Как стать автором
Обновить

Комментарии 36

Черенки от швабр — чем полировать, сорта вазелина, за, против, подводные камни…
НЛО прилетело и опубликовало эту надпись здесь
Вместе с бесплатной упаковкой высококачественного отечественного вазелина! Поддержи отечественного производителя! УРА!
А если подставить MAC адрес, только что ушедшего клиента, то получиться перехватить его сессию?
Перехватить или выдать себя за него? Правильная настройка инфраструктуры не позволит ни того (за счет MACSec), ни другого (за счет profiling). Но если ничего не настраивать, то…
Выдать себя за него, уже авторизовавшегося «по паспорту». Не очень понял как MACSec поможет защититься от подмены мака. И как работает profiling не подскажите? Или был бы признателен, если бы отправили куда нибудь почитать об этом.
От подмены MAC защитит сразу несколько технологий, в частности 802.1x. MACSec защитит трафик от перехвата. Профилирование поможет распознать тип устройства, ОС и ряд других параметров, которые злоумышленнику придется клонировать на своем устройстве, чтобы выдать себя за подменяемое. Но в этом случае включатся другие механизмы защиты. Почитать можно на www.cisco.com/go/ise и www.cisco.com/go/trustsec
Если используется 802.1x для аутентификации, это достаточно бессмысленное занятие.
Интересно, мне одному пост показался прямой рекламой Cisco?
НЛО прилетело и опубликовало эту надпись здесь
Да что Вы, откуда бы взяться рекламе Cisco в корпоративном блоге Cisco?
И что же дальше? Смена MAC-адреса — уголовное преступление? =(
Автор техноблога Techdirt Майк Масник (Mike Masnick) вспомнил, что интернет-активиста Аарона Шварца клеймили за то, что он подменял MAC-адрес своего компьютера при скачивании научных документов из сети JSTOR. Из-за судебного преследования за несанкционированный доступ к этим файлам и угрозы длительного заключения Шварц в январе 2013 года покончил с собой.

tjournal.ru/paper/mac-spoofing
Вы не поверите (с) www.zakonrf.info/uk/274/
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
[Уголовный кодекс РФ] [Глава 28] [Статья 274]

1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, — наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, — наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
Ну и ещё можно ознакомиться со статьями 272 и 273, а также правоприменительной практикой по ним.
Ничего себе! Где мы живём??!? Да пусть они в ж*** идут с такими законами! Валю из страны!
Верной дорогой идёте товарищи! =)
Как верно уже замечалось: на сегодняшний день для большинства (конечно, не для всех случаев: «анонимные» симки были есть и будут) код подтверждения по СМС на телефон будет вполне себе эквивалентен входу по паспорту, т.к. номер связан с документом напрямую.
А для того меньшинства, кто анонимизируется, и более сложные методы персонализации доступа будут обходимы…
Да, но вариант аутентификации по симке сложнее, т.к. требует взаимодействия владельца точки доступа и оператора мобильной связи
Cisco выражает готовнось идти в ногу со временем и заказами. Спасибо вам за помощь в подымании России с колен. Да прибудут с вами духовные скрепы.

Приятно читать всякие умные вещи, но не в таких случаях. Для чинуш можно было разослать готовое предложение состоящее из трёх слов «Мы уже можем». А не постить на Хабр в надежде, что «кто надо» заметит и обратит внимание, и обратится к вам за помощью в освоении бюджета.

Чувство прям гадкое внутри от этого материала.
Присоединяюсь к ощутившим гадкое чувство.

Алексей, ваши блогозаписи как «независимого» эксперта намного человечнее, чем ваши же блогозаписи как сотрудника компании Cisco.
Данный вопрос нам за последние 3 дня задали уже несколько раз. И задали не чиновники, которых не волнует реализация данного нормативного акта. Спрашивают владельцы точек доступа, установленных в гостиницах, ресторанах и других общественных местах. Многие из них уже использует ISE для контроля доступа. Заметка описывает как уже установленное решение применить и для актуальной задачи. Вопрос политической и юридической оценки данного нормативного акта я специально не поднимаю, о чем и написал выше.
Вы как взрослые люди должны понимать контекст. Если я скажу например «если трахать девушку с умом и фантазией, то ей понравится». И тут вроде спорить не с чем, и большинство согласится. Но если эту фразу во всеуслышание сказать на суде за жестокое изнасилование, то это же большинство может и убить.

По этому, да — материал хабровый, настройка по сути не привязана к паспорту и может применяться в других случаях, и да — точкопредоставлятели озабочены, но… Мне как тому, кто от этого пострадает, видеть ваш пост радости не доставляет. Такие дела.
Так я и не спорю даже :-( Есть ТЕХНИЧЕСКАЯ задача, описание которой дано в материале. ЭТИЧЕСКУЮ/ПРАВОВУЮ сторону проблемы я бы не хотел освещать. Как минимум, все может поменяться (есть такая вероятность и она совсем ненулевая). А как максимум, может произойти и вовсе такое, что проблема хождения в Интернет по паспорту покажется такой мелочью (не хотелось бы). Например, полное блокирование Интернет на границе РФ…
Обычный хотспот. Реализуется за полчаса с помощью chillispot/coovachilli. Веб-морда реализуется с помощью daloRADIUS.

По теме закона:
Надеюсь, кто-нибудь «там» догадается выпустить API для гос.услуг.
1. Авторизация через соцсети. Красивый и удобный ход. У нас государство сейчас ими очень активно интересуется, уверен, рано или поздно начнется борьба с фейками, если уже не началась. В любом случае, даже страница фейка имеет обязательную привязку к номеру мобильного телефона, за которым в 99% случаев стоит паспорт реального человека. Ничтожный, на самом деле, процент параноиков с левыми симками никого не интересует. Почти ничего не изменит, а, главное, не вызовет (у большинства) подозрений.
2. Некий иной аналог OpenID от государства a-la Госуслуги. Настолько же геморройно, насколько и получение данного ID. Хотя, учитывая подвиги в направлении карточек-ID вместо паспортов, в обозримом будущем вполне возможно.
3. Ввод непроверяемых ФИО и скана паспорта. Маловероятный вариант, по очевидным причинам.
4. Самый маразматичный, для точек на Почте России: ручное занесение в базу сотрудником, выдача логина/пароля.
1. Не гарантирует ничего, т.к. куча регистраций идет под непонятными никами, а привязка к номеру мобильного есть далеко не у всех. Те, кто не захочет, чтобы их контролировали, не будет привязываться. Про иностранцев и вовсе молчу.
2. Есть такой аналог — ЕСИА
3. Не совсем понял
4. Если будет ЕСИА, то регистрация там заменит и Почту России и госуслуги
1. Можно сделать авторизацию только через VK и OK, потому что:
а) они покрывают абсолютное большинство интернет-пользователей в России;
б) привязка номера телефона в них обязательна;
в) это чисто российские социальные сети, и проблемы с зарубежными спецслужбами снижены до минимума.
Ещё раз, процент параноиков и иностранцев ничтожно мал и никого не интересует. В любом случае, это возможно как альтернативный вариант логина;
2.Отсюда я понял, что получать оный ЕСИА нужно через те же госуслуги. Смысла в замене шила на мыло я не вижу.
3. Ну, допустим, у вас вместо логин-формы требование ввести ФИО и серию-номер паспорта. Опционально прикрепить фото. Почему нет?
4. См. п. 2.
Если я правильно понимаю логику идеологов ПП-758, то задача контролировать не законопослушных пользователей, а как раз тех, кто пытается скрыть свои «черные» дела под покрововм анонимности. А такие пользователи (террористы, экстремисты, оппозиционеры) будут стараться «спрятаться» за левыми логинами и фейковыми аккаунтами.

Если бы цель законопроекта была контролировать и не мешать, то регистрации через социальные сети хватило бы за глаза
А решение позволяет один раз зарегистрировать и аутентифицировать устройство через веб-форму, а потом автоматически давать ему доступ к WI-Fi без повторных запросов аутентификации? Например, запомнить его MAC.
Да, это можно сделать, но не рекомендуется. Все-таки MAC можно подменить
Запоздавший вопрос к «древней » статье:
А может ли кто оценить производительность Guest Portal на Cisco ISE?
ISE не отличается производительностью, а если еще «загрузить » и гостевой страницей, в которую куча народа стучаться будет?

Ну насчет куча — это преувеличение. У вас тысячи гостей в сутки? Врядли. Но на самом деле, многие гостиницы, аэропорту используют ISE и не имеют проблем. Вопрос в сервере, на котором запускается ISE
Ну какое же преувеличение? У меня на Хозяйстве до 60.000 гостей в игровой день, в нормальный день от 1.000 до 2.000 гостей. До Карантина так было.

гостевую WiFi переводить на ISE? Стремно.

Было бы интересно посмотреть на дизайн больших сетей, построенных на ISE.

Но системные интеграторы редко делятся информацией. А жаль.
На www.ciscolive.com, если сделать поиск по категории Cisco-on-Cisco и ключевому слову ISE, можно найти детальные разборы, как ISE, в том числе и для гостевого доступа, внедрялся у нас. На несколько сот тысяч адресов в офисах по всему миру
я знаю как работает гостевой доступ в немецких Cisco. Знаю и вижу, что сделано на ISE. Поэтому и стремно переходить полностью на «ISE — ненаглядную ».

Корпоративный доступ у меня то давно на " ненаглядной " сделан. Ну тут разговор то про максимум 1.000 пользователей. Сотрудники и пресса. Да и портала нет. Классически выполнено. 802.1X / AD or LDAP

А именно портал «стремает» меня. А с гостями ( 60.000 ) надо что-то решать. Время Captive Portal истекло. А вот время Hotspot 2.0, похоже не пришло.

PS. " а что скажет начальник транспортного цеха ?" (с), т.е. Максима Телеком?
Как там в столичном метро с Hotspot 2.0? Внедрили?

Или я пока конкретных примеров не нарыл. Может кто поможет?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий