Author |
Message |
|
Post subject: RE: centralne overovanie MAC adries
Posted: 24.03.2011 - 20:16 #89543
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
|
|
|
|
Post subject: RE: centralne overovanie MAC adries
Posted: 25.03.2011 - 10:55 #89554
|
|
Basic
Joined: Okt 27, 2006
Posts: 51
Location: Martin
|
|
chvalabohu na nasej skole su pomerne vymlete mozgy ale najdu sa dvaja traja co sa sparaju kde pride. RADIUS som uz pozeral avsak nepaci sa mi tam instalovanie autorizacnych certifikatov priamo do klientskych zariadeni.. Blizi sa vikend, vytlacim si tu stranku s radiusom a skusim si to po veceroch dokladne pozriet. Zatial som zacal riesit spominane DHCP s ARP. Pre nasich ziakov je to dost velka zabrana, oni vedia tak maximalne spustit NHL, FIFU a Counter Strike (niektori si nevedia ani pustit Word ) Tak zatial diky a keby niekoho napadlo dalsie univerzalne riesenie, bol by som vdacny |
|
|
|
|
|
|
Post subject: RE: centralne overovanie MAC adries
Posted: 25.03.2011 - 12:02 #89555
|
|
Majster
Joined: Feb 14, 2011
Posts: 2544
|
|
presne to, je u nas..tie certifikaty...je to na nerva.To tu ani nemusia robiť. |
|
|
|
|
|
|
Post subject: RE: centralne overovanie MAC adries
Posted: 25.03.2011 - 20:56 #89565
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
Smith wrote: › RADIUS som uz pozeral avsak nepaci sa mi tam instalovanie autorizacnych certifikatov priamo do klientskych zariadeni..
necitali ste pozorne chlapci
RADIUS podporuje viac autentifikacnych metod, metody EAP-TLS a EAP-TTLS vyzaduju instalaciu certifikatov na klietske zariadenia ALE metoda PEAP (Protected EAP) nic take nevyzaduje ! certifikat sa nainstaluje len na RADIUS server a na klientov nic. Treba ale vypnut kontrolu certifikatu servera na strane klienta - jedno "zaskrtavacie" policko treba zrusit. Ak nechcete riesie vobec ziadne certifikaty zvolte metodu EAP-MD5, ale tato sa da lahsie zlomit (hash MD5 bola prekonana). |
|
|
|
|
|
|
Post subject: RE: centralne overovanie MAC adries
Posted: 25.03.2011 - 23:47 #89566
|
|
Basic
Joined: Dec 27, 2005
Posts: 163
|
|
PEAP nepodporuju niektore zariadenia...
apropos certifikaty k EAP-TLS - ak si kupite za par korun zaruceny certifikat od certifikacnej autority tak sa instalacia certifikatu root-autority (to je ten "certifikat" o ktorom hovorite) mozete vyhnut... |
|
|
|
|
|
|
Post subject: RE: centralne overovanie MAC adries
Posted: 26.03.2011 - 01:41 #89567
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
sogi wrote: ›PEAP nepodporuju niektore zariadenia...
apropos certifikaty k EAP-TLS - ak si kupite za par korun zaruceny certifikat od certifikacnej autority tak sa instalacia certifikatu root-autority (to je ten "certifikat" o ktorom hovorite) mozete vyhnut...
Zariadenie ktore nevie PEAP bude mat problem aj s EAP-TLS a povedal by som ze este vacsi. RADIUS metoda nezavisi od autentifikatora cize APcka, je to end-to-end zalezitost medzi RADIUS serverom a klientom, APcko data len prenasa, presnejsie bali L2 ramce EAPoL (EAP over LAN) protokolu do UDP aby to bolo routovatelne.
Pri EAP-TLS potrebujes certifikat pre kazdeho klienta vzdy, klient sa v tomto pripade neoveruje menom a heslom ale svojim vlastnym certifikatom, takze nakup zaruceneho certifikatu nic nevyriesi, pretoze aj tak budes musiet vygenerovat a nainstalovat klientske certifikaty na vsetkych klientov.
Narozdiel od PEAP metody, ktora pouziva meno/heslo pricom spojenie je sifrovane resp chranene SSL-kom, preto nazov P-EAP cize Protected-EAP. Pri PEAP teda staci mat certifikat na RADIUSe (aby bolo mozne nadviazat SSL session), pricom moze byt aj ne-zaruceny (potom treba vypnut kontrolu na klientoch) alebo zaruceny a klient uz nemusi menit prakticky nic. Na zadanie mena/hesla bude vyzvany. Potom este existuje aj metoda EAP-TTLS (nemylit si s EAP-TLS), ktora tiez nevyzaduje klientske certifikaty ale pokial viem je to proprietarna vec od firmy Funk software.
Obrovska vyhoda (nezavisle na pouzitej metode) je ze WPA kluc ktorym sa sifruju data je jednorazovy, akonahle sa uzivatel odpoji kluc je neplatny a pri novom pripojeni dostane novy kluc - vsetko na pozadi, uzivatel nemusi nic nastavovat ani menit. |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |