуждений, а тот раздать остальным, смена IP займет пару минут, что есть нехорошо...Итог, все юзают инет с одного акка, а это уже совсем недопустимо...

Таким образом при наличии MACa можно будет из скрипта OnConnect вызвать модуль в iptables -m mac что сразу отсеит тупых ламеров, а с умными бороться уже путем морального внушения (в районе почек :о) :(

Ссылка на сообщение
Поделиться на других сайтах
смена IP займет пару минут, что есть нехорошо...Итог, все юзают инет с одного акка, а это уже совсем недопустимо...

смена МАКа займет 1 минуту.

для привязки айпишников к макам есть специальные утили типа arpwatch

тем более с выходом РЦ2 СТГ 2.4 добавится куча доп. полей (10 штук) и можно будет писать в них что угодно.

Ссылка на сообщение
Поделиться на других сайтах
для привязки айпишников к макам есть специальные утили типа arpwatch

Я не спорю. Контролировать IP и MACи можно....Я говорю о привязке IP-MAC в скрипте.....Именно в скрипте коннекта самого СТГ а не сторонних программ.

Будет ли это реализовано вообще?

Ссылка на сообщение
Поделиться на других сайтах
для привязки айпишников к макам есть специальные утили типа arpwatch

Я не спорю. Контролировать IP и MACи можно....Я говорю о привязке IP-MAC в скрипте.....Именно в скрипте коннекта самого СТГ а не сторонних программ.

Будет ли это реализовано вообще?

Написано же выше - ЗАМЕНА МАК АДРЕССА ЗАЙМЕТ МЕНЬШЕ МИНУТЫ ВРЕМЕНИ. И если умный юзер арпвотч просто курит сигареты ! Единственный способ боротся с такиеми зверями - умный свич - привязка по АЙПИ и МАКУ на порт !

Ну или полное отключение от сети ! без возможности восстановления !

Ссылка на сообщение
Поделиться на других сайтах

есть стандартная привязка мака к ИПу, если и так не хочешь, то кто тебе мешает выдергивать из файла мак. что-то типа в онконнект:

#!/bin/bash

set `arp 192.168.78.10 | grep eth0`
mac=$3

if [ $mac = $mac_from_file ]
   then
       no connect && log
   else
       connect
fi

Ссылка на сообщение
Поделиться на других сайтах
есть стандартная привязка мака к ИПу, если и так не хочешь, то кто тебе мешает выдергивать из файла мак. что-то типа в онконнект:

Ну и что это дает ??? если юсер поменяет мак и айпи на ифейсе, а затем введем лог и пас потерпевшего ? правильно ничего !!!

Так что бороться с такими юсерами можно только вумными свичиГами !

Ссылка на сообщение
Поделиться на других сайтах
хотелось бы видеть в скриптах OnConnect наличие переменной с MAC-адресом.

мне просто интересно каким макаром стг получит mac удалённого абонента? Ну одна схема вырисовывается при условии если абонент находится в одном броадкасте, а если он за роутером?

Ссылка на сообщение
Поделиться на других сайтах

Вообще-то, если заносить мак вручную в одно из юзердата полей и потом пихать его в скрипт, то подменить его будет посложнее - тем-более, надо знать несколько ключевых параметров: логин-пасс - айпи-мак. Если юзверь это сделает, надо лечить это "ударами по почкам". А на умные свичи ещё денег надо, а их, как всегда нет. :(

Ссылка на сообщение
Поделиться на других сайтах

есть вариант!

так сказать предложение как мона привязывать железно ак к тачке,

в авторизаторе есть же такая опция привизать пас к hdd, так почему бы туже инфу не отправить при первой авторизации на стг? получаем железную привязку к винту у клиента)

Ссылка на сообщение
Поделиться на других сайтах
есть вариант!

так сказать предложение как мона привязывать железно ак к тачке,

в авторизаторе есть же такая опция привизать пас к hdd, так почему бы туже инфу не отправить при первой авторизации на стг? получаем железную привязку к винту у клиента)

Если юзер первый раз авторизуется, его серийник винта шлется на сервак. Сервер запоминает его.

Потом, если серийник поменялся, мы не пускаем его. Типа это хакер, спер пароль, а винт у его другой. А что происходит если у юзера сменился винт или у него два компа?

Пускать или нет? Какой алгоритм смены серийника хранящегося на сервере?

Ссылка на сообщение
Поделиться на других сайтах
есть вариант!

так сказать предложение как мона привязывать железно ак к тачке,

в авторизаторе есть же такая опция привизать пас к hdd, так почему бы туже инфу не отправить при первой авторизации на стг? получаем железную привязку к винту у клиента)

Кстати очень не плохая фича !!!

Если бы и пятая конечность могла принимать участие в голосованиии :) ( в смысле если голос будет засчитан) я бы голоснул !

Идея такова !

при первой авторизации/неудачной авторизации - сервер запоминает хеш серийника винта - и записывает его в переменную (у каждого юзеря своя переменная естессно) , которая будет хранить не авторизированые хеши серийников!

Далее с помощью конфигуратора - мы правим переменную с авторизироваными хешами серийников - внося хеши нужных нам серийников из переменной неавторизированых ! Добавить фичу в конфигуратор которая будет уведомлять вас о новых неавторизированых подключениях (о появлении нового неавтроризированого серийника) - таким образом мы сразу знаем о том, что юзер пытался подключится с другого компа, и сможем разрешить ему сделать это, либо запретить и выявим того кто любит пошкодничать и поюзать чужие айпи маки логи и маки !

(да бы не засорять переменную с неавторизироваными хешами - будем проверять железяку на соответсвие после удачной авторизации по логу, пасу и айпи )

Да и вообще было бы не плохо сделать уведомления при старте о ощибках типа : Юзер пыталя залогиниццо и ввел не правилний пароль , пытался залогиниццо с неразрешонного АЙПИ и тд - короче предупреждения безопасности !

Ссылка на сообщение
Поделиться на других сайтах
Какой алгоритм смены серийника хранящегося на сервере?

Адназанача руками ! разрешить или запретить - это как привязка к маку, как выдача нового пароля - это элемент безопасности, который должен контролироваться Админом !

Ссылка на сообщение
Поделиться на других сайтах

вообщем то cristal все описал

 

то есть делаем в конфигураторе вкладку лог событий(еще не плохо было бы и системный лог)

в событиях мона херачить все подряд, например зелененьким Пользователь такой то(ип такой-то) залогинился тогдато, Сининьким разлогинился тогда то, ошибка авторизации красным, причина такая то(либо пароль логин не тот, либо ип, либо хеш винта не тот, либо мак, либо системная ошибка типа устаревшая версия авторизатора)

 

при добавлении юзера делаем еще несколько полей 1 хеш винта юзера, второй его мак, и два флажка -- привязать юзера к маку, привязать юзера к хешу.Дабы админу лишний раз руки и ноги не напрягать, сделать так что, если поля не заполнены, то при первой УДАЧНОЙ авторизации они заполняются сами.

 

 

Если флажков не стоит, то система при не совпадении этих полей делает лиш заметку в логе,а юзера в инет пускает(логинит), если флажки стоят, то делает заметку и не пускает.

 

а насчет геммороя, да я бы не сказал, те у кого пользователей 30-200 не так уж и сильно напрягутся, винты не часто меняют, в конце концов можно обойтись заметками.

а те у кого 500 и более врятли стг юзают да системы защиты там слегка другие ;-)

Ссылка на сообщение
Поделиться на других сайтах

Сделал таки привязку IP-MAC.

Но это с учетом того, что подсеть одна :)

OnConnect:

#! /bin/sh

# Login
LOGIN=$1

#user IP
IP=$2

#cash
CASH=$3

#user ID
ID=$4

#user MAC
MAC1=`sed -n 's/Userdata1=//p' /var/stargazer/users/$LOGIN/conf`

MAC2=`arp $IP | awk '/'$IP'/{print $3}'`

if [ $MAC1 = $MAC2 ]
    then
       в добрый путь 
       echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH " >> /var/stargazer/users/$LOGIN/connect.log
    else
       болт и досвидания 
       echo "ERROR `date +%Y.%m.%d-%H.%M.%S` $MAC1 <--> $MAC2 " >> /var/stargazer/users/$LOGIN/badmac.log
fi

Сейчас опыты на юзверях провожу, пока боков не заметил.

Если кто чего нашел кривого, подскажите, что не так, или как сделать проще...

................

За помощь гигантское спасибо товарищу Nab FREESCO router

Ссылка на сообщение
Поделиться на других сайтах
Какой алгоритм смены серийника хранящегося на сервере?

Адназанача руками ! разрешить или запретить - это как привязка к маку, как выдача нового пароля - это элемент безопасности, который должен контролироваться Админом !

Однозначно Админом...И только Админом.

Если гдето и запореш бочину, то железно будеш знать кто виноват :)

Ссылка на сообщение
Поделиться на других сайтах
Сейчас опыты на юзверях провожу, пока боков не заметил.

Если кто чего нашел кривого, подскажите, что не так, или как сделать проще...

Было-бы неплохо ещё матюкальник юзеру отправлять, типа: Что-это ты такой гад под чужим логином заходишь??? Чтоб больше неповадно было...
Ссылка на сообщение
Поделиться на других сайтах

А чего все так к мак-адресу прилипли? Это совсем не панацея, так, от полных идиотов защита. Рассказать, как элементарно обходится привязка к маку? Логин-пароль намного надежнее, а хранить их - забота только клиента.

Ссылка на сообщение
Поделиться на других сайтах
А чего все так к мак-адресу прилипли? Это совсем не панацея, так, от полных идиотов защита. Рассказать, как элементарно обходится привязка к маку? Логин-пароль намного надежнее, а хранить их - забота только клиента.

Аха = мне интересно как это сделать когда ты подкючен в дырку вумного свича - который работет только с одним маком - с твоим маком - обойди его !

----

А ваааще Вы правильно сказали - лог и пас - а кто как хранит = это забота не админа!

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...