Pull to refresh

Установка и настройка VPN сервера с биллинговой системой AbillS на Ubuntu 7.10

Reading time 7 min
Views 17K
Configuring Linux *
Наверно всем известно, что ситуация с ценами на интернет в Москве и по России разительно отличается.
Для сравнения в Тольятти (Самарская область) безлимитный доступ на скорости 512кбит/с на месяц обходится в сумму 2300р.
В столице за эту же сумму можно наверно взять уже 20Мбит.

Так вот, как бы это дико не звучало, но я собираюсь, для уменьшения расходов, делиться этим каналом (512кбит/с) еще с несколькими людьми в локальной домовой сети =)

Провайдер дает доступ к интернету через свой VPN сервер.

Юзеры в локалке имеют доступ ко внутригородским ресурсам бесплатно и без контроля трафика.
Во внешку было решено выпускать их через VPN соединение с сервером в локальной сети.

Система была опробована и работает уже почти полгода, нареканий в работе никаких не поступило, все стабильно.

Конфигурация сервера: Pentium III 1000MHz, SDRAM 512Mb

Для уменьшения нагрузки на серве, было решено не использовать сжатие и шифрование, в связи с этим в клиентах требуется дополнительно снять галочку «требовать шифрование» в настройках VPN в Windows

В этой инструкции было решено собрать весь опыт по установке и настройке.
Изначально писал для себя, но думаю общественности тоже может быть полезно.

Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Comments 68

VPN-сервер в стиле how-to (pptpd+mysql+radius) на CentOS6

Reading time 9 min
Views 37K
Configuring Linux *
image Хотя статьи в стиле how-to и не очень комментируемые, и в основном не с положительными комментариями, однако, именно их, больше всего добавляют в закладки.
Здесь я постараюсь описать процесс установки и настройки VPN-сервера на CentOS6 с пользователями в MySQL и авторизацией через радиус для шифрованного соединения по ms-chap-v2 и mppe.

Преамбула

Откуда берутся данные статьи? Все просто. Когда мы ищем соискателей работы, например, на должность системного администратора, то после отбора кандидатов на предварительном собеседовании, состовляются тестовые задания, реализуются своими силами, а потом предлагаем их решить соискателям. Для исполнения заданий, соискателю предоставляется виртуальная машина, доступ в интернет, и определенное время. Время расчитывается просто — наша реализация *2. При этом, Вы можете считать, что все необходимые решения (how-to) можно найти на просторах интернета, однако, мы учитываем это, и поэтому не берем готовых решения, а состовляем и решаем предварительно их сами, на свежих дистрибютивах. Кстати, бывают случаи, когда мы натыкаемся на определенные проблемы при реализации (маленькие незадокументированные шалости разработчиков), и в случае, если кандидат идет правильным курсом, но попадает в затык именно на этой проблеме, подсказываем найденное нами, её решение.
Читать дальше →
Total votes 62: ↑53 and ↓9 +44
Comments 65

Аутентификация на сетевых устройствах CISCO средствами Active Directory

Reading time 5 min
Views 80K
System administration *
Sandbox

Интеграция CISCO AAA и Microsoft Active Directory


Наверняка многие системные администраторы рано или поздно сталкиваются с проблемой аутентификации на сетевых устройствах. Если руководствоваться best-practices, то учетные записи должны быть персонифицированными, пароли должны отвечать критериям устойчивости, время жизни паролей должно быть ограничено. Также не будем забывать о разграничении уровней доступа в соответствии с выполняемыми задачами и поддержке актуальности базы пользователей, связанной с изменениями в штате сотрудников. При соблюдении этих требований ведении базы пользователей на каждом устройстве становится трудоемкой и нетривиальной задачей, а на практике часто просто игнорируется, администраторы ограничиваются заданием паролей на физическую и виртуальную консоль и заданием пароля суперпользователя (enable). Логичным решением этой проблемы является ведение единой базы пользователей с контролем выдвигаемых к учетным записям требований. Если у нас есть Active Directory, почему бы не использовать его?

image
Рис.1 Топология системы

Читать дальше →
Total votes 22: ↑21 and ↓1 +20
Comments 18

WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети

Reading time 7 min
Views 309K
Information Security *
В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Читать дальше →
Total votes 63: ↑61 and ↓2 +59
Comments 52

Samba4, Radius и PPTP с использованием MS-CHAP v2

Reading time 15 min
Views 32K
Configuring Linux *
Sandbox
…У-ф-ф, свершилось. Всё оказалось довольно просто, хотя времени потратить пришлось изрядно, в основном на поиск информации, коей на просторах Интернета (полезной, конечно) – кот наплакал… А уж как она (эта информация) разрознена! Поэтому, решил написать это руководство, основанное на собственном опыте внедрения. Главное, что всё будет собрано в одном месте (кроме, возможно, настроек bind9, но об этом чуть позже).

Итак, задача. Есть сервер с Ubuntu 12.04. Он должен стать:

  • PDC Windows-домена c Active-Directory.
  • Сервером VPN (пусть, например, это будет PPTP, но с обязательной поддержкой MS-CHAP v2 и MPPE-128) с авторизацией на Radius –сервере (для определённости – freeradius).
  • Соответственно – Freeradius-сервером.
  • Терминальным сервером, на котором прозрачно авторизуются пользователи AD.

Приступаем.
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Comments 48

Wi-Fi с логином и паролем для каждого пользователя или делаем WPA2-EAP/TLS подручными средствами

Reading time 9 min
Views 261K
Information Security *
Tutorial
С практической точки зрения было бы удобно управлять Wi-Fi сетями, выдавая пароль каждому пользователю. Это облегчает задачу с доступом к вашей беспроводной сети. Используя так называемую WPA2 PSK авторизацию, чтобы предотвратить доступ случайному пользователю, нужно менять ключ, а также заново проходить процесс авторизации на каждом отдельном Wi-Fi устройстве. Кроме того, если вы имеете несколько точек доступа, ключ нужно менять на всех из них. А если Вам надо скрыть пароль от кого-нибудь, придется раздать всем сотрудникам новый.

Представим ситуацию — к вам в офис зашел кто-то посторонний (клиент, контрагент?), и нужно дать ему доступ в интернет. Вместо того, чтобы давать ему WPA2 — ключ, можно сделать для него отдельный аккаунт, который потом, после его ухода, можно удалить заблокировать. Это даст вам гибкость в управлении учетками, а пользователи будут очень довольны.

Мы сделаем удобную схему, применяемую в корпоративных сетях, но полностью из подручных средств с минимальными финансовыми и аппаратными вложениями. Ее одобрит служба безопасности и руководство.
Читать дальше →
Total votes 45: ↑43 and ↓2 +41
Comments 26

LinkMeUp. Выпуск 3

Reading time 1 min
Views 6K
Self Promo
В сегодняшнем выпуске мы решили немного изменить ход беседы:

1) Новости телекома
  • Развитие сетей LTE
  • Передача данных на скорости 400 Гб/c на расстояние 12000 км
  • Технология бесшовного роутминга между сетями 3g/4g и wifi/
  • Противостояние Америки и китайских производителей сетевого оборудования

2) Общие размышления на тему удалённой работы для инженеров
3) Протоколы RADIUS и DIAMETER.



Скачать файл.
Total votes 17: ↑14 and ↓3 +11
Comments 2

Реализация VoIP карточной платформы на FreeSWITCH с использованием RADIUS

Reading time 15 min
Views 13K
Development of communication systems *
Sandbox
Встала задача избавиться от старого хлама в стойке и реализовать программную версию, слегка забытой, но до сих пор существующей технологии для оказания, как правило, междугородней/международной связи для абонентов других операторов посредством звонка на специальный номер доступа и вводом ПИН кода. Авторизация абонентов проходит через биллинг посредством RADIUS, записи о звонках складываются туда же.

Сама по себе платформа мало кому интересна, но когда я писал конфиги, мне очень не хватало примеров использования, надеюсь, этот пример кому-нибудь пригодится.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Comments 4

Перенаправление пользователей по правилам в Squid

Reading time 3 min
Views 13K
Configuring Linux *
Sandbox
По работе столкнулся с такой проблемой: есть десяток прокси серверов (squid) в разных странах и не один десяток пользователей. Каждый из них сам решает через какой сервер работать — есть chrome extension в котором они могут сделать выбор.

Но все сервера находятся на разном удалении от пользователя и пользователь из России, пользуясь сервером в Канаде сталкивается с хорошими тормозами. С другой стороны все сервера подключены в дата центрах к магистралям и между ними задержки много меньше.

Было принято решение направлять каждого пользователя к ближайшему к нему серверу, а от туда к выбранному.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Comments 0

Как взламывают корпоративный Wi-Fi: новые возможности

Reading time 4 min
Views 88K
Positive Technologies corporate blog Information Security *
Статей о взломе Wi-Fi в Интернете достаточно много, но большинство из них касаются режима работы WEP/WPA(2)-Personal, в котором необходимо перехватить процедуру «рукопожатия» клиента и Wi-Fi-точки. Во многих корпоративных Wi-Fi-сетях используется режим безопасности WPA2-Enterprise, с аутентификацией по логину и паролю — как наименее затратный способ. При этом аутентификация осуществляется с помощью RADIUS-сервера.

image

ОС клиента устанавливает соединение с RADIUS-сервером, используя шифрование при помощи TLS, а проверка подлинности в основном происходит при помощи протокола MS-CHAPv2.
Читать дальше →
Total votes 45: ↑41 and ↓4 +37
Comments 29

UniFi Controller, отображение RADIUS логинов

Reading time 5 min
Views 15K
System administration *Network technologies *
Sandbox
Некоторое время назад прочитал статью (на Хабре, но повторно найти не удалось), в которой рассказывалось о том, как настроить отображение логинов авторизованных RADIUS-пользователей в веб-панели управления контроллером, установленном на *nix системе. Я воспринял, что то конкретное решение подходит лишь для *.nix, поэтому, вдохновившись, решил реализовать подобное на Windows + NPS (aka RADIUS-сервер).

Также под катом есть информация о том, как передавать данные из событий Windows в задачу планировщика.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Comments 4

LinOTP+RADIUS. Аутентификация с помощью одноразовых паролей

Reading time 12 min
Views 18K
Information Security *
Sandbox

1. Основные сведения


В данной инструкции описывается процесс интеграции LinOTP и FreeRadius на машинах под управлением CentOS а также настройка аутентификации пользователей SSH по ОТР, сгенерированному с помощью программного обеспечения Google Authenticator (или любого, использующий аналогичный алгоритм).
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Comments 0

Freeradius. Поддержка различных типов аутентификации пользователей одновременно

Reading time 2 min
Views 11K
Information Security *
В данной статье хотелось бы поделиться своим опытом по настройке freeradius в части поддержки различных типов аутентификации пользователей.

К сожалению, столкнувшись с данной проблемой, я не смог найти готового решения на просторах гуглов и прочих яндексов, и поэтому раскуривал маны самостоятельно.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Comments 0

Сборка и настройка FreeRADIUS 3 с поддержкой SQLITE

Reading time 3 min
Views 26K
Information Security *
Доброго дня, уважаемые.
Хочу поделиться с Вами решением одной творческой задачи. Надеюсь кому-то будет полезно.
Итак,

ДАНО:


маломощная железка с arm процессором и собранный под нее и установленный Debian 7 wheezy.

ЗАДАЧА:


поставить FreeRADIUS 3.0.X, настроить его на работу с БД SQLITE. Т.е., учетные записи пользователей (которых нужно аутентифицировать) RADIUS должен брать из БД SQLITE.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Comments 2

DoS своими силами: К чему приводит бесконтрольный рост таблиц в базе данных

Reading time 5 min
Views 11K
Латера Софтвер corporate blog


Биллинг — сложная система, одним из важнейших компонентов которой является база данных. В ней содержится множество разнообразных таблиц, которые со временем разрастаются до больших размеров.

Для того, чтобы это рост не замедлял работу базы, в Oracle, PostgreSQL и других СУБД существует эффективный механизм секционирования (partitioning) — однако его не всегда можно применять. К примеру, он отсутствует в относительно бюджетной редакции системы Oracle Standard Edition.

Исторически сложилось так, что в нашем биллинге для операторов связи «Гидра» мы не реализовывали собственный механизм секционирования, ограничившись созданием руководства для клиентов, в котором были описаны шаги для отслеживания роста таблиц и минимизации возможных проблем с быстродействием системы. Как выяснилось в дальнейшем, этого было явно недостаточно.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Comments 4

Продолжается передел акций Luxoft

Reading time 2 min
Views 5.3K
Research and forecasts in IT *Finance in IT
Американская инвестиционная компания JPMorgan скупила 4.5% акций Luxoft, в то время как французский фонд BNP Paribas, наоборот, сократил свою долю в два раза. Как это связано с финансовой ситуацией Luxoft?
Читать дальше →
Total votes 14: ↑9 and ↓5 +4
Comments 5

Интеграция Cisco FirePOWER и ISE

Reading time 8 min
Views 19K
CBS corporate blog IT Infrastructure *Cisco *Network technologies *


Привет habr! Начиная с версии FirePOWER 6.0.0.0, появилась возможность интеграции с корпоративным сервером централизованной аутентификации и авторизации Cisco ISE. В данной заметке кратко рассмотрим, что именно даёт связь Cisco FirePOWER с ISE и как эта связь настраивается.
Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Comments 30

Технологии разработки и поддержки сложного продукта: опыт «Гидры»

Reading time 6 min
Views 5K
Латера-Планадо corporate blog IT Infrastructure *
image

В нашем блоге мы уже рассказывали о биллинге для операторов связи «Гидра» — наших подходах к разработке сложных продуктов, а также описывали реальные кейсы внедрения системы. Сегодня мы подробнее поговорим о стеке технологий и инструментов, которые используются в процессе разработки и эксплуатации нашего проекта.
Читать дальше →
Total votes 13: ↑11 and ↓2 +9
Comments 3

Корпоративный wifi на UBNT с порталом и доменной аутентификацией

Reading time 2 min
Views 31K
IT Infrastructure *Network technologies *Wireless technologies *
Всем привет. Хочу поделиться вариантом реализации корпоративного wifi на нескольких SSID с разными политиками доступа для каждой беспроводной сети и доменной аутентификацией.
Схема тестового стенда выглядит так:


Подробности под катом.
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Comments 23
1