в двух словах — pppd плагины radius.so и radattr.so. Радиус общается с биллингом и отдает pppd соответствующие атрибуты. в /etc/ppp/ip-up.d лежит скрипт который парсит /var/run/radattr.pppX и уже исходя из этого манипулирует tc/iptables. Ну и в ip-down.d — аналогичный который подметает правила при падении интерфейса. Все остальное уже зависит от этого скрипта.
если используется mschap-v2, то только атакой перехваченного хеша по словарю.
но ведь есть еще и почта, аська, фтп и прочие сервисы, в которых пароль летает в открытом виде. Мы, конечно, не гарантируем конфиденциальности, но если есть техническая возможность обезопасить клиента от детей, просмотревших видео «как юзать Cain&Abel» — думаю, грех ею не воспользоваться.
> если это доступ в интернет (мини-ISP) — шифрование не нужно совсем
ровно до того момента, пока какой-то умник не начнет баловаться с arp-spoofing, а прецеденты уже были.
вводить обязательное шифрование и терять из-за этого клиентов с дешевыми роутерами тоже не всем хочется — проще предупредить что вот мол ваш роутер дешевый и убогий, если нужна безопасность — покупайте cisco или ставьте *nix тазик
Это решение рассматривалось. Насторожило, что последний патч — к ядру 2.6.13, последняя запись в changelog датирована 2005-02-02. Похоже, пациент скорее мертв чем жив.
Создать бекап — это только половина дела. Нужно еще проверять возможность восстановления с него. И доверять нельзя не только бекапам хостеров, а и своим собственным до тех пор пока не убедитесь в целостности дампа.
Проверьте SRV-записи своего домена. По слухам, gtalk очень обижается если у вас их нет для _xmmp-server._tcp, _jabber._tcp, _xmmp-client._tcp (или если они в космос смотрят)
Подозреваю, его s2s смотрит исключительно на SRV-записи.
Ну и, конечно, адекватность своего днс-а тоже стоит проверить.
официальный клиент под mac страшный как атомная война. под linux нет вообще никакого. с чего бы и не появится альтернативным клиентам при том что спеки на протокол открыты?
но ведь есть еще и почта, аська, фтп и прочие сервисы, в которых пароль летает в открытом виде. Мы, конечно, не гарантируем конфиденциальности, но если есть техническая возможность обезопасить клиента от детей, просмотревших видео «как юзать Cain&Abel» — думаю, грех ею не воспользоваться.
ровно до того момента, пока какой-то умник не начнет баловаться с arp-spoofing, а прецеденты уже были.
вводить обязательное шифрование и терять из-за этого клиентов с дешевыми роутерами тоже не всем хочется — проще предупредить что вот мол ваш роутер дешевый и убогий, если нужна безопасность — покупайте cisco или ставьте *nix тазик
правда, несколько смущает
cygnus wrote on 2008-11-06
… I tried to contact the Original Author, but didn't receive any answers.
но все равно попробую c ним связаться, если не получится — обращусь к маинтейнеру пакета в debian
Подозреваю, его s2s смотрит исключительно на SRV-записи.
Ну и, конечно, адекватность своего днс-а тоже стоит проверить.
Firefox can't find the server at www.pidgin.im.
Я что-то пропустил?