Repository 32bit  Forum
Repository 64bit  Wiki

proxy autenticati con one-time-password

Area di discussione libera.

Moderatore: Staff

Regole del forum
1) Rispettare le idee altrui.
2) Evitare le offese dirette.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

proxy autenticati con one-time-password

Messaggioda ZeroUno » gio gen 05, 2012 12:49

Il seguente è solo a fini didattici, non è una cosa che metterei in pratica, ma mi piacerebbe solo sapere come si potrebbe fare.


Immaginate lo scenario:
un bar, o un ristorante, o un qualche altro esercizio, vuole mettere a disposizione una wifi ai clienti paganti.

L'idea potrebbe essere il mettere a disposizione una wifi aperta ma in cui tutte le connessioni passano per trasparent proxy autenticato.

Il cliente va in cassa e fa lo scontrino.
Su tale scontrino c'è un codice che è un utente e una password autogenerati al momento dell'emissione dello scontrino.

L'utente accende il proprio portatile o cellulare e si connette ad internet e il browser gli chiede l'utente e la password scritte sullo scontrino.
Appena effettuato il login (da effettuarsi diciamo entro 15 minuti magari) quell'utenza viene bloccata a nuove connessioni, e al momento della chiusura della connessione corrente (o comunque dopo un'ora) l'utente viene del tutto cancellato.

In questo modo l'utente può navigare mentre consuma.
Quanto sopra dovrebbe evitare che lo scontrino possa utilizzarsi da due pc diversi o che l'utente possa scollegarsi, uscire dal locale e, nell'arco in cui prende ancora la wifi, ricollegarsi.
Non so se è sufficiente a evitare che il cliente possa fare ponte a qualche altro vicino (anche perchè se si è connessi in wifi è difficile fare ponte, a meno che non hai due schede wifi).

Uno dei problemi che mi vengono in mente è se l'utente chiude per qualche motivo il browser o ne apre un altro. Il browser gli richiede l'autenticazione ma ormai è bloccato.
Ho configurato più di una volta dei trasparent proxy, ma mai li ho messi con autenticazione e sinceramente non saprei come si comporterebbe.

Una idea potrebbe essere quella di non bloccare subito l'utenza al login ma vincolarla al macaddress del pc, rilevato a livello di dhcp, così quando spengo il pc e perdo l'indirizzo blocco anche l'utenza.


Io credo che se squid consente, in fase di authenticazione, di richiamare un programma esterno per la validazione della password il tutto si possa fare semplicemente con un scriptino bash che fa qualche grep su log vari.




Quale pensate potrebbe essere la soluzione migliore secondo voi?


edit: il problema della comunicazione tra la cassa e il server per la generazione dell'utenza è secondario. Per ora facciamo finta che il cassiere abbia un terminale con una interfaccia per creare l'utenza e una penna per scriverla sullo scontrino a mano. Al momento mi interessa solo la gestione del motore di connessione e sicurezza.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4420
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: proxy autenticati con one-time-password

Messaggioda SIV » gio gen 05, 2012 15:03

ZeroUno ha scritto:Non so se è sufficiente a evitare che il cliente possa fare ponte a qualche altro vicino (anche perchè se si è connessi in wifi è difficile fare ponte, a meno che non hai due schede wifi).


Di recente (qualche giorno fa) mi è capitato proprio di fare ponte con il mio portatile. Con il mio pc connesso ho creato una rete a cui altri utenti potevano connettersi wifi ed ovviamente potevano navigare dal momento che avevo anche condiviso la mia connessione.

Da qui la domanda: perchè ci vogliono necessariamente due schede wifi?

P.S.
Però forse, in questo caso specifico, la pagina per login esce anche ad utente collegato all'access point creato sul pc già connesso. Oppure no? :-k :-k
Avatar utente
SIV
Linux 2.6
Linux 2.6
 
Messaggi: 918
Iscritto il: mer apr 25, 2007 13:07
Località: Bari (Provincia)

Re: proxy autenticati con one-time-password

Messaggioda ZeroUno » gio gen 05, 2012 22:36

SIV ha scritto:Di recente (qualche giorno fa) mi è capitato proprio di fare ponte con il mio portatile. Con il mio pc connesso ho creato una rete a cui altri utenti potevano connettersi wifi ed ovviamente potevano navigare dal momento che avevo anche condiviso la mia connessione.

Il pc era connesso in lan?

Una scheda di rete wifi classica non mi risulta possa gestire due reti wifi di cui una managed ed una adhoc allo stesso tempo, giusto?


Però forse, in questo caso specifico, la pagina per login esce anche ad utente collegato all'access point creato sul pc già connesso. Oppure no? :-k :-k

E poi si, è il browser che si autentica e naviga tramite proxy, anche se come dicevo non so come si comporta un trasparent proxy a livello di autenticazione, ma se chiede la password al browser nel momento che l'altro pc, collegato via ponte, la ri-chiede ormai non è più valida perchè onetime.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4420
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: proxy autenticati con one-time-password

Messaggioda SIV » ven gen 06, 2012 1:03

No, che io ricordi i due pc non erano in lan.

Comunque mi sono accorto che forse prima non mi sono espresso al meglio. Per dare un'idea pratica di ciò che ho fatto (da un pc con Windows):
-Aggiornato i drivers della scheda di rete (quelli vecchi non supportavano la creazione di connessioni virtuali)
-Avviata una rete virtuale a cui altri pc potevano connettersi con i comandi:
Codice: Seleziona tutto
netsh wlan set hostednetwork mode=allow ssid=Rete_Virtuale key=key_prova_prova (L'autenticazione dovrebbe essere in automatico WPA2)
netsh wlan start hostednetwork

(Navigando un po' sulla rete ho visto che si può fare il tutto anche in maniera molto più semplice ed automatica, che però a me dava problemi ad avviarsi: Virtual Router Manager )

Comunque sia (forse) rimane il problema che anche al pc che si collega alla rete virtuale viene richiesto il login, motivo per il quale fare da ponte con un altro pc non ne varrebbe la pena!
Avatar utente
SIV
Linux 2.6
Linux 2.6
 
Messaggi: 918
Iscritto il: mer apr 25, 2007 13:07
Località: Bari (Provincia)

Re: proxy autenticati con one-time-password

Messaggioda fiat595 » dom gen 08, 2012 12:52

http://www.wificash.it

provate e ditemi cosa ne pensate, naturalmente il wifi funzione nella mia zona Oristano Sardegna
fiat595
Linux 1.0
Linux 1.0
 
Messaggi: 59
Iscritto il: mer giu 08, 2005 23:00
Località: oristano
Nome Cognome: Costantino Pintus
Slackware: 12.2
Kernel: 2.6.27.7
Desktop: gnome

Re: proxy autenticati con one-time-password

Messaggioda ZeroUno » dom gen 08, 2012 21:11

fiat595 ha scritto:http://www.wificash.it

provate e ditemi cosa ne pensate, naturalmente il wifi funzione nella mia zona Oristano Sardegna

e quindi naturalmente non sapremmo come provarlo :-D
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4420
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: proxy autenticati con one-time-password

Messaggioda fiat595 » dom gen 08, 2012 23:22

pero avete modo di farlo :slackware, freeradius, squid, coovachilli, mysar, mysql

questa è la base da cui sono partito :)
fiat595
Linux 1.0
Linux 1.0
 
Messaggi: 59
Iscritto il: mer giu 08, 2005 23:00
Località: oristano
Nome Cognome: Costantino Pintus
Slackware: 12.2
Kernel: 2.6.27.7
Desktop: gnome


Torna a Libera

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti