gall 6 Опубликовано: 2006-10-18 17:57:40 Share Опубликовано: 2006-10-18 17:57:40 Возможно привычка к виндусовому софту, возможно еще чтото, но хотелось бы видеть в скриптах OnConnect наличие переменной с MAC-адресом. Таким образом мы получаем 4-х кратную защиту в связке: логин-пасс и IP-MAC... В данный момент не запускаю СТГ в массы именно из-за опасений безопасности логин-пасс, так как глупый юзер может дать их своему соседу или другу из благих побуждений, а тот раздать остальным, смена IP займет пару минут, что есть нехорошо...Итог, все юзают инет с одного акка, а это уже совсем недопустимо... Таким образом при наличии MACa можно будет из скрипта OnConnect вызвать модуль в iptables -m mac что сразу отсеит тупых ламеров, а с умными бороться уже путем морального внушения (в районе почек :о) Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубліковано: 2006-10-18 18:19:18 Share Опубліковано: 2006-10-18 18:19:18 смена IP займет пару минут, что есть нехорошо...Итог, все юзают инет с одного акка, а это уже совсем недопустимо... смена МАКа займет 1 минуту. для привязки айпишников к макам есть специальные утили типа arpwatch тем более с выходом РЦ2 СТГ 2.4 добавится куча доп. полей (10 штук) и можно будет писать в них что угодно. Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2006-10-18 18:33:18 Автор Share Опубліковано: 2006-10-18 18:33:18 для привязки айпишников к макам есть специальные утили типа arpwatch Я не спорю. Контролировать IP и MACи можно....Я говорю о привязке IP-MAC в скрипте.....Именно в скрипте коннекта самого СТГ а не сторонних программ. Будет ли это реализовано вообще? Ссылка на сообщение Поделиться на других сайтах
cristal 0 Опубліковано: 2006-10-18 18:51:58 Share Опубліковано: 2006-10-18 18:51:58 для привязки айпишников к макам есть специальные утили типа arpwatch Я не спорю. Контролировать IP и MACи можно....Я говорю о привязке IP-MAC в скрипте.....Именно в скрипте коннекта самого СТГ а не сторонних программ. Будет ли это реализовано вообще? Написано же выше - ЗАМЕНА МАК АДРЕССА ЗАЙМЕТ МЕНЬШЕ МИНУТЫ ВРЕМЕНИ. И если умный юзер арпвотч просто курит сигареты ! Единственный способ боротся с такиеми зверями - умный свич - привязка по АЙПИ и МАКУ на порт ! Ну или полное отключение от сети ! без возможности восстановления ! Ссылка на сообщение Поделиться на других сайтах
Foster 0 Опубліковано: 2006-10-18 19:24:21 Share Опубліковано: 2006-10-18 19:24:21 есть стандартная привязка мака к ИПу, если и так не хочешь, то кто тебе мешает выдергивать из файла мак. что-то типа в онконнект: #!/bin/bash set `arp 192.168.78.10 | grep eth0` mac=$3 if [ $mac = $mac_from_file ] then no connect && log else connect fi Ссылка на сообщение Поделиться на других сайтах
cristal 0 Опубліковано: 2006-10-19 05:12:46 Share Опубліковано: 2006-10-19 05:12:46 есть стандартная привязка мака к ИПу, если и так не хочешь, то кто тебе мешает выдергивать из файла мак. что-то типа в онконнект: Ну и что это дает ??? если юсер поменяет мак и айпи на ифейсе, а затем введем лог и пас потерпевшего ? правильно ничего !!! Так что бороться с такими юсерами можно только вумными свичиГами ! Ссылка на сообщение Поделиться на других сайтах
KLN.NET 0 Опубліковано: 2006-10-19 10:36:52 Share Опубліковано: 2006-10-19 10:36:52 Вообще что мак, что ИП меня ть не составит труда. Что логин, что пасс тоже... Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2006-10-19 11:12:28 Share Опубліковано: 2006-10-19 11:12:28 хотелось бы видеть в скриптах OnConnect наличие переменной с MAC-адресом. мне просто интересно каким макаром стг получит mac удалённого абонента? Ну одна схема вырисовывается при условии если абонент находится в одном броадкасте, а если он за роутером? Ссылка на сообщение Поделиться на других сайтах
Bazooka 0 Опубліковано: 2006-10-19 11:44:51 Share Опубліковано: 2006-10-19 11:44:51 Читаем тут + умные свитчи - привязка MAC к порту. Все. Ссылка на сообщение Поделиться на других сайтах
Kastilio 0 Опубліковано: 2006-10-20 06:50:28 Share Опубліковано: 2006-10-20 06:50:28 Вообще-то, если заносить мак вручную в одно из юзердата полей и потом пихать его в скрипт, то подменить его будет посложнее - тем-более, надо знать несколько ключевых параметров: логин-пасс - айпи-мак. Если юзверь это сделает, надо лечить это "ударами по почкам". А на умные свичи ещё денег надо, а их, как всегда нет. Ссылка на сообщение Поделиться на других сайтах
uzver 0 Опубліковано: 2006-10-21 18:58:24 Share Опубліковано: 2006-10-21 18:58:24 есть вариант! так сказать предложение как мона привязывать железно ак к тачке, в авторизаторе есть же такая опция привизать пас к hdd, так почему бы туже инфу не отправить при первой авторизации на стг? получаем железную привязку к винту у клиента) Ссылка на сообщение Поделиться на других сайтах
stg-34 0 Опубліковано: 2006-10-21 19:04:03 Share Опубліковано: 2006-10-21 19:04:03 есть вариант!так сказать предложение как мона привязывать железно ак к тачке, в авторизаторе есть же такая опция привизать пас к hdd, так почему бы туже инфу не отправить при первой авторизации на стг? получаем железную привязку к винту у клиента) Если юзер первый раз авторизуется, его серийник винта шлется на сервак. Сервер запоминает его. Потом, если серийник поменялся, мы не пускаем его. Типа это хакер, спер пароль, а винт у его другой. А что происходит если у юзера сменился винт или у него два компа? Пускать или нет? Какой алгоритм смены серийника хранящегося на сервере? Ссылка на сообщение Поделиться на других сайтах
cristal 0 Опубліковано: 2006-10-21 20:22:33 Share Опубліковано: 2006-10-21 20:22:33 есть вариант!так сказать предложение как мона привязывать железно ак к тачке, в авторизаторе есть же такая опция привизать пас к hdd, так почему бы туже инфу не отправить при первой авторизации на стг? получаем железную привязку к винту у клиента) Кстати очень не плохая фича !!! Если бы и пятая конечность могла принимать участие в голосованиии ( в смысле если голос будет засчитан) я бы голоснул ! Идея такова ! при первой авторизации/неудачной авторизации - сервер запоминает хеш серийника винта - и записывает его в переменную (у каждого юзеря своя переменная естессно) , которая будет хранить не авторизированые хеши серийников! Далее с помощью конфигуратора - мы правим переменную с авторизироваными хешами серийников - внося хеши нужных нам серийников из переменной неавторизированых ! Добавить фичу в конфигуратор которая будет уведомлять вас о новых неавторизированых подключениях (о появлении нового неавтроризированого серийника) - таким образом мы сразу знаем о том, что юзер пытался подключится с другого компа, и сможем разрешить ему сделать это, либо запретить и выявим того кто любит пошкодничать и поюзать чужие айпи маки логи и маки ! (да бы не засорять переменную с неавторизироваными хешами - будем проверять железяку на соответсвие после удачной авторизации по логу, пасу и айпи ) Да и вообще было бы не плохо сделать уведомления при старте о ощибках типа : Юзер пыталя залогиниццо и ввел не правилний пароль , пытался залогиниццо с неразрешонного АЙПИ и тд - короче предупреждения безопасности ! Ссылка на сообщение Поделиться на других сайтах
cristal 0 Опубліковано: 2006-10-21 20:26:09 Share Опубліковано: 2006-10-21 20:26:09 Какой алгоритм смены серийника хранящегося на сервере? Адназанача руками ! разрешить или запретить - это как привязка к маку, как выдача нового пароля - это элемент безопасности, который должен контролироваться Админом ! Ссылка на сообщение Поделиться на других сайтах
uzver 0 Опубліковано: 2006-10-22 00:01:01 Share Опубліковано: 2006-10-22 00:01:01 вообщем то cristal все описал то есть делаем в конфигураторе вкладку лог событий(еще не плохо было бы и системный лог) в событиях мона херачить все подряд, например зелененьким Пользователь такой то(ип такой-то) залогинился тогдато, Сининьким разлогинился тогда то, ошибка авторизации красным, причина такая то(либо пароль логин не тот, либо ип, либо хеш винта не тот, либо мак, либо системная ошибка типа устаревшая версия авторизатора) при добавлении юзера делаем еще несколько полей 1 хеш винта юзера, второй его мак, и два флажка -- привязать юзера к маку, привязать юзера к хешу.Дабы админу лишний раз руки и ноги не напрягать, сделать так что, если поля не заполнены, то при первой УДАЧНОЙ авторизации они заполняются сами. Если флажков не стоит, то система при не совпадении этих полей делает лиш заметку в логе,а юзера в инет пускает(логинит), если флажки стоят, то делает заметку и не пускает. а насчет геммороя, да я бы не сказал, те у кого пользователей 30-200 не так уж и сильно напрягутся, винты не часто меняют, в конце концов можно обойтись заметками. а те у кого 500 и более врятли стг юзают да системы защиты там слегка другие ;-) Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2006-10-22 09:25:40 Автор Share Опубліковано: 2006-10-22 09:25:40 Сделал таки привязку IP-MAC. Но это с учетом того, что подсеть одна OnConnect: #! /bin/sh # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 #user MAC MAC1=`sed -n 's/Userdata1=//p' /var/stargazer/users/$LOGIN/conf` MAC2=`arp $IP | awk '/'$IP'/{print $3}'` if [ $MAC1 = $MAC2 ] then в добрый путь echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH " >> /var/stargazer/users/$LOGIN/connect.log else болт и досвидания echo "ERROR `date +%Y.%m.%d-%H.%M.%S` $MAC1 <--> $MAC2 " >> /var/stargazer/users/$LOGIN/badmac.log fi Сейчас опыты на юзверях провожу, пока боков не заметил. Если кто чего нашел кривого, подскажите, что не так, или как сделать проще... ................ За помощь гигантское спасибо товарищу Nab FREESCO router Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2006-10-22 09:42:34 Автор Share Опубліковано: 2006-10-22 09:42:34 Какой алгоритм смены серийника хранящегося на сервере? Адназанача руками ! разрешить или запретить - это как привязка к маку, как выдача нового пароля - это элемент безопасности, который должен контролироваться Админом ! Однозначно Админом...И только Админом. Если гдето и запореш бочину, то железно будеш знать кто виноват Ссылка на сообщение Поделиться на других сайтах
Kastilio 0 Опубліковано: 2006-10-23 07:47:16 Share Опубліковано: 2006-10-23 07:47:16 Сейчас опыты на юзверях провожу, пока боков не заметил.Если кто чего нашел кривого, подскажите, что не так, или как сделать проще... Было-бы неплохо ещё матюкальник юзеру отправлять, типа: Что-это ты такой гад под чужим логином заходишь??? Чтоб больше неповадно было... Ссылка на сообщение Поделиться на других сайтах
pal 0 Опубліковано: 2006-10-25 08:29:05 Share Опубліковано: 2006-10-25 08:29:05 А чего все так к мак-адресу прилипли? Это совсем не панацея, так, от полных идиотов защита. Рассказать, как элементарно обходится привязка к маку? Логин-пароль намного надежнее, а хранить их - забота только клиента. Ссылка на сообщение Поделиться на других сайтах
cristal 0 Опубліковано: 2006-10-25 17:31:17 Share Опубліковано: 2006-10-25 17:31:17 А чего все так к мак-адресу прилипли? Это совсем не панацея, так, от полных идиотов защита. Рассказать, как элементарно обходится привязка к маку? Логин-пароль намного надежнее, а хранить их - забота только клиента. Аха = мне интересно как это сделать когда ты подкючен в дырку вумного свича - который работет только с одним маком - с твоим маком - обойди его ! ---- А ваааще Вы правильно сказали - лог и пас - а кто как хранит = это забота не админа! Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас