ну то есть приходят PS и допиливают тебе CSD+ SPACE
Ой, а у вас солюшен разваливается и джобы виснут
Roman
Roman
Джун: Купите у нас PS
Roman
(real story)
Anonymous
Народ, а с каптив-порталом, есть какой-то другой способ аутентификации пользовательского трафика, кроме как по IP/MAC?
Anonymous
Я всмысле после авторизации на каптив портале имею ввиду
Anonymous
Вот зашел юзер, ввел там токен или код из смс, его пустило
Anonymous
Дальше, его трафик по IP же либо макам пускается через шлюз
Anonymous
А тех, кто не авторизовался - не пускает...
Anonymous
Вот и интересно, есть ли что-то лучше, IP/MAC, но без использования 802.1x / WPA2-Enterprise
Al
Вот и интересно, есть ли что-то лучше, IP/MAC, но без использования 802.1x / WPA2-Enterprise
вообще не понимаю ваши требования, юзер уже авторизовался, вы вдобавок еще проверяете его по ип и даже мак вас не смущает.. но вы еще к этому что то сверху хотите? ну ключ привяжите еще хардверный
Anonymous
Anonymous
Пользователь авторизовался, дальше он шлёт запрос на гугл
Anonymous
Как шлюз/фаервол/роутер поймёт, что этот тот пользователь, что авторизовался только что...
Anonymous
Как шлюз его пакеты отличит от чужих
Al
Как шлюз/фаервол/роутер поймёт, что этот тот пользователь, что авторизовался только что...
а портал где у вас? на шлюзе самом?
Anonymous
На веб-сервере каком-нибудь
Al
Нет конечн
ну почему нет конечн.. можете на норм фаере запилить учетки, пипл идет через фаер - вбивай логин да пароль.. масштаб какой у вас? просто вы и простое не хотите - портал на фаере и в то же время вас по ип-мак не смущает
Anonymous
Anonymous
Фильтрует трафик один софт, каптив-портал обеспечивает другой софт.
Вопрос, о том, возможно ли ещё как-то фильтровать трафик
Al
Anonymous
Или в любом случае, все утыкается в матчинг по IP/MAC
Anonymous
А не веб сервер с каптив порталом)
Anonymous
Куда юзер только один раз должен зайти и больше не контактировать с ним после авторизации (как минимум до окончания своей «сессии»)
Anonymous
Ещё вариант, как В московском метро - приложение ставить на устройство юзеру, которое будет сигналить параметры юзера. Но это не наш вариант.
Al
Куда юзер только один раз должен зайти и больше не контактировать с ним после авторизации (как минимум до окончания своей «сессии»)
ну как бы для этого и сделан .х? как фаер поймет что его не обманывают у каждого вендора по разному реализуется, у чекпоинта насколько я помню были механизмы понимания сессий
Al
Ещё вариант, как В московском метро - приложение ставить на устройство юзеру, которое будет сигналить параметры юзера. Но это не наш вариант.
так вы задачу опишите? или вы с мегафона и тоже вай фай в метро строите?
Anonymous
ну как бы для этого и сделан .х? как фаер поймет что его не обманывают у каждого вендора по разному реализуется, у чекпоинта насколько я помню были механизмы понимания сессий
Всмысле не обманывают, как он понимает, что трафик пользователю принадлежит?)
Anonymous
так вы задачу опишите? или вы с мегафона и тоже вай фай в метро строите?
В самом первом посте описал
Anonymous
И дальше дополнил
Anonymous
Есть ли что-то надежнее IP и МАКов, что позволит фаеру отличить трафик конкретного пользователя?
Roman
Huawei Launches SD-WAN Cloud Services for the First Time, Helping Enterprises Intelligently Connect to the Cloud - Huawei News
https://e.huawei.com/en/news/networking/201810121734?utm_medium=sm&utm_source=twitter&utm_campaign=HC
Purrr
Ну хуавею с дивана виднее да
Purrr
Мне кто-то так рассказ ывал про сдван
Purrr
Но произносил сдиван
Purrr
А я не мог понять,чо блядь за диван ж)
Roman
Эс как доллар
Purrr
Когда понял аш орнул
Roman
Ди как ДиКаприо
Roman
Ван как Ваня
Al
Есть ли что-то надежнее IP и МАКов, что позволит фаеру отличить трафик конкретного пользователя?
вам скорее нужно вопрос вендору задать или форум покурить как фаер понимает что этот пользователь им и является и как срабатывают механизмы защиты от обхода.. как вы кстати их видите - типо пользователь один залогинился в этого ip, потом зашел другой под этим же ip но с другой учеткой и фаер не понял?
Ilya
Не вижу смысла в sd-wan. Уже вряд-ли кто-то, кроме сотовиков использует по мегабайтную тарификацию в энте
Ilya
В смысле второй канал - gsm
Misak
не, бирасики мы раз в 3 года апгрейдим
Anonymous
вам скорее нужно вопрос вендору задать или форум покурить как фаер понимает что этот пользователь им и является и как срабатывают механизмы защиты от обхода.. как вы кстати их видите - типо пользователь один залогинился в этого ip, потом зашел другой под этим же ip но с другой учеткой и фаер не понял?
Я вообще про теоретическую возможность использования, чего-либо кроме ip/mac/802.1x/wpa2-enterprise
Misak
16.1 пока на них побудет. Будем IPv6 внедрять, если будут проблемы может и проапгрейдим. А так трогать не будем
Ilya
vBNG
Ilya
😁
Anton
вообще не понимаю ваши требования, юзер уже авторизовался, вы вдобавок еще проверяете его по ип и даже мак вас не смущает.. но вы еще к этому что то сверху хотите? ну ключ привяжите еще хардверный
ну так как сеть открытая, то без проблем можно поснифать трафик, а потом назначить себе перехваченный мак и айпишник, после того, как настоящий пользователь отключится.
Al
ну так как сеть открытая, то без проблем можно поснифать трафик, а потом назначить себе перехваченный мак и айпишник, после того, как настоящий пользователь отключится.
эм.. фаер должен все равно произвести аутентификацию даже если вы подмените ип
Yury
вам скорее нужно вопрос вендору задать или форум покурить как фаер понимает что этот пользователь им и является и как срабатывают механизмы защиты от обхода.. как вы кстати их видите - типо пользователь один залогинился в этого ip, потом зашел другой под этим же ip но с другой учеткой и фаер не понял?
Пальто умеет в user-id, завязано на AD и ряд дополнительных патерн пользователя. Больше чем уверен, в большинстве современных фаеров есть что-то подобное
Pavel
В виндах контейнеры o_O
Pavel
Осел эдж в контейнерах
Pavel
Диво
Ilya
Пальто умеет в user-id, завязано на AD и ряд дополнительных патерн пользователя. Больше чем уверен, в большинстве современных фаеров есть что-то подобное
В srx тоже есть интеграция с AD, но там хитрости
Alexander
эм.. фаер должен все равно произвести аутентификацию даже если вы подмените ип
с доменных контроллеров сливаются секурити логи на менеджмент центр или сам фаервол (в зависимости от решения) идет мапинг пользователя в ip адрес + смотрятся секурити логи когда вошел/вышел
Alexander
если на за одним хостом работают несколько юзеров (например терминальный сервер) то ставится агент
Alexander
В srx тоже есть интеграция с AD, но там хитрости
оно везде примерно одинаково работает, что в пальто, что в чекпоинт , что в фаерповер
Yury
В srx тоже есть интеграция с AD, но там хитрости
Ну в принципе как и везде, допиливать приходится много
Alexander
если надо прям что прям по красоте то ISE+ Firepower или Checkpoint в связке
Eugene
Энтерпрайзная супердорогущая тема
Eugene
А тут пытаются натянуть на хомячков с 500р арпу
Alexander
гайз подскажите что линукс поставить чтобы зеркальный трафик из гре разворачивало и писало?
Alexander
Доебали меня Force10, обычный RSPAN наглухо сломан, хочу ERSPAN сделать (работает вроде как) но тем кто смотрит это надо какое решение на сервур
Viktorich
Доебали меня Force10, обычный RSPAN наглухо сломан, хочу ERSPAN сделать (работает вроде как) но тем кто смотрит это надо какое решение на сервур
Они вроде только в порт умели спанить?
Alexander
там rpm, он настраивается но на сервере тишина
Alexander
с порта на порт или erspan - нормально работает
Evgeniy
Evgeniy
Че всех уже позвали?
Sergey
что то допру, аса создал интерфейсов с разными секюрити левелами, если ничего больше не трогал, ведь он должен роутить трафик , или по дефолту всё запрещено?
Viktorich
Запрещено
Sergey
там по умолчанию политика инспектирования всяких обычных протоколов, но пока не создал акцесс-груп ани ту ани, трафик не ходил
Evgeniy