The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Авторизация через telnet/radius/firewall/nat"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Авторизация через telnet/radius/firewall/nat"  
Сообщение от Nerian email on 25-Дек-07, 22:39 
Добрый день!

С помощью черего в linux/freebsd можно настроить авторизацию для доступа через nat с использованием telnet?

К примеру пользователь без доступа, может сделать с машины telnet server.com 259 где у него спросят его логин и пароль, после черего сервер создаст нужное правило на фаерволе.

Есть ли готовые решения, или придёться писать свой скрипт и вещать его через xinetd?

Спасибо

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Авторизация через telnet/radius/firewall/nat"  
Сообщение от newser (ok) on 25-Дек-07, 22:48 
>[оверквотинг удален]
>с использованием telnet?
>
>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>где у него спросят его логин и пароль, после черего сервер
>создаст нужное правило на фаерволе.
>
>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>через xinetd?
>
>Спасибо

Полагаю, безопасность Вас не интересует в принципе?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Авторизация через telnet/radius/firewall/nat"  
Сообщение от Nerian email on 25-Дек-07, 22:58 
>[оверквотинг удален]
>>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>>где у него спросят его логин и пароль, после черего сервер
>>создаст нужное правило на фаерволе.
>>
>>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>>через xinetd?
>>
>>Спасибо
>
>Полагаю, безопасность Вас не интересует в принципе?

В данный момент меня больше интересует какой продукт для этого можно использовать. Просто я видел такое на CheckPoint'е, и задумался, а можно ли так сделать на *nix. Я понимаю что телнет можно просниферить как нечего делать, но это уже другой вопрос )

Как универсальный и достаточно "безопасный" вариант мне в голову приходит только создание пользователя к примеру inetuser у которого вместо щела стоит скрипт который при успешной авторизации добавит на 60 минут правило в фаервол разрешающий доступ с ip с которого было подключение, с условием что авторизация прощла. Но в этом примере имеються два неудобства (связанные с безопасностью):

1. Клиент должен иметь программу ssh для доступа к серверу (что не всегда есть)
2. Клиент по мимо своего пароля должен ещё помнить пароль и логин inetuser/inetuser.

В общей сложности такой скрипт делаеться и отлаживаеться за час.

Просто повторюсь. Интересует уже готовое решение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Авторизация через telnet/radius/firewall/nat"  
Сообщение от newser (ok) on 25-Дек-07, 23:09 
>[оверквотинг удален]
>
>
>1. Клиент должен иметь программу ssh для доступа к серверу (что не
>всегда есть)
>2. Клиент по мимо своего пароля должен ещё помнить пароль и логин
>inetuser/inetuser.
>
>В общей сложности такой скрипт делаеться и отлаживаеться за час.
>
>Просто повторюсь. Интересует уже готовое решение.

Насчёт готовых решений не подскажу, но предложу вариант, раз с написанием скриптов у Вас проблем нет:

Простейшая авторизация может быть реализована через https - просто и в достаточной мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю эту схему как хотите, в том числе и в плане безопасности.

Это один из возможных вариантов, направление, так сказать.

Удачи!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Авторизация через telnet/radius/firewall/nat"  
Сообщение от Nerian email on 25-Дек-07, 23:12 
Спасибо! ) Ещё один интересный способ


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Авторизация через telnet/radius/firewall/nat"  
Сообщение от Koba LTD email on 26-Дек-07, 13:39 
>[оверквотинг удален]
>
>Простейшая авторизация может быть реализована через https - просто и в достаточной
>мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается
>скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю
>эту схему как хотите, в том числе и в плане безопасности.
>
>
>Это один из возможных вариантов, направление, так сказать.
>
>Удачи!

Вопрос - а чем не подходил VPN - есть все что вам нужно - и авторизация, после успешного прохождения которой подымаеться защещеный канал и интерфейся с маршрутами, там же в скриптах можно и правила на файрвол вешать.
т.е. авторизация - есть, безопастность(приемлимая) -есть, унивирсальность в плане клиента - есть. Зачем ара изобритать велосипед.
Вот так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Авторизация через telnet/radius/firewall/nat"  
Сообщение от LM email(??) on 26-Дек-07, 14:52 
Да я так спросил. Увидил как сделано в checkpoint и подмал а как так сделать в linux. Мне по большому всё равно безопасно или нет, подходит ли в этом случае vpn или просто nat. Интересно просто чем такое можно было бы реализовать в linux/bsd.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Авторизация через telnet/radius/firewall/nat"  
Сообщение от Tuxper (ok) on 26-Дек-07, 12:03 
>[оверквотинг удален]
>с использованием telnet?
>
>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>где у него спросят его логин и пароль, после черего сервер
>создаст нужное правило на фаерволе.
>
>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>через xinetd?
>
>Спасибо

Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила и пока открыто окно клиента SSH, инет работает...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Авторизация через telnet/radius/firewall/nat"  
Сообщение от Ночной админ (ok) on 27-Дек-07, 03:30 
>Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться
>по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила
>и пока открыто окно клиента SSH, инет работает...

Гуглим по запросу "Аутентификационный шлюз на базе authpf"
Есть это тут http://www.opennet.dev/base/sec/authpf_auth.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру