Ahoj, jde sice jen o otázku ke státnicím, ale to ji neubírá na důležitosti. Chci se zeptat na pár věcí. Popis otázky:
"Domácí síť 2 PC, 3 notebooků a 5 mobilních zařízení (smartphone, PDA apod.) propojená zčásti sítí 100BaseTX, zčásti sítí podle IEEE 802.11b/g se sdíleným přístupem k Internetu."
Návrh by pak měl obsahovat způsob, jak zajistit individuální nastavení dostupnosti Internetových služeb pro jednotlivé uživatele (nikoli zařízení!) a použité protokoly pro zabezpečení alespoň na 2 vrstvách RM ISO/OSI, povinně na aplikační vrstvě alespoň pro aplikace WWW, el. pošta, FTP;
Napadlo mě udělat síť využívající 802.1x a Radius server. Ten by běžel na nějakém slabém stroji na Linuxu s použitím FreeRADIUS. Síť by pak byla propojena nějakým switch-AP-routerem, dneska už to umí prakticky každá mašinka i pod 2000,-.
Zajímalo by mě pár věcí:
Jaká verze Linuxu by byla nejvhodnější (musí být free)?
Podle oficiálních stránek FreeRADIUS obsahuje Dialup Admin, nějak jsem to prolézal, ale moc moudrý nejsem. Lze na něm nastavit nějaké omezení připojení k internetu (ne pouze celkově do sítě)? Jde mi o to, jestli by tato aplikace nezvládla i nějakou pokročilejší konfiguraci uživatelů.
"Domácí síť 2 PC, 3 notebooků a 5 mobilních zařízení (smartphone, PDA apod.) propojená zčásti sítí 100BaseTX, zčásti sítí podle IEEE 802.11b/g se sdíleným přístupem k Internetu."
Návrh by pak měl obsahovat způsob, jak zajistit individuální nastavení dostupnosti Internetových služeb pro jednotlivé uživatele (nikoli zařízení!) a použité protokoly pro zabezpečení alespoň na 2 vrstvách RM ISO/OSI, povinně na aplikační vrstvě alespoň pro aplikace WWW, el. pošta, FTP;
Napadlo mě udělat síť využívající 802.1x a Radius server. Ten by běžel na nějakém slabém stroji na Linuxu s použitím FreeRADIUS. Síť by pak byla propojena nějakým switch-AP-routerem, dneska už to umí prakticky každá mašinka i pod 2000,-.
Zajímalo by mě pár věcí:
Jaká verze Linuxu by byla nejvhodnější (musí být free)?
Podle oficiálních stránek FreeRADIUS obsahuje Dialup Admin, nějak jsem to prolézal, ale moc moudrý nejsem. Lze na něm nastavit nějaké omezení připojení k internetu (ne pouze celkově do sítě)? Jde mi o to, jestli by tato aplikace nezvládla i nějakou pokročilejší konfiguraci uživatelů.
Moc RADIUS neznám, ale řekl bych, že tak jak jsi to nakreslil to fungovat nebude. V té verzi na obrázku se ten RADIUS použije jenom pro přihlášení pro Wi-Fi část (teda aspoň u těch levných zařízení to nejde nastavit i pro ethernet). Další problém je to, že po přidělení IP adresy už všechna komunikace půjde mimo ten server, takže by jsi musel mít nějak ošéfovaný firewall na tom routeru, aby blokoval jednotlivé porty na základě IP adresy, kterou bys přiděloval na základě přihlášeného uživatele. Což by bylo asi dost krkolomné.
Řešil bych to tak, že by ten sever sloužil i jako router, firewall. Takže by měl dvě rozhraní: jedno pro konektivitu do Internetu a ke druhému by byl připojený switch s bezdrátovou částí, které by byly propojeny do bridge.
Jinak co studuješ za školu? Ta otázka je celá taková divná.
1) Ten popisovaný model pracuje na TCP/IP ne na ISO/OSI
2) Kdyby aspoň napsali že je to malá firma a ne domácnost (už vidím, jak někdo kvůli právám pro přístup uživatelú k různým službám nechá jet nonstop počítač).
3) Asi největší blbost je omezovat služby na aplikační vrstvě. To se snad dělá tím firewallem na transportní vrstvě. Jedině že by to bylo myšleno jako přístup k těmto službám na serveru v rámci domácnosti. Že by domácnost měla svůj vlastní intranet, FTP server a emailový server. To by se pak asi dalo řešit pomocí databáze uživatelů (třeba to MySQL, když to má být free) a jednotlivé servery nakonfigurovat pro autorizaci uživatelů s ní. (Umí to Apache, proFTPD a určitě i nějaký sendmail nebo tak něco.)
Popravdě řečeno tomu moc nerozumím, tak se omlouvám za případné bludy, co jsem tu napsal.
Řešil bych to tak, že by ten sever sloužil i jako router, firewall. Takže by měl dvě rozhraní: jedno pro konektivitu do Internetu a ke druhému by byl připojený switch s bezdrátovou částí, které by byly propojeny do bridge.
Jinak co studuješ za školu? Ta otázka je celá taková divná.
1) Ten popisovaný model pracuje na TCP/IP ne na ISO/OSI
2) Kdyby aspoň napsali že je to malá firma a ne domácnost (už vidím, jak někdo kvůli právám pro přístup uživatelú k různým službám nechá jet nonstop počítač).
3) Asi největší blbost je omezovat služby na aplikační vrstvě. To se snad dělá tím firewallem na transportní vrstvě. Jedině že by to bylo myšleno jako přístup k těmto službám na serveru v rámci domácnosti. Že by domácnost měla svůj vlastní intranet, FTP server a emailový server. To by se pak asi dalo řešit pomocí databáze uživatelů (třeba to MySQL, když to má být free) a jednotlivé servery nakonfigurovat pro autorizaci uživatelů s ní. (Umí to Apache, proFTPD a určitě i nějaký sendmail nebo tak něco.)
Popravdě řečeno tomu moc nerozumím, tak se omlouvám za případné bludy, co jsem tu napsal.
Moze to byt zapojene tak ako si to nakreslil. Za "switch-AP-router" mozes dat hocijaky broadband router s wifi rozhranim. Mnohe modely uz maju podporu pre Radius.
Otázka spíše ze zajímavosti:
Jak to teda bude fungovat v tom původním zapojení? Předpokládejme, že zadání je myšleno jako omezení služeb z Internetu. Na routeru vypnu DHCP server a zapnu ho v té mašine s RADIUSem. Pro Wi-Fi je mi to trochu jasné. Při připojování k síti se pošle IP adresa podle přihlášeného uživatele. U toho ethernetu to bude fungovat jak? Jde to vůbec nějak nastavit, aby se uživatel musel přihlašovat? A co mi v obou případech zabrání, abych si změni IP adresu brány na ten router a prakticky se vyhl všem omezením?
Jak to teda bude fungovat v tom původním zapojení? Předpokládejme, že zadání je myšleno jako omezení služeb z Internetu. Na routeru vypnu DHCP server a zapnu ho v té mašine s RADIUSem. Pro Wi-Fi je mi to trochu jasné. Při připojování k síti se pošle IP adresa podle přihlášeného uživatele. U toho ethernetu to bude fungovat jak? Jde to vůbec nějak nastavit, aby se uživatel musel přihlašovat? A co mi v obou případech zabrání, abych si změni IP adresu brány na ten router a prakticky se vyhl všem omezením?