Pull to refresh

Рулим трафиком в Linux. Часть вторая.

Reading time 6 min
Views 7.4K
Configuring Linux *
Первую часть читайте здесь.

В этой статье мы рассмотрим:
— Авторизацию пользователей из базы данных MySQL.
— Детализацию трафика по направлениям.

Читать дальше →
Total votes 34: ↑31 and ↓3 +28
Comments 17

FreeRADIUS for WPA & WPA2 Enterprise: Windows 7, Android, Symbian, iPhone

Reading time 4 min
Views 25K
Wireless technologies *
В этой статье прекрасно описана конфигурация FreeRADIUS для WPA2 Enterprice, по ней я успешно сконфигурировал связку FreeRADIUS2 + WPA2 + EAP-TLS (аутентификация пользователя по WIFI WPA / WPA2 Enterprise, при помощи сертификатов). По этому утруждать ни себя ни вас, переводом я не стану.
Тем не менее в статье не хватает информации о тонкостях конфигурирования клиентов Android, Nokia Symbian, iPhone и Windows 7, для вышеописанной связки.
Что я и собираюсь сделать в этой дополняющей статье.

Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Comments 0

Wi-Fi с логином и паролем для каждого пользователя или делаем WPA2-EAP/TLS подручными средствами

Reading time 9 min
Views 261K
Information Security *
Tutorial
С практической точки зрения было бы удобно управлять Wi-Fi сетями, выдавая пароль каждому пользователю. Это облегчает задачу с доступом к вашей беспроводной сети. Используя так называемую WPA2 PSK авторизацию, чтобы предотвратить доступ случайному пользователю, нужно менять ключ, а также заново проходить процесс авторизации на каждом отдельном Wi-Fi устройстве. Кроме того, если вы имеете несколько точек доступа, ключ нужно менять на всех из них. А если Вам надо скрыть пароль от кого-нибудь, придется раздать всем сотрудникам новый.

Представим ситуацию — к вам в офис зашел кто-то посторонний (клиент, контрагент?), и нужно дать ему доступ в интернет. Вместо того, чтобы давать ему WPA2 — ключ, можно сделать для него отдельный аккаунт, который потом, после его ухода, можно удалить заблокировать. Это даст вам гибкость в управлении учетками, а пользователи будут очень довольны.

Мы сделаем удобную схему, применяемую в корпоративных сетях, но полностью из подручных средств с минимальными финансовыми и аппаратными вложениями. Ее одобрит служба безопасности и руководство.
Читать дальше →
Total votes 45: ↑43 and ↓2 +41
Comments 26

Авторизация через Radius на Mikrotik с подстановкой локальной группы

Reading time 3 min
Views 74K
System administration *
Sandbox
Всем доброго дня! Я работаю начинающим сетевым администратором в крупной федеральной компании со смешанной сетью, cisco, mikrotik, juniper.
И вот однажды появилась следующая задача.

Исходные данные:

1. Есть региональный системный администратор, у которого в подчинении несколько системных администраторов. У каждого системного администратора есть РУ — региональный узел, где головными устройствами стоят 2 Mikrotik 1100ahx2 и cisco c3550, по магазинам — MikroTik RB751G-2HnD.
2. На каждом Микротике заведена локальная группа с именем, совпадающем с городом: Омск — OMS, Кемерово — KMR, с полными правами на Микротик.

Задача:

Сделать авторизацию регионального администратора через Radius только в пределах своей зоны ответственности, допустим OMS и KMR.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Comments 0

Двухфакторная аутентификация клиентов Cisco AnyConnect. FreeRadius и Google Authenticator

Reading time 4 min
Views 20K
Information Security *


В предыдущей статье я рассматривал настройку двухфакторной аутентификации пользователей для подключения к корпоративным ресурсам через Cisco AnyConnect на базе Active Directory и Microsoft Azure Multi-Factor Authentication Server (MFAS). Сегодня предлагаю Вам рассмотреть вариант с использованием FreeRadius и Google Authenticator.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Comments 8

2.5F Аутентификация

Reading time 3 min
Views 9.5K
Information Security *
Tutorial
Привет, привет! Поздравляю всех причастных с днем ИБэшника )

Хочу поделиться опытом по настройке 2.5 факторной аутентификации удаленных пользователей. Почему 2.5, думаю, вы поймете из содержания, если считать модель «1. Что знаю. 2. Что имею. 3. Кем являюсь» эталонной. Если заинтересовало, прошу!
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Comments 7

Сетевые настройки из FreeRadius через DHCP

Reading time 11 min
Views 14K
Configuring Linux *MySQL *Python *IT Infrastructure **nix *
Tutorial

Прилетела задача наладить выдачу IP адресов абонентам. Условия задачи:

  • Отдельного сервера под авторизации не дадим — обойдетесь ;)
  • Абоненты должны получать сетевые настройки по DHCP
  • Сеть разнородная. Это и PON оборудование, и обычные свичи с настроенной Опцией 82 и WiFi базы с точками
  • Если ни под одно из условий выдачи IP данные не попадают — необходимо выдать IP из «гостевой» сети

Из хорошего: есть таки сервер на FreeBSD, который может «поработать», но он «за тридевять земель» ;),  не «прям в этой сети».
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Comments 2

Сервер двухфакторной авторизации LinOTP

Reading time 7 min
Views 8.2K
Information Security *System administration *
Sandbox
image

Сегодня я хочу поделиться, как настроить сервер двухфакторной авторизации, для защиты корпоративной сети, сайтов, сервисов,ssh. На сервере будет работать связка: LinOTP + FreeRadius.

Зачем он нам?
Это полностью бесплатное, удобное решение, внутри своей сети, не зависящее от сторонних провайдеров.

Данный сервис весьма удобен, достаточно нагляден, в отличии от других опенсорс продуктов, а так же поддерживает огромное количество функций и политик (Например login+password+(PIN+OTPToken)). Через API интегрируется с сервисами отправки sms (LinOTP Config->Provider Config->SMS Provider), генерирует коды для мобильных приложений типа Google Autentificator и многое другое. Я считаю он более удобен чем сервис рассматриваемый в статье.

Данный сервер отлично работает с Cisco ASA, OpenVPN сервером, Apache2, да и вообще практически со всем что поддерживает аутентификацию через RADIUS сервер (Например для SSH в цод).

Требуется:

1 ) Debian 8 (jessie) - Обязательно! (пробная установка на debian 9 описанна в конце статьи)

Начало:

Устанавливаем Debian 8.
Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Comments 14

Как мы выбирали VPN-протокол и сервер настраивали

Reading time 11 min
Views 23K
Information Security **nix *Network technologies *Server Administration *Cloud services *
Sandbox

Зачем всё это и для чего?


У нас было: 10 самых простых конфигураций серверов на DigitalOcean, мобильные устройства на базе iOS, сервер для сбора статистики, никакого опыта в настройке VPN-серверов, а также неукротимое желание сделать быстрый, надёжный и простой в использовании VPN-сервис, которым будет приятно пользоваться. Не то, чтобы всё это было категорически необходимо, но если уж начали, то к делу надо подходить серьёзно.

Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Comments 10

Freeradius + Google Autheticator + LDAP + Fortigate

Reading time 7 min
Views 12K
Configuring Linux *Information Security *Open source **nix *Server Administration *
Tutorial
Как быть, если двухфакторной аутентификации и хочется, и колется, а денег на аппаратные токены нет и вообще предлагают держаться и хорошего настроения.

Данное решение не является чем-то супероригинальным, скорее — микс из разных решений, найденных на просторах интернета.
Читать дальше →
Total votes 2: ↑2 and ↓0 +2
Comments 17

AD + Freeradius + Google Authenticator. Установка с нуля для Cisco Anyconnect и не только

Reading time 9 min
Views 8.2K
Configuring Linux *Information Security *System administration *
Tutorial
Итак, у нас встала задача включить двухфакторную аутентификацию для Cisco AnyconnectVPN и некоторых других пакетов. Общими у всех задач есть одно – они умеют аутентифицироваться в Radius.

Существует большое количество платных решений (например Cisco DUO), но – платное не значит лучше и зачем платить больше?
Читать дальше →
Rating 0
Comments 5