17-04-08, Dariusz Kowalczyk daro@i24.pl napisał(a):
Uwierzytelnianie: wedlug propozycji Dariusza:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
- po ludzku ;), uwierzytelnianie login/password lub certyfikat
ogolny/osobny dla każdego usera (nie wgłębiałem się w to, ale chyba były jeszcze certyfikaty dla nasów), nie wiem ale myśle, że jeśli nikt z tego nie korzysta moglibyśmy sobie to odpuścić tym razem, z tego względu że to troche roboty, jakby chciało się to do porządku zrobić (trzeba by nie wiem dorobić typ dokumentu, certyfikat czy cos takiego), a co za tym idzie więcej kasy dla Alka
Jesli odpuścić to tylko EAP-TLS (tam gdzie certyfikat dla kazdego klienta trzeba generowac.)
No o to mi chodziło zeby odpuścić to gdzie kazdy user ma osobny cert.
Zas 802.1x + EAP-(PEAP/EAP-MSCHAPv2) to podstawa dzisiejszych bezpiecznych sieci ethernet (czyli jak piszesz po ludzku login i haslo dla klienta, certyfikat tylko dla serwera) Uwaga na nazewnictwo bo EAP-TLS to nie to samo co EAP-TTLS, sa jeszcze inne np EAP-MD5 ale nie zalecane bo nie sa bezpieczne dlatego nie pisałem o nich, skupiłbym więc tylko na:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2) lub 802.1x+EAP-TTLS bo to bardzo podobne jedno
No tak bo punkt drugi mowi tak naprawde o zabezpieczeniach dla ethernetu i wireless w warstwie dostepu do łącza o ile sie nie myle ;), w takim razie jak chcemy juz tak rozdzielac, to trzeba by zrobic osobny punkt dla PPPoE, bo tam niestety nie ma certyfikatów NASa ;) Ja się na 802.1x nie znam dobrze, próbowałem tego kiedys ale było wtedy jeszcze słabe wsparcie sprzętu klienckiego, wiec skupiłem się na pppoe.
Pozdrawiam
!DSPAM:48074c16174441859716918!