login pagina verplichten

Een active directory server met DHCP server? Probleem is dat degene die niet geauthoriseerd worden wel verbinding moeten krijgen voor de inlogpagina...Dus ik denk dat een server dit het beste kan oplossen. Misschien onbekende ip's in een aparte vlan ofzo gooien die alleen toegang tot inlog pagina geeft?

Is dit niet meer proxy / internet café functionaliteit ?

Zou je met zoiets http://www.publicip.net/ al niet een heel eind komen ?

Wil je alleen het internet gebruik geauthoriseerd laten plaatsvinden of ook onbekende computers op het netwerk blokkeren ?

Ik zou in DHCP alle onbekende MAC's in een apparte pool laten komen.
En in deze pool. een apparte DNS server zetten. Zodat alles naar 1 IP te gaat. En of een apparte gateway. Zodat je het kan opvangen en tegenhouden.

Dit houd de simple ziel tegen.

Zo iets?

http://www.ex-parrot.com/~pete/upside-down-ternet.html

@sariel: Yep, denk dat die zo iets nodig heeft

Zo iets: http://en.wikipedia.org/wiki/Captive_portal

dhcp per vlan denyen helpt ook wel maar is niet de meest mooie oplossing (omdat je dan per lokaal vaste ipaddressen in zal moeten stellen ); isa-server kan zoiets ongetwijfeld ook wel.

[ Voor 64% gewijzigd door 0xDEADBEEF op 16-01-2007 13:41 ]

Ik heb dit zelf ook gedaan, door alle onbekende apparaten in een quarantaine vlan te zetten. Zodra ze internet explorer opstarten kunnen ze een vpn client downloaden om middels een l2tp of pptp vpn connectie toegang te krijgen tot de rest van mijn netwerk. Ik heb hiervoor een Microsoft ISA server neer gezet. Werkt perfect.

Verwijderd schreef op dinsdag 16 januari 2007 @ 12:41:
Ik ben aan het werken mbt authenticatie van gebruikers. Vanals er een vreemd (niet gekent )MAC-adres gedetecteerd wordt door de DHCP-server (bij een DHCP request) zou er een login pagina moeten komen zodra je je browser opent.

Ben ik de enige die het vreemd vind dat je users wilt authenticeren door middel van mac-addressen?

Waarom gebruik je niet gewoon (domain) user-accounts in combinatie met een proxy of iets dergelijks?

Verwijderd schreef op dinsdag 16 januari 2007 @ 12:41:
Ik ben aan het werken mbt authenticatie van gebruikers. Vanals er een vreemd (niet gekent )MAC-adres gedetecteerd wordt door de DHCP-server (bij een DHCP request) zou er een login pagina moeten komen zodra je je browser opent. Je kan enkel en alleen de login pagina bereiken.

Even resumeren ...
je wil dus vanaf dat het niet gekende MAC adres een IP adres vraagt aan de DHCP server, zorgen dat er een aanmeldscherm komt?

Dit is technisch gezien NIET realiseerbaar (toch niet zonder 802.1x protocol switches), aangezien het aanmeldscherm in de browser, via TCP/IP aan de server dient gevraagd te worden.

bartgabriels schreef op dinsdag 16 januari 2007 @ 14:09:
[...]
Dit is technisch gezien NIET realiseerbaar (toch niet zonder 802.1x protocol switches), aangezien het aanmeldscherm in de browser, via TCP/IP aan de server dient gevraagd te worden.

Kan wel, alle gekende mac-adressen reserveer je in DHCP in subnet A. Voor alle overige machines defineer je een DHCP-pool met gegevens van subnet B. In je proxy-server defineer je een rule dat alles vanaf subnet A vrij internet toegang heeft en subnet B eerst gevalideerd moet worden.

Het is de vraag of het echter een waterdicht systeem gaat worden. Ik ban van mening dat he geen users moet gaan authenticeren op basis van hardware.... Bovendien is het qua beheersbaarheid een groot drama...

[ Voor 3% gewijzigd door Question Mark op 16-01-2007 14:23 ]

Jeroen,

Ik neem aan dat je er van bewust bent. Dat een MAC adres gemakkelijk te veranderen is? Om zo doende toch toegang te krijgen.

Verwijderd schreef op dinsdag 16 januari 2007 @ 14:33:
Ik wil de users die via eigen hardware gebruik maken van het internet eigelijk kunnen identificeren

Dat betekent gewoon dat je USERS wilt authenticeren en geen hardware. Da's het grote verschil....

Zoals hierboven ook al staat, een MAC-adres is eenvoudig te spoofen, dus je security is zo lek als een mandje. Waarom geef je niet gewoon elke user login-credentials???

Question Mark schreef op dinsdag 16 januari 2007 @ 14:23:
[...]
Kan wel, alle gekende mac-adressen reserveer je in DHCP in subnet A. Voor alle overige machines defineer je een DHCP-pool met gegevens van subnet B. In je proxy-server defineer je een rule dat alles vanaf subnet A vrij internet toegang heeft en subnet B eerst gevalideerd moet worden.

Dat is geen oplossing op de vraag uit de ts. Die stelt dat er direct na de dhcp request een inlog scherm getoond moet worden, nog voor het uigeven van het adres dus. Jouw oplossing werkt wel maar is een workaround.

Het is de vraag of het echter een waterdicht systeem gaat worden. Ik ban van mening dat he geen users moet gaan authenticeren op basis van hardware.... Bovendien is het qua beheersbaarheid een groot drama...

Waterdicht gaat het niet worden omdat authenticatie op basis van MAC niet waterdicht is. Een mac is easy gesniffed en gespoofed en daarbij zegt een MAC hooguit iets over de hardware die gebruikt word. Een user kun je er niet mee authenticeren.

wica schreef op dinsdag 16 januari 2007 @ 14:50:
Jeroen,

Ik neem aan dat je er van bewust bent. Dat een MAC adres gemakkelijk te veranderen is? Om zo doende toch toegang te krijgen.

En daarvoor is het stukje authenticatie met de bijborende autorisatie...

lier schreef op dinsdag 16 januari 2007 @ 15:21:
[...]

En daarvoor is het stukje authenticatie met de bijborende autorisatie...

Als ik de oplossing uit de post van Questionmark neem is dat natuurlijk vrij makkelijk te omzeilen door simpelweg het mac adres te spoofen.

Dat is geen oplossing op de vraag uit de ts. Die stelt dat er direct na de dhcp request een inlog scherm getoond moet worden, nog voor het uigeven van het adres dus. Jouw oplossing werkt wel maar is een workaround.

Hoe wilde je een inlogscherm tonen als je geen ip hebt? Dat kan uberhaupt niet.

Overigens is het compleet in overeenstemming met wat de ts vraagt. Als je mac onbekend is >> inlog pagina zodra je een webbrowser opent. Als je zorgt dat je alleen via proxy naar buiten kan (desnoods wpad adres regelen in dns zodat "automatically detect" vinkje werkt), wordt je dus netjes geredirect...

[ Voor 32% gewijzigd door Verwijderd op 16-01-2007 16:38 ]

kun je niks fixen met een proxy server ??
alle bekende mac addressen mogen zonder login door
zodra een onbekend adres komt bam een login voor hun neus

Iets met RADIUS en 802.1x?

RADIUS om te zorgen dat je er niet op kunt zonder username, en dan bijv. een client als securew2 (EAP-TTLS) om in te loggen, evt. built-in windows zooi.

Zo werken alle 'surfnet' hogescholen en universiteiten afaik, en het werkt prima.
Het enige wat je zult moeten doen is een helpdeskje regelen die die client kan installeren en instellen (een kwestie van 5 minuten, maar gebruikers kunnen geen handleiding lezen, ik werk zelf op zo'n helpdesk )

Bijna elk WiFi AP kan met RADIUS werken, zelfs mijn WAP54G's die ik hier heb hangen
Hoe het met wired zit weet ik dan weer niet, maar veiligheid en professionele oplossingen kosten nou 1 keer wat.

[ Voor 9% gewijzigd door Romke op 16-01-2007 23:29 ]

Verwijderd schreef op dinsdag 16 januari 2007 @ 12:41:

Ik ben aan het werken mbt authenticatie van gebruikers.

Het probleem is dus gebruikers authenticatie.

Vanals er een vreemd (niet gekent )MAC-adres gedetecteerd wordt

Een MAC adres is een instelling van een stuk hardware, niet van een gebruiker.

In bepaalde lokalen

Je zit in het onderwijs? Vraag via SURFnet of KennisNet eens hoe je collega's dit ogelost hebben want het is niet bepaald een nieuw probleem. Waarschijnlijk kan je daar nog wel wat uurtjes gratis consultancy uit slepen als je het via hun speelt.

Wat jij wilt is een captive portal i.c.m idd. een Radius authenticatie server.
Op die manier heb je authenticatie van je gebruiker, autorisatie van je server en identificatie van je captive portal.