Witaj Rafal,
W Twoim liście datowanym 9 maja 2006 (00:25:03) można przeczytać:
> Witaj KrzychK2,
> W Twoim liście datowanym 8 maja 2006 (23:50:41) można przeczytać:
>> 2) obrzydzić maksymalnie sposób autoryzacji tak aby dla uprawnionego
>> klienta był prosty jasny i oczywisty a dla kombinatora, dziwny,
>> nieodgagniony, pochrzaniony. Systemy FreeBSD (nie wiem jak linux)
>> oferują mechanizm authpf który generuje odpowiednie regułki firewalla
>> w momencie uzyskania autoryzacji.
> fajny ficzer :)
> co prawda w ISP zastosowanie niebardzo no chyba ze napisac jakas
> ladna aplikacje ala neostrada+ ;)
Podsunąłem tylko pomysł. Co kto dalej sobie z tym zrobi to już jego
problem. Kiedyś myślałem co w zamian pppoe i tak bardzo głupie to nie
jest.
>> 3) inne sposoby - np. wykorzystanie IP-sec z isakmp + ssl czyli
>> stworzenie szyfrowanych tuneli dla każdego użytkownika dodatkowo z
>> dynamiczną wymianą kluczy, wszystko oparte na certyfikatach,
>> tylko czy to już nie jest przerost formy nad treścią?? Nie każdy
>> ruter wifi sobie z tym radzi. Poza tym wydajność rutera też musi
>> być na odpowiednim poziomie. No i jeszcze konfiguracja...........
> przestan ;) jak dasz uzytkownikowi koncowemu instrukcje na dwie strony
> jak skonfigurowac komputer albo wymusisz na nim uzywanie takiego a nie
> innego os to troche sie mija z celem, klienci uciekna :)
Tak na prawdę to jest wymuszenie aby człowiek używał systemu
linux/unix lub lepszego niż w2k. Tam ip-sec jest zaimplementowany.
Powiedz szczerze - ile jeszcze osób używa jeszcze w9x/me/nt4.0. W moim
przypadku statystycznie na 20 może przypadają 2 - 3. Wiem statystyka nic nie
mówi. Ale pozostaje nadal fakt ze jest to nada bardzo upierdliwe w
konfiguracji i stanowi przerost formy nad treścią. W planach mam
przetestowanie PPTP gdyż to wydaje się mnie dosyć sensowną
alternatywą.
> pppoe jest na dobra sprawe meczace dla klientow.
Jak każdy mechanizm autoryzacji ale niestety mamy 21 wiek i masę
gówniarzy ze skryptami pościąganymi ze stronek, którzy starają się obrzydzić
życie jak tylko się da. Poza tym wiele narzędzi diagnostycznych dla
sieci posiada mechanizmy sniffingu potrafiące oszukać switche (te głupsze co prawda)i
prowadzić nasłuch całego ruchu w sieci (tak jakby switcha nie było).
tcpdump sam w sobie jest sifferskim potworem (jak ktoś wie jak się nim
posłużyć) a narzędziem prawie powszechnym w każdym systemie ala ***x.
Czasami warto sobie zadać pytanie - co jest ważniejsze -
bezpieczeństwo czy walory użytkowe. Miałem kiedyś kilka pomysłów na
ciekawe rozwiązanie tej kwestii ale niestety... wszystko bazuje w
oparciu o systemy produkcji Redmont.
--
Pozdrowienia,
KrzychK2
