Re: ограничить+авторизировать доступ в инет

To: debian-russian@lists.debian.org
Subject: Re: ограничить+авторизировать доступ в инет
From: Oleg Gritsinevich <olegg@ukrpack.net>
Date: Mon, 25 Oct 2004 11:30:34 +0300
Message-id: <[🔎] 20041025083034.GA1076@kunashir.ukrpack.net>
Mail-followup-to: Oleg Gritsinevich <olegg@ukrpack.net>, debian-russian@lists.debian.org
Reply-to: Oleg Gritsinevich <olegg@ukrpack.net>
In-reply-to: <[🔎] 20041025061643.GB12057@xserver>
References: <[🔎] 20041025061643.GB12057@xserver>

On Mon, Oct 25, 2004 at 10:16:43AM +0400, Vadim Kutchin wrote:
[skip]
> Хотелось бы сделать следующее:
> Если юзер захотел поработать в инете, то для этого ему надо указать
> пароль. Дополнительно к этому вводятся дневные\недельные ограничения на
> траффик - почты можно 100 мег, http можно 50 мег, остального можно 10
> мег. И логи чтобы складывались для контроля\анализа.
> 
> Что лучше почитать, как отправную точку, для создания такой системы?
> С помощью каких инструментов?
	Можно посмотреть на реализации captive portal-ов (оно правда
изначально задумывалочь для Wi-Fi, но для этой задачи тоже должно
подойти). Там идея в следующем: юзера находятся в приватной сети, наружу
ходят через "интеллектуальный" гейтвей (ИГ), при попытке выхода наружу
неавторизованного пользователя (н.п. в строке браузера набирается адрес
интернетовского ресурса) ИГ делает автоматический редирект на страничку
авторизации, там юзер вводит логин/пароль. Если всё совпало, то для
айпишника данного юзера на ИГ открываются фильтры наружу и делается NAT.
Потом, в процесее работы сканятся счётчики iptables и считается трафик,
по исчерпании фильтры закрываются. Можно поискать может есть патчи для
iptables, которые умеют выставлять лимит на трафик.
	За подробностями:
http://en.wikipedia.org/wiki/Captive_portal
http://wiki.personaltelco.net/index.cgi/PortalSoftware
	Только нужно иметь в виду, что в этом подходе есть куча вопросов
связанных с безопасностью:
1) конфиденциальность передачи аутентификационных данных (допустим для
писюков это не вопрос - практически все умеют HTTPS, чего не скажешь о
разных наладонниках и т.п.);
2) не давать возможность юзерам "прикидываться" друг другом и
вырабатывать чужой трафик. Речь идёт о возможности подмены IP- и
MAC-адресов.
3) если адреса выдаются по DHCP, то нужно иметь ввиду вероятность того,
что шибко умный юзер может в локалке поднять свой DHCP-сервер и выдавать
юзерам в качестве default gateway адрес подконтрольного ему хоста, на
котором он может поднять свой captive portal "очень похожий" на
оригинальный и таким образом насобирать пользовательских
логинов/паролей.
4) если предполагается, что captive portal и его клиенты могут быть
воткнуты не в один свич и/или находиться в различных подсетях, то
сложность обеспечения безопасности возрастает в разы.

-- 
With best regards, Oleg Gritsinevich

Reply to:

Follow-Ups:
- Re: ограничить+авториз ировать доступ в инет
  - From: Kutilin Alex <knalex@gmail.com>

References:
- ограничить+авторизировать доступ в инет
  - From: Vadim Kutchin <amadis@chemi.komisc.ru>

Prev by Date: Re: Promise RAID FastTrak S150 TX2plus
Next by Date: Re: перестали работать xcalc, xfontsel итп
Previous by thread: Re: ограничить+авторизировать доступ в инет
Next by thread: Re: ограничить+авториз ировать доступ в инет
Index(es):
- Date
- Thread