Вопросы Теги

Подлинный беспроводной доступ, хотя http сервер

Я склонен устанавливать брандмауэр перед ним с пределом на количество пакетов в секунду SYN.

2
задан 19 November 2009 в 02:49
3 ответа

В другой жизни я записал точно такой механизм. Немного брандмауэра здесь, веб-сервер там, некоторый материал, промежуточный для включения и выключения брандмауэра для данного IP-адреса и правила по умолчанию, которое перенаправляет весь порт 80 трафиков к веб-серверу, который имеет страницу входа в систему. Легкий как пирог?Не совсем.

Во-первых, можно попытаться смотреть на nocat, проект с открытым исходным кодом сделать просто этот вид вещи.

Не пытайтесь сделать это (опишите механизм, который делает беспроводную аутентификацию через присоединенный портал), сами. Это - короткая дорога к сумасшедшему городу.

Самый простой способ сделать это самостоятельно должно выполнить 2 набора APS (если они - не-VLAN дешевки, единственный ssid потребитель APS). Один набор APS находится на частной сети с веб-сервером, сервером DHCP и сервером DNS, который отвечает IP веб-сервера для всех поисков DNS. Кто-то ищет google.com? Они добираются 192.168.66.6. Они ищут snoopy.com? 192.168.66.6. Они ищут bobsyeruncle.net? 192.168.66.6. И на том веб-сервере, Вы помещаете веб-страницу, которая говорит, "добро пожаловать в (введите компанию здесь)". "Если Вы хотите использовать беспроводную сеть, изменить Ваш ssid на "securenet", установить его на "WPA2" и "eap-ttls" (или безотносительно беспроводного подлинного протокола Вы используете, мог бы быть).

Другой APS будет, конечно, подключен к "беспроводному" интерфейсу на Вашем брандмауэре и предоставит любой доступ, который Вы считаете надлежащими для доступа беспроводной сети на Вашем сайте.

О - ожидают - Вы не используете предобщий ключ, не так ли? Если Вы, у Вас действительно нет безопасности беспроводных сетей вообще. После того как я знаю ключ, я могу шпионить за общим трафиком. Даже дрянной потребитель APS в эти дни поддерживает WPA-предприятие и радиус, и можно использовать сервер радиуса на окнах и заставить беспроводную аутентификацию работать правильно.

Для того урока необходимо будет поместить другую четверть в машину и задать другой вопрос...

0
ответ дан 3 December 2019 в 12:24
  • 1
    Хорошо... кажется, что это - слишком много работы... для чего-то, что это уже работает..., но это было также больше..., как люди, компании делают это. Так благодарит за это. –  Syska 19 November 2009 в 19:11

Вот то, как это выполняется, где я работаю (наш сетевой парень мог, вероятно, уточнить больше):

Когда Вы соединяетесь с открытой сетью WL, Вы находитесь на 1-м общедоступном VLAN, который перенаправляет (через Сквид) весь трафик к нашей странице аутентификации. Аутентификация (через kerberos) помещает пользователя на 2-й VLAN, который имеет неограниченный доступ.

Я - немного серого в некоторых деталях там, но я уверен, что кто-то еще заполнит недостающие пятна.

2
ответ дан 3 December 2019 в 12:24
  • 1
    I' m получение идеи... теперь мне просто нужен самый легкий способ установить его, I' m я хочу пойти тем путем, или возможно Мы будем просто придерживаться с тем, что мы получили теперь... начиная с его работы, но усложнять жизнь некоторым пользователям :-) –  Syska 19 November 2009 в 19:12

Если Вы открыты для коммерческих решений, Беспроводные продукты Cisco могут сделать точно это. Вы покупаете много легких Точек доступа Aironet (достаточно для покрытия физического пространства), Контроллер беспроводной локальной сети, чтобы управлять ими и настроить веб-Аутентификацию на контроллере.

Ваш расход составляет $500/AP плюс $2 тысячи - 5 тысяч для контроллера (зависит от того, сколькими APS необходимо управлять).

Однако я должен сказать здесь, что правильно выполняемый автор Предприятия не требует никаких шагов на стороне клиента. Это просто работает. Возьмите AD, RADIUS, тот же Беспроводной Контроллер, чтобы управлять сетью, снизить корректный GPO клиентам, и - волшебство! - все находятся на беспроводной связи, прозрачно аутентифицируемой с их AD учетными данными. И затем можно использовать веб-Автора для гостевого доступа, где он принадлежит.

0
ответ дан 3 December 2019 в 12:24
  • 1
    I' m вполне уверенный, что любое высокопроизводительное (выход) беспроводное решение будет иметь присоединенную портала систему аутентификации. Конечно, трапеция и chantry/siemens/enterasys, Аруба и 3 или 4 беспроводных решения Cisco предлагают его. Я предположил, что они использовали потребителя APS который don' t предлагают несколько ssids и маркирование VLAN и мобильность IP и подобные необычные функции. –  chris 19 November 2009 в 17:00
  • 2
    AP' s используют автора хотя сервер FreeRadius..., таким образом, нет никакого AD. Это - dorm/kollegium..., где студенты живут, таким образом, деньги ограничены. Мы используем Aironet 1500 или что-то как этот от Cisco. Могло просто быть хорошим, если Автор, где легче для пользователей... не, что я возражаю настраивать его..., мог просто быть легче. –  Syska 19 November 2009 в 19:10
  • 3
    It' s лучше всего, чтобы иметь AD или любое другое решение для единой точки входа - иначе you' ll имеют ту же проблему много раз при добавлении новых сервисов для пользователей. Если Вы не имеете никаких денег или знаете Linux, используйте Samba; если Вы имеете немного денег и предпочитаете Windows, захватываете копию SBS. –  Max Alginin 19 November 2009 в 22:40
  • 4
    Единственное использование для FreeRadius для Автора к Беспроводной связи. Теперь мне просто нужен более умный путь к автору пользователи..., но это кажется сложному. –  Syska 21 November 2009 в 14:44

Теги

Похожие вопросы