proxy autenticati con one-time-password
Moderatore: Staff
Regole del forum
1) Rispettare le idee altrui.
2) Evitare le offese dirette.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Rispettare le idee altrui.
2) Evitare le offese dirette.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- ZeroUno
- Staff
- Messaggi: 5441
- Iscritto il: ven 2 giu 2006, 14:52
- Nome Cognome: Matteo Rossini
- Slackware: current
- Kernel: slack-current
- Desktop: ktown-latest
- Distribuzione: 01000000-current
- Località: Roma / Castelli
- Contatta:
proxy autenticati con one-time-password
Il seguente è solo a fini didattici, non è una cosa che metterei in pratica, ma mi piacerebbe solo sapere come si potrebbe fare.
Immaginate lo scenario:
un bar, o un ristorante, o un qualche altro esercizio, vuole mettere a disposizione una wifi ai clienti paganti.
L'idea potrebbe essere il mettere a disposizione una wifi aperta ma in cui tutte le connessioni passano per trasparent proxy autenticato.
Il cliente va in cassa e fa lo scontrino.
Su tale scontrino c'è un codice che è un utente e una password autogenerati al momento dell'emissione dello scontrino.
L'utente accende il proprio portatile o cellulare e si connette ad internet e il browser gli chiede l'utente e la password scritte sullo scontrino.
Appena effettuato il login (da effettuarsi diciamo entro 15 minuti magari) quell'utenza viene bloccata a nuove connessioni, e al momento della chiusura della connessione corrente (o comunque dopo un'ora) l'utente viene del tutto cancellato.
In questo modo l'utente può navigare mentre consuma.
Quanto sopra dovrebbe evitare che lo scontrino possa utilizzarsi da due pc diversi o che l'utente possa scollegarsi, uscire dal locale e, nell'arco in cui prende ancora la wifi, ricollegarsi.
Non so se è sufficiente a evitare che il cliente possa fare ponte a qualche altro vicino (anche perchè se si è connessi in wifi è difficile fare ponte, a meno che non hai due schede wifi).
Uno dei problemi che mi vengono in mente è se l'utente chiude per qualche motivo il browser o ne apre un altro. Il browser gli richiede l'autenticazione ma ormai è bloccato.
Ho configurato più di una volta dei trasparent proxy, ma mai li ho messi con autenticazione e sinceramente non saprei come si comporterebbe.
Una idea potrebbe essere quella di non bloccare subito l'utenza al login ma vincolarla al macaddress del pc, rilevato a livello di dhcp, così quando spengo il pc e perdo l'indirizzo blocco anche l'utenza.
Io credo che se squid consente, in fase di authenticazione, di richiamare un programma esterno per la validazione della password il tutto si possa fare semplicemente con un scriptino bash che fa qualche grep su log vari.
Quale pensate potrebbe essere la soluzione migliore secondo voi?
edit: il problema della comunicazione tra la cassa e il server per la generazione dell'utenza è secondario. Per ora facciamo finta che il cassiere abbia un terminale con una interfaccia per creare l'utenza e una penna per scriverla sullo scontrino a mano. Al momento mi interessa solo la gestione del motore di connessione e sicurezza.
Immaginate lo scenario:
un bar, o un ristorante, o un qualche altro esercizio, vuole mettere a disposizione una wifi ai clienti paganti.
L'idea potrebbe essere il mettere a disposizione una wifi aperta ma in cui tutte le connessioni passano per trasparent proxy autenticato.
Il cliente va in cassa e fa lo scontrino.
Su tale scontrino c'è un codice che è un utente e una password autogenerati al momento dell'emissione dello scontrino.
L'utente accende il proprio portatile o cellulare e si connette ad internet e il browser gli chiede l'utente e la password scritte sullo scontrino.
Appena effettuato il login (da effettuarsi diciamo entro 15 minuti magari) quell'utenza viene bloccata a nuove connessioni, e al momento della chiusura della connessione corrente (o comunque dopo un'ora) l'utente viene del tutto cancellato.
In questo modo l'utente può navigare mentre consuma.
Quanto sopra dovrebbe evitare che lo scontrino possa utilizzarsi da due pc diversi o che l'utente possa scollegarsi, uscire dal locale e, nell'arco in cui prende ancora la wifi, ricollegarsi.
Non so se è sufficiente a evitare che il cliente possa fare ponte a qualche altro vicino (anche perchè se si è connessi in wifi è difficile fare ponte, a meno che non hai due schede wifi).
Uno dei problemi che mi vengono in mente è se l'utente chiude per qualche motivo il browser o ne apre un altro. Il browser gli richiede l'autenticazione ma ormai è bloccato.
Ho configurato più di una volta dei trasparent proxy, ma mai li ho messi con autenticazione e sinceramente non saprei come si comporterebbe.
Una idea potrebbe essere quella di non bloccare subito l'utenza al login ma vincolarla al macaddress del pc, rilevato a livello di dhcp, così quando spengo il pc e perdo l'indirizzo blocco anche l'utenza.
Io credo che se squid consente, in fase di authenticazione, di richiamare un programma esterno per la validazione della password il tutto si possa fare semplicemente con un scriptino bash che fa qualche grep su log vari.
Quale pensate potrebbe essere la soluzione migliore secondo voi?
edit: il problema della comunicazione tra la cassa e il server per la generazione dell'utenza è secondario. Per ora facciamo finta che il cassiere abbia un terminale con una interfaccia per creare l'utenza e una penna per scriverla sullo scontrino a mano. Al momento mi interessa solo la gestione del motore di connessione e sicurezza.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Re: proxy autenticati con one-time-password
Di recente (qualche giorno fa) mi è capitato proprio di fare ponte con il mio portatile. Con il mio pc connesso ho creato una rete a cui altri utenti potevano connettersi wifi ed ovviamente potevano navigare dal momento che avevo anche condiviso la mia connessione.ZeroUno ha scritto: Non so se è sufficiente a evitare che il cliente possa fare ponte a qualche altro vicino (anche perchè se si è connessi in wifi è difficile fare ponte, a meno che non hai due schede wifi).
Da qui la domanda: perchè ci vogliono necessariamente due schede wifi?
P.S.
Però forse, in questo caso specifico, la pagina per login esce anche ad utente collegato all'access point creato sul pc già connesso. Oppure no?
- ZeroUno
- Staff
- Messaggi: 5441
- Iscritto il: ven 2 giu 2006, 14:52
- Nome Cognome: Matteo Rossini
- Slackware: current
- Kernel: slack-current
- Desktop: ktown-latest
- Distribuzione: 01000000-current
- Località: Roma / Castelli
- Contatta:
Re: proxy autenticati con one-time-password
Il pc era connesso in lan?SIV ha scritto:Di recente (qualche giorno fa) mi è capitato proprio di fare ponte con il mio portatile. Con il mio pc connesso ho creato una rete a cui altri utenti potevano connettersi wifi ed ovviamente potevano navigare dal momento che avevo anche condiviso la mia connessione.
Una scheda di rete wifi classica non mi risulta possa gestire due reti wifi di cui una managed ed una adhoc allo stesso tempo, giusto?
E poi si, è il browser che si autentica e naviga tramite proxy, anche se come dicevo non so come si comporta un trasparent proxy a livello di autenticazione, ma se chiede la password al browser nel momento che l'altro pc, collegato via ponte, la ri-chiede ormai non è più valida perchè onetime.Però forse, in questo caso specifico, la pagina per login esce anche ad utente collegato all'access point creato sul pc già connesso. Oppure no?
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Re: proxy autenticati con one-time-password
No, che io ricordi i due pc non erano in lan.
Comunque mi sono accorto che forse prima non mi sono espresso al meglio. Per dare un'idea pratica di ciò che ho fatto (da un pc con Windows):
-Aggiornato i drivers della scheda di rete (quelli vecchi non supportavano la creazione di connessioni virtuali)
-Avviata una rete virtuale a cui altri pc potevano connettersi con i comandi:
(Navigando un po' sulla rete ho visto che si può fare il tutto anche in maniera molto più semplice ed automatica, che però a me dava problemi ad avviarsi: Virtual Router Manager )
Comunque sia (forse) rimane il problema che anche al pc che si collega alla rete virtuale viene richiesto il login, motivo per il quale fare da ponte con un altro pc non ne varrebbe la pena!
Comunque mi sono accorto che forse prima non mi sono espresso al meglio. Per dare un'idea pratica di ciò che ho fatto (da un pc con Windows):
-Aggiornato i drivers della scheda di rete (quelli vecchi non supportavano la creazione di connessioni virtuali)
-Avviata una rete virtuale a cui altri pc potevano connettersi con i comandi:
Codice: Seleziona tutto
netsh wlan set hostednetwork mode=allow ssid=Rete_Virtuale key=key_prova_prova (L'autenticazione dovrebbe essere in automatico WPA2)
netsh wlan start hostednetwork
Comunque sia (forse) rimane il problema che anche al pc che si collega alla rete virtuale viene richiesto il login, motivo per il quale fare da ponte con un altro pc non ne varrebbe la pena!
-
- Linux 0.x
- Messaggi: 60
- Iscritto il: gio 9 giu 2005, 0:00
- Nome Cognome: Costantino Pintus
- Slackware: 12.2
- Kernel: 2.6.27.7
- Desktop: gnome
- Località: oristano
Re: proxy autenticati con one-time-password
http://www.wificash.it
provate e ditemi cosa ne pensate, naturalmente il wifi funzione nella mia zona Oristano Sardegna
provate e ditemi cosa ne pensate, naturalmente il wifi funzione nella mia zona Oristano Sardegna
- ZeroUno
- Staff
- Messaggi: 5441
- Iscritto il: ven 2 giu 2006, 14:52
- Nome Cognome: Matteo Rossini
- Slackware: current
- Kernel: slack-current
- Desktop: ktown-latest
- Distribuzione: 01000000-current
- Località: Roma / Castelli
- Contatta:
Re: proxy autenticati con one-time-password
e quindi naturalmente non sapremmo come provarlofiat595 ha scritto:http://www.wificash.it
provate e ditemi cosa ne pensate, naturalmente il wifi funzione nella mia zona Oristano Sardegna
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
-
- Linux 0.x
- Messaggi: 60
- Iscritto il: gio 9 giu 2005, 0:00
- Nome Cognome: Costantino Pintus
- Slackware: 12.2
- Kernel: 2.6.27.7
- Desktop: gnome
- Località: oristano
Re: proxy autenticati con one-time-password
pero avete modo di farlo :slackware, freeradius, squid, coovachilli, mysar, mysql
questa è la base da cui sono partito
questa è la base da cui sono partito