Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

bypassare autenticazione web mediante tunnel pppoe

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
mfricano



Registrato: 21/10/07 21:04
Messaggi: 11

MessaggioInviato: Dom Ott 21, 2007 9:15 pm    Oggetto: bypassare autenticazione web mediante tunnel pppoe Rispondi citando

Ho letto che nella distribuzione zero shell è presente un client pppoe e non un server . Adesso mi chiedo esiste non metodo per autenticare l'utente che eviti l'autenticazione web? Io effettuavo l'autenticazione dei miei client mediante un tunnell pppoe, il cui server gestiva l'inserimento dell'utente nel database e la comunicazione col radius. questo facilitava di molto le connessioni perchè era lo stesso access point del client in molti casi ad effettuare l'autenticazione risultando completamente trasparente lato utente. In zeroshell si puo' evitare il web login effettuanto l'autenticazione tramite tunnell, ssh o similari?


Grazie
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Ott 22, 2007 7:01 pm    Oggetto: Rispondi citando

Hai diverse possibilità:

- se ti riferisci ad autenticazione su di una rete Wi-Fi o su switch che supportino l'autenticazione 802.1x allora puoi usare il server RADIUS di Zeroshell. Ovviamente se si tratta di wireless il protocollo 802.1x lo trovi integrato in WPA/WPA2 versione Enterprise. In tal caso la maggior parte dei sistemi come Mac OS X e Windows XP/Vista hanno già il supplicant integrato, mentre su altri come le meno recenti distribuzioni Linux potresti dover installare Xsupplicant o altro.

- Se invece vuoi un sistema che non dipenda dal tipo di rete (wifi o cablata) allora potresti optare per le VPN. Potresti cioè configurare il firewall di Zeroshell in maniera che sbarri qualsiasi collegamento che non sia IPSec o verso la porta TCP 1194 di OpenVPN. In tale maniera solo chi si autentica con username e password o certificato digitale X.509 potrà stabilire la VPN che gli permette l'accesso oltre il firewall. Questa sarebbe la scelta che più di tutte assomiglia al PPPoE da te proposto, con in più due vantaggi:

1) Il traffico viaggia criptato sia durante l'autenticazione che durante tutta la sessione di lavoro;

2) Avresti uniformità nell'accesso alla LAN sia che ci si connetta da fuori usando il collegamento WAN, sia che si acceda localmente.

Tra i due tipi di VPN (IPSec/L2TP e OpenVPN), se non ti pesa installare il client OpenVPN, io sceglierei quest'ultimo perché più facile da configurare e non teme i router NAT.

Saluti
Fulvio Ricciardi
Top
Profilo Invia messaggio privato
mfricano



Registrato: 21/10/07 21:04
Messaggi: 11

MessaggioInviato: Sab Ott 27, 2007 5:58 pm    Oggetto: Rispondi citando

Grazie come sempre per la tempestiva risposta. Credo che entrambi i modi siano piu' svantaggiosi rispento ad un server ppoe collegato al radius.

Per diversi motivi:

1 Si deve installare un client, cosa non fattibile in molti access point mentre diverse marche di ap come mikrotik hanno gia un client ppoe

2 Se voglio creare un hotspot libero non devo criptare l'accesso wireless perchè sara il captive portal col radius a gestire il tutto (gli utenti devono vedere un ap libero) mentre con 800.1x o eap la criptazione è di tipo wpa o wpa2.

3 Non posso bloccare tutto sul firewall tranne i tunnell perchè altrimenti gli utenti hotspot saranno anche loro obbligati a fare il tunnel (procedura tediosa per connessioni al volo).


Tutto questo vuole essere di suggerimento se effettivamente ho ragione o di consiglio per me se mi sto sbagliando.

Grazie
Top
Profilo Invia messaggio privato
mfricano



Registrato: 21/10/07 21:04
Messaggi: 11

MessaggioInviato: Sab Ott 27, 2007 6:01 pm    Oggetto: Rispondi citando

In pratica io vorrei la liberta dell'hotspot per gli utenti di passaggio e la praticità di una autenticazione trasparente per gli utenti domestici o fissi che si collegano al medesimo hotspot.


Grazie infinite
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Ott 29, 2007 7:54 pm    Oggetto: Rispondi citando

mfricano ha scritto:

1 Si deve installare un client, cosa non fattibile in molti access point mentre diverse marche di ap come mikrotik hanno gia un client ppoe

Sia che si scelga la soluzione WPA/WPA2, sia quella con VPN non devi installare niente sugli Access Point. I client Windows o MAC OS X dispongono già del loro supplicant PEAP o EAP-TLS. Se utilizzi OpenVPN l'installazione del client con relativa GUI è veramente banale. Poi mi sembra di capire che dovrai farlo soltanto per i client abituali, mentre gli altri saranno gestiti dal Captive Portal.

mfricano ha scritto:

2 Se voglio creare un hotspot libero non devo criptare l'accesso wireless perchè sara il captive portal col radius a gestire il tutto (gli utenti devono vedere un ap libero) mentre con 800.1x o eap la criptazione è di tipo wpa o wpa2.

In realtà se i tuoi access point gestiscono il multi SSID mappato su VLAN 802.1q puoi creare un SSID in chiaro su cui connettere una VLAN controllata dal Captive Portal e un SSID criptato e autenticato da 802.1x senza web login.

mfricano ha scritto:

3 Non posso bloccare tutto sul firewall tranne i tunnell perchè altrimenti gli utenti hotspot saranno anche loro obbligati a fare il tunnel (procedura tediosa per connessioni al volo).


Quello che si fa in questi casi e sbloccare nel firewall la porta 1194 tcp/udp (OpenVPN). In tale maniera chi si connette in VPN potrà farlo senza doversi autenticare preventivamente sul Captive Portal.

Fermo restando che preferisco la VPN per il suo alto grado di sicurezza, accetto i tuoi consigli e valuttando l'introduzione di un server PPPoE al quale non avevo mai pensato.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
mfricano



Registrato: 21/10/07 21:04
Messaggi: 11

MessaggioInviato: Mar Ott 30, 2007 5:45 pm    Oggetto: Rispondi citando

hai ragione,

La vpn è piu' sicura e il multi ssid risolverebbe il problema di due ap.

Ma rimane il problema principale... L'utente deve connettersi in vpn! Mentre io volevo che l'utente non facesse nulla, ma non per pigrizia e neanche per non dover installare il client ma per i seguenti motivi:

Mi spiego: supponiamo che dall'uscita lan dell'ap voglia collegare un voip adapter. Lo posso fare? no perche esso dovrebbe prima instaurare un tunnell vpn. se l'utente vuole collegare per esempio un decoder satellitare (che necessita di connessione internet) all'access point client del mio hotspot non puo farlo a meno che il decoder satellitare abbia un client vpn.
Col ppoe è l'ap ha fare la connessione è quindi l'utente puo' collegare qualsiasi accessorio che avra comodamente la connesione libera.

Inoltre se l'utente vuole collegare 4 pc lo puo fare tranquillamente, potresti rispondere ...beh lo poteva fare anche prima abilitando il multi utente, ma in quel caso potrebbe anche regalare le credenziali ad un amico che abiti da tutt'altra parte ma che riceva il segnale del mio hotspot. In questo modo io non comunico user e pass ma li imposto io stesso nell'ap.

Inoltre con la vpn non perderei la gestione degli utenti a traffico, tempo (quando sarà attiva) e il relativo tracciamento delle connessioni?


GRAZIE INFINITE PER PAZIENZA E BONTA
Top
Profilo Invia messaggio privato
roby



Registrato: 27/06/07 11:15
Messaggi: 5

MessaggioInviato: Mer Ott 31, 2007 9:34 am    Oggetto: Rispondi citando

fulvio ha scritto:
mfricano ha scritto:

1 Si deve installare un client, cosa non fattibile in molti access point mentre diverse marche di ap come mikrotik hanno gia un client ppoe

Sia che si scelga la soluzione WPA/WPA2, sia quella con VPN non devi installare niente sugli Access Point. I client Windows o MAC OS X dispongono già del loro supplicant PEAP o EAP-TLS. Se utilizzi OpenVPN l'installazione del client con relativa GUI è veramente banale. Poi mi sembra di capire che dovrai farlo soltanto per i client abituali, mentre gli altri saranno gestiti dal Captive Portal.

mfricano ha scritto:

2 Se voglio creare un hotspot libero non devo criptare l'accesso wireless perchè sara il captive portal col radius a gestire il tutto (gli utenti devono vedere un ap libero) mentre con 800.1x o eap la criptazione è di tipo wpa o wpa2.

In realtà se i tuoi access point gestiscono il multi SSID mappato su VLAN 802.1q puoi creare un SSID in chiaro su cui connettere una VLAN controllata dal Captive Portal e un SSID criptato e autenticato da 802.1x senza web login.

mfricano ha scritto:

3 Non posso bloccare tutto sul firewall tranne i tunnell perchè altrimenti gli utenti hotspot saranno anche loro obbligati a fare il tunnel (procedura tediosa per connessioni al volo).


Quello che si fa in questi casi e sbloccare nel firewall la porta 1194 tcp/udp (OpenVPN). In tale maniera chi si connette in VPN potrà farlo senza doversi autenticare preventivamente sul Captive Portal.

Fermo restando che preferisco la VPN per il suo alto grado di sicurezza, accetto i tuoi consigli e valuttando l'introduzione di un server PPPoE al quale non avevo mai pensato.

Saluti
Fulvio


Questa soluzione risolverebbe molti problemi, specie nelle realtà hot-spot, posso chiederti, di realizzare una piccola guida sullo stile di quelle messe fra i vari doc, così che si possa verificare la soluzione ?

Un ulteriore problema che nasce utilizzando il Captive è il blocco dei POP-UP, sarebbe utile intercettare questa situazione, magari tramite uno script e notificare
Top
Profilo Invia messaggio privato
mfricano



Registrato: 21/10/07 21:04
Messaggi: 11

MessaggioInviato: Gio Nov 01, 2007 10:36 am    Oggetto: Rispondi citando

Non posso fare una guida per zeroshell in quanto non ha un server ppoe posso pero mandarti tutte le info necessarie per capire.

http://www.freeantennas.com/PPPoE-Server-HOWTO.html
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Nov 01, 2007 5:51 pm    Oggetto: Rispondi citando

Vedi anche post
http://www.zeroshell.net/forum/viewtopic.php?t=474

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it