Authenticated Gateway

[Gentootoo]

Hi zusammen,

ich stehe momentan vor einem kleinen Problem aber wohlmöglich wisst ihr einen passenden Ausweg.

Ich hab Gentoo Linux als Basis für einen SelfMade Router auserwählt und soweit hab ich auch alle Arbeiten an dem Rechner erledigt.
Eine Sache beschäftigt mich jedoch nach wie vor.

Der Router soll in einem Netz Verwendung finden in dem in sporadischen Zeitabständen ein paar weitere Hosts hinzugesellen.
(LAN am Wochenende usw)

Jetzt möchte ich meinen Kunden die Möglichkeit bieten möglichst komfortabel den Internet Zugriff für eizelne Hosts zu disablen eventuell mittels eines Web Interfaces da die Leuet natürlich nicht das Know How haben um beispielsweise jedesmal die IPTables Config anzupassen.

Kennt ihr ein Package das mir derartiges offeriert?

[superurban]

hi,

du könntest eine lösung über einen proxy basteln. zugriff hat nur, wer einen entsprechenden account hat. über ein simples webinterface könntest du dann account auf enabled/disabled setzen.

über iptables wird es in der tat zu frickelig, da du unbedingt eine möglichst immergleiche ip/MAC gewährleisten musst, um es in irgendeiner art und weise wartbar zu halten.

viel erfolg

[Gentootoo]

Transparent Proxy über Squid kam mir auch schon in den Sinn einfaches Redirecten über IPtables ist ja eine elegante Lösung nur eben auch mit negativen Aspekten verbunden

Ein Proxy der ja quasi nur dann von Interesse ist wenn er als Web Cache fungiert ist bei einer Bandbreite von 512KbitUpstream/2048Downstream wohl eher obsolet.

Darüberhinaus ist dieses Prinzip ja nur für den Webtraffic bindet namensauflösung generell funktioniert ja einwandfrei und resultierend daraus ist es auch ohne weiteres möglich für diejenigen die nicht autorisiert sind weiterhin über Trillian oder bei OnlineSessions in Games mitzuwirken.

Es ist natürlich machbar über die MAC Adresse mitsamt IP zu gehen und explizit in der Forwarding Chain nur für bestimmte IP MAC Masken zu forwarden aber wiegesagt diese Lösung ist zu unflexibel.

ICh bin ja schließlich nicht permanent zugegen und den Jungs muss trotzdem eine Möglichkeit gegeben sein möglichst komfortabel einzelne Segmente im LAN fürs Inet zu autorisieren.

Einzige Alternative scheint daher Samba als Auth Gateway aber das geht nur über Domain Logons

Ich dachte eher über eine Webbasierte Lösung ähnlich IPCop da sind es meines Wissens nach verschiedene Skripte die auf nem Apache laufen sowas muss es doch geben zumal das doch von so eklatanter Wichtigkeit
ist

[ralph]

Vorweg, ich habe keine Ahnung, ob es tut was du willst, aber nurmal als Idee, kann Webmin das nicht vielleicht?
_________________
The computer can't tell you the emotional story. It can give you the exact mathematical design, but what's missing is the eyebrows.
- Frank Zappa

[moe]

Welche Rechner sollen denn Inet ab- und zuschaltbar haben, die in sporadischen Abständen zusätzlich anwesenden, oder alle?
Da fallen mir ganz viele Scriptansätze ein..
Ich gehe mal davon uas, dass die immer anwesenden, per dhcp-mac liste eine feste ip bekommen, welche ausserhalb dem normalen pool liegt.
Der DHCP-Pool ist jetzt sag ich mal 192.168.0.100-150, dein Webinterface führ ein Script aus, dass diesen ganzen Bereich je einmal anpingt (dauert ein wenig, ist aber ertragbar), und bietet dann ne Liste an, wo alle vergebenen IPs angezeigt werden, und der Inetzugang an- und abschaltbar ist.
Vielleicht kann man statt ping auch die dhcp.leases auslesen, aber aufn ersten Blick erscheints mir komplizierter..
Optional kann man ja statt IP auch den Rechnernamen anzeigen lassen, wenn man z.B. dnsmasq als DHCP-Server verwendet, oder nsupdate im Zusammenhanh mit dem normalen dhcpd..

Mit einer Anmeldung wärs natürlich eleganter, wenn nicht samba-auth, wärs ja vielleicht auch ne Möglichkeit, für alle "neuen" Internetz zu disablen (noch eleganter per trans. Proxy alles auf ne Infoseite im Lan leiten) und auf einer Seite eine Authentifizierung anzubieten, die dann die Quell-IP freischaltet. Man müsste dann nur überlegen wie lange das gültig ist, wenn die dhcp.leases irgendwie parsbar ist, kann man ja da ansetzen, oder wenn ich mich nicht irre kann man beim dhcpd kommandos für client an- und abmelden angeben..

Gruss Maurice
_________________
Signaturen sind doof.

[think4urs11]

Was spricht denn dagegen auf dem Gateway squid zu installieren und Zugriff nach aussen nur mittels gültigem User/Passwort?
Zusätzlich dann IPtables so konfigurieren das Zugriffe ins Internet nur vom Proxy aus möglich sind und nicht von sonstigen internen Adressen.

Läßt sich mittels auth_param in der squid.conf sowie entsprechenden acl alles sauber einstellen.
Die Userpflege kann dann auch der Kunde machen - putty und einen Befehl eintippen können sogar windows-verseuchte Admins.

HTH
T.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

[moe]

wie gentootoo schon sagte kann man mit squid nur http und einige andere dienste abdecken, aber nicht den ganzen inetzugriff, über messenger, onlinegames etc..
_________________
Signaturen sind doof.

[amne]

Kleine Anregung zwischendurch: Obwohl das Topic ja wirklich nett ist wäre es praktisch, wenn du es ein wenig ans Thema anpassen könntest.
_________________
Dinosaur week! (Ok, this thread is so last week)

[Gentootoo]

@moe

Richtig die statischen Segmente im LAN bekommen natürlich auch eine statische IP zugewiesen - soweit sogut - seinerzeit hatte ich für diese Lösung eine relativ brauchbare Lösung gefunden.
Ich hab einfach nur einen kleinen Bitbereich masqueraded, aber da ich jetzt 1:1 SNAT einsetze, auch zwecks Overhead, fällt diese Methode natürlich flach.

Der Inet Zugang soll dediziert enable - respektive - disable - bar
sein, so gesehen also nicht einen ganzen Range autorisieren, sondern lediglich einzelne Hosts und das möglichst nicht nur auf IP Basis, weil derartige Methoden zu umgehen, ist selbst für Minderbemittelte eine Leichtigkeit.

Die Sache mit den Netbios Namen wäre zumindest ein grundlegender Ansatz, ich setze zwar eher auf DHCPd als auf die Variante von dnsmasq, aber hab über Samba n WINS Server laufen.
Aus der wins.dat sollten sich ja ebensogut Netbios Namen auslesen lassen, ob aus diesem Ansatz jedoch eine brauchbare, halbwegs komfortable Lösung für meine Kunden resultiert, verursacht bei mir zumindest eine gesunde Skepsis

@Think4UrS11

Bist wohl ein Fan von Anglizismen Der Name is cool.

Also meines Erachtens nach muss immer ein gewisses Aufwands - Ertrag Verhältniss gegeben sein um eine Maßnahem zu rechtfertigen und um lediglich Authentifizierung zu realisieren, wäre ein Proxy doch etwas "zweckentfremdet" zumal WebCaching eigentlich, wie bereits angesprochen, kein must have, angesichts der opulenten Bandbreite ist.

Abgesehen davon muss doch immer applikationsspezifischer Proxy Support vorhanden sein, um Support auch in Situationen wie beispielsweise Halflife CS zu bieten, was definitiv angefragt wurde.
Klar kann ich das für den User transparent gestalten, aber das würde nach sich ziehen, das ich alle Ports, auf denen ein potentieller Dienst laufen würde an 3128 (hypothetischer Squid Port) redirecten müsste.

Nicht unbedingt der Weisheit letzter Schluss nur, um wiegesagt Authentifizierung zu erreichen.
Dann könnte ich mich eher dazu hinreißen lassen mittels NoCatAuth Authentifizierung zu gewährleisten, allerdigs erfordert auch das Kollateralaufwendungen, wie einen Apache Server.

Die wirkliche goldene Lösung wäre die IPCop Variante als exemplarisches Beispiel aber leider bleibt diese wohl IPCop vorbehalten resp ist propritär.

Sorry für den langen Text ...

[moe]

Hmm, aber wenn du IPs aus dem DHCP-Pool generell den Zugang verbietest, und nur einige freischaltest, ists doch relativ kompliziert das zu umgehen, da derjenige ja nicht unbedingt weiss welchen IP-Bereich er durchprobieren muss um n Zugang zu haben..
Und das könnte man ja auch noch absichern, wenn der dhcpd wirklich etwas ausführen kann, wenn der client sich "abmeldet"..

Oder du machst auf dieser Internet-Anmeldeseite ne Session, und wenn diese Seite geschlossen wird ist auch der Zugang weg..

Gruss Maurice
_________________
Signaturen sind doof.

[Gentootoo]

@moe

Hängt natürlich von der Definierung der IP Adresse in Kombination mit der Subnetz Maske ab.

Ich hab extra eine custom Subnetz Maske genommen um in gewisser Weise DHCP zu forcieren deshalb eine Subnetzmaske im letzten Oktett von 240 Subnetz 192.168.101.80 was letztendlich effektiv nur 14 IP Adressen
bedeutet von daher ist eine Interpolation der richtigen Adresse schon möglich wenn man ein klein wenig pfifiig drauf ist

[think4urs11]

ja nun gut, von einen AuthenticationGW stand so direkt aber nix in der ursprünglichen Frage, daher bin ich auf squid los.
Ob ein Webcache nun wirklich überflüssig sein kann ist denke ich mal eher Ansichtssache; ich hab hier einen redundanten mit 190GB cache filesystem hinter einer 34MBit-Leitung stehen.
Allerdings sind hier die Anforderungen auch ein bisserl anders, Halflife gehört definitiv nicht zum Portfolio *g*
Weiterhin läßt sich inzwischen ja vieles über HTTP(S) tunneln, einiges weitere läßt sich z.B. mittels socks-server abfedern (dante). Bisher gab es keine Anforderung die sich bei uns nicht mit squid/dante abfackeln ließ.
Die beiden können ja auch mit getrennten User-DB laufen, auf die Art bekommt jeder nur das was er/sie braucht.
Aber wenn es wirklich in Richtung totaler Sicherheit geht dann reicht eine 'Windows-DAU-unverständliche' IP-Adresse nicht; selbst die können schließlich lesen. Wer einmal eine hatte weiß wie's geht.
MAC-Spoofing hinter dem GW ist auch nicht soooo schwer, denn wer verrammelt schon seine Switchports so das nur eine MAC dahinter sein darf und trägt diese fix ein. Ja ich weiß, 802.1x...
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself