>Почитал доки проникся.. смысл понятен.
>Тогда может подскажите как авторизировать компы на которых стоит Freebsd (сервера)
>и NOVEL?
За авторизацию отвечает специальная программа-сапликант, в ее задачу входит отловить запрос на авторизацию и провести всю процедуру. В Windows XP и Windows 2003 Server саппликант интегрирован в саму систему (вкладка Authentication в свойствах сетевого подключения), для других систем существуют сторонние разработки (в том числе и Open Source). Полагаю, что решение для FreeBSD уж точно есть. Для Novell - не знаю.
>В остальном вроде все ясно,
>и еше момент если из свича выдернуть сам радиус и воткнутся туда
>буком... получится посниферить уже выданные IP? я так понимаю порт где
>сидит радиус настраивается на постоянку?
Радиус не привязывается к конкретному порту, главное чтобы он был доступен коммутатору на уровне IP (это значит, что для простого L2 коммутатора Radius должен быть включен в управляющий влан), порт при этом абсолютно не важен.
Если вы выдернете кабель, которым подключен Радиус, то все уже авторизованные пользователи продолжат работу, а при попытке авторизации кого-либо еще коммутатор пошлет запрос Радиусу, тот не ответит. Через таймаут свитч поймет, что Радиус сдох и если не предусмотрена локальная авторизация, то клиент получит отказ. Никакой важной информации злоумышленник не получит.
Подключив себя вместо Радиуса злоумышленник окажется в управляющем влане, что само по себе конечно плохо. Максимум что он получит - это адрес управляющего интерфейса коммутатора. Но при правильных настройках коммутатора доступ к нему он не получит.
По поводу того, что злоумышленник может подсунуть свой Радиус - на этот счет предусмотрен shared secret.
И последнее - поскольку вы говорите, что свитч физически доступен посторонним, обратите особое внимание на настройки самого свитча. Пароли должны быть установлены ВЕЗДЕ (на телнет, на консоль, SNMP community и т.д.) и пароли сложные. Если это циска - настройте невозможность сброса пароля с сохранением конфигурации.
|
