[mdk-re] Re: [mdk-re] Два вопроса

Mikhail Zabaluev =?iso-8859-1?q?mookid_=CE=C1_sigent=2Eru?=
Чт Апр 5 02:00:12 MSD 2001 

Hello Волков,

On Wed, Apr 04, 2001 at 10:21 +0400, Волков Сергей wrote:
>
> > По  этой  причине  единственный  выход  -  авторизовать  не  комп,   а
> > пользователя.  Кстати, в win-сетях это можно сделать на уровне домена.
> > Очевидный,  дедовский  способ  авторизации  - заставить ввести пароль.
> > Дальше всё понятно.
> >
> это обходится нажатием простого ESC, однако согласен что по умолчанию всем
> пользователям присоить по DHCP можно принудительно левую сеть с роутингом в
> никуда
> 
> > Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не
> > писать собственные проги, а просто прописать поднятие маскарадинга для
> > IP,  зарегистрированного  на  пользователя,  в его входных скриптах. И
> > отключение,  соответственно,  при  выходе. Естественно, надо запретить
> > редактирование  этих скриптов пользователю. Надо в инет - зайди по ssh
> 
> а как менять на ходу IP если пользователь вошел с другого IP address
> 
> > или  telnet,  введи  пароль  -  и всё работает. Как только вышел - всё
> > отрубилось.  Единственное  неудобство  -  болтающееся на десктопе окно
> > телнета.  Но это не страшно, ИМХО. При таком способе любые манипуляции
> > с  IP, MAC - адресами, даже точкой подключения к сети, ничего не дают.
> > Если  пользователь изменит данную ему настройку, он просто не выйдет в
> > инет  (ну,  изменил  ты IP на соседский, пароль-то свой остался... так
> > что  при  входе поднимется не его, а твой IP). Надёжность этой системы
> > ограничивается   только   надёжностью   криптозащиты  и  корректностью
> > действий  пользователей  по  защите своих паролей от компрометации. Но
> > тут  надо  просто  договориться,  что  каждый  будет  платить столько,
> > сколько  отработано  от  его имени, и никаких разговоров на тему "я не
> > работал, меня хакнули". Хакнули - значит хреново пароль бережёшь.
> >
> > Если  предусматривать дальнейшее расширение сети - можно действительно
> > написать  CS-программку,  которая  будет  заниматься  всеми описанными
> > делами на клиенте. Но при объёме в десяток - другой пользователей это,
> > ИМХО, излишняя трата времени и сил.
> 
> а еще эта задача похоже очень актуальна для домашних сетей, которых так
> много сейчас??
> кто знает как она сейчас решается???

Насколько я знаю, в коммерческих сетях масштаба микрорайона (о где вы,
где вы, эти микрорайоны) решаются сразу две проблемы - авторизация и
исключение "нюхачей" - путем установки IPSec или подобных
защищенных соединений между машиной клиента и провайдерской точкой
доступа и accounting'а. Конечно, потребуется поддержка на стороне клиента,
но в нашем любимом дистрибутиве этого добра в ядре хватает :)

-- 
Stay tuned,
  MhZ
___________
Moderation is a fatal thing.  Nothing succeeds like excess.
		-- Oscar Wilde

Подробная информация о списке рассылки community