17 Kwi
2008
17 Kwi
'08
15:09
17-04-08, Dariusz Kowalczyk <daro@i24.pl> napisał(a): > > > 4. Uwierzytelnianie: wedlug propozycji Dariusza: > > > > > > 1. po mac adresie bo to sie o dziwo może niektórym jeszcze przydać > > > 2. 802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS > > 2. po ludzku ;), uwierzytelnianie login/password lub certyfikat > > ogolny/osobny dla każdego usera (nie wgłębiałem się w to, ale chyba > > były jeszcze certyfikaty dla nasów), nie wiem ale myśle, że jeśli nikt > > z tego nie korzysta moglibyśmy sobie to odpuścić tym razem, z tego > > względu że to troche roboty, jakby chciało się to do porządku zrobić > > (trzeba by nie wiem dorobić typ dokumentu, certyfikat czy cos > > takiego), a co za tym idzie więcej kasy dla Alka > > > Jesli odpuścić to tylko EAP-TLS (tam gdzie certyfikat dla kazdego klienta trzeba > generowac.) No o to mi chodziło zeby odpuścić to gdzie kazdy user ma osobny cert. > Zas 802.1x + EAP-(PEAP/EAP-MSCHAPv2) to podstawa dzisiejszych bezpiecznych sieci > ethernet (czyli jak piszesz po ludzku login i haslo dla klienta, certyfikat tylko dla > serwera) > Uwaga na nazewnictwo bo EAP-TLS to nie to samo co EAP-TTLS, sa jeszcze inne np EAP-MD5 > ale nie zalecane bo nie sa bezpieczne dlatego nie pisałem o nich, skupiłbym więc tylko > na: > --------------------------------------------------------------------------------------- > > 1. po mac adresie bo to sie o dziwo może niektórym jeszcze przydać > > 2. 802.1x + EAP-(PEAP/EAP-MSCHAPv2) lub 802.1x+EAP-TTLS bo to bardzo podobne jedno No tak bo punkt drugi mowi tak naprawde o zabezpieczeniach dla ethernetu i wireless w warstwie dostepu do łącza o ile sie nie myle ;), w takim razie jak chcemy juz tak rozdzielac, to trzeba by zrobic osobny punkt dla PPPoE, bo tam niestety nie ma certyfikatów NASa ;) Ja się na 802.1x nie znam dobrze, próbowałem tego kiedys ale było wtedy jeszcze słabe wsparcie sprzętu klienckiego, wiec skupiłem się na pppoe. Pozdrawiam !DSPAM:48074c16174441859716918!