Имеется:
- WiFi-сеть из нескольких сегментов, несколько сотен юзеров
- Несколько серверов под Win 2003
- AD для централизованного управления пользователями (клиенты не в домене)
- DHCP для настройки входящих компов
- VPN-сервер, через который пользователи ходят в инет
- KWF в качестве гейта/файрвола/прокси
Сеть открытая, авторизации и шифрования по 802.1x нет, любой может подключиться и получить доступ к сайту и некоторым внутренним ресурсам. Доступ в инет только по VPN после регистрации.
В чем собственно проблема? Есть 2 категории юзеров, от которых хотелось-бы избавиться, при этом оставив принцип открытости сети для остальных:
- "БМП", компьютеры с автонастройкой WiFi, которые находят точки, цепляются, пытаются получить обновления и т.п. А сидящие за ними юзеры даже не подозревают, что куда-то подключились. Сюда же относятся те, кто использует ручные настройки IP, т.е. просто висит на одной из точек, не имея возможности попасть даже на внутренние ресурсы. Естественно что мусора в сети от таких "товарищей" хватает.
- "Бронепоезд", некоторые юзеры, которые умнее всех и которым закон не писан. Эти пытаются любым способом прорваться в инет, причем самый простой и очевидный, потратить 5 минут на регистрацию, их почему-то категорически не устраивает. Вместо этого начинаются брутфорсы, ддосы и другая подобная прелесть.
Идея в следующем: сделать предварительную авторизацию по MAC, причем по принципу "черного списка". Те, кто попадает в этот список, автоматически посылаются подальше, остальных в сеть пускает.
Пытались для этих целей приспособить FreeRadius, но что-то не сростается...
Может кто решал подобную проблему?
- WiFi-сеть из нескольких сегментов, несколько сотен юзеров
- Несколько серверов под Win 2003
- AD для централизованного управления пользователями (клиенты не в домене)
- DHCP для настройки входящих компов
- VPN-сервер, через который пользователи ходят в инет
- KWF в качестве гейта/файрвола/прокси
Сеть открытая, авторизации и шифрования по 802.1x нет, любой может подключиться и получить доступ к сайту и некоторым внутренним ресурсам. Доступ в инет только по VPN после регистрации.
В чем собственно проблема? Есть 2 категории юзеров, от которых хотелось-бы избавиться, при этом оставив принцип открытости сети для остальных:
- "БМП", компьютеры с автонастройкой WiFi, которые находят точки, цепляются, пытаются получить обновления и т.п. А сидящие за ними юзеры даже не подозревают, что куда-то подключились. Сюда же относятся те, кто использует ручные настройки IP, т.е. просто висит на одной из точек, не имея возможности попасть даже на внутренние ресурсы. Естественно что мусора в сети от таких "товарищей" хватает.
- "Бронепоезд", некоторые юзеры, которые умнее всех и которым закон не писан. Эти пытаются любым способом прорваться в инет, причем самый простой и очевидный, потратить 5 минут на регистрацию, их почему-то категорически не устраивает. Вместо этого начинаются брутфорсы, ддосы и другая подобная прелесть.
Идея в следующем: сделать предварительную авторизацию по MAC, причем по принципу "черного списка". Те, кто попадает в этот список, автоматически посылаются подальше, остальных в сеть пускает.
Пытались для этих целей приспособить FreeRadius, но что-то не сростается...
Может кто решал подобную проблему?
Комментарий