>Почитал доки проникся.. смысл понятен. >Тогда может подскажите как авторизировать компы на которых стоит Freebsd (сервера) >и NOVEL? За авторизацию отвечает специальная программа-сапликант, в ее задачу входит отловить запрос на авторизацию и провести всю процедуру. В Windows XP и Windows 2003 Server саппликант интегрирован в саму систему (вкладка Authentication в свойствах сетевого подключения), для других систем существуют сторонние разработки (в том числе и Open Source). Полагаю, что решение для FreeBSD уж точно есть. Для Novell - не знаю. >В остальном вроде все ясно, >и еше момент если из свича выдернуть сам радиус и воткнутся туда >буком... получится посниферить уже выданные IP? я так понимаю порт где >сидит радиус настраивается на постоянку? Радиус не привязывается к конкретному порту, главное чтобы он был доступен коммутатору на уровне IP (это значит, что для простого L2 коммутатора Radius должен быть включен в управляющий влан), порт при этом абсолютно не важен. Если вы выдернете кабель, которым подключен Радиус, то все уже авторизованные пользователи продолжат работу, а при попытке авторизации кого-либо еще коммутатор пошлет запрос Радиусу, тот не ответит. Через таймаут свитч поймет, что Радиус сдох и если не предусмотрена локальная авторизация, то клиент получит отказ. Никакой важной информации злоумышленник не получит. Подключив себя вместо Радиуса злоумышленник окажется в управляющем влане, что само по себе конечно плохо. Максимум что он получит - это адрес управляющего интерфейса коммутатора. Но при правильных настройках коммутатора доступ к нему он не получит. По поводу того, что злоумышленник может подсунуть свой Радиус - на этот счет предусмотрен shared secret. И последнее - поскольку вы говорите, что свитч физически доступен посторонним, обратите особое внимание на настройки самого свитча. Пароли должны быть установлены ВЕЗДЕ (на телнет, на консоль, SNMP community и т.д.) и пароли сложные. Если это циска - настройте невозможность сброса пароля с сохранением конфигурации.
|