classic.ISPforum.cz

Ahoj, mám jeden malý problém snažím se vkládat hesla na přihlášení pppoe ve formě sha1 nicméně nechce to sežrat. dávám attribut "sha1-password" jako attribut, který jsem si našel zde: http://freeradius.org/radiusd/man/rlm_pap.txt
tedy například sha1-password := f48069ea83daeb2bbf7937a5f590871c5228c7b7 (ahojahoj)

nemusí se tedy něco povolovat v configu? na netu tam o tom tedy nic nepíšou

tak jsem ještě laboroval a zjistil jsem že když zaškrtnu na pppoe serveru authentication pouze pap tak to funguje ale když mám zaškrtnuté všechny tedy: pap chap mschap2 mschap1 tak nic, dá se s tím něco udělat aby to šlo i když mám zaškrtnuté všechny?

Nu, protože viz: http://wiki.freeradius.org/guide/FAQ#co ... chap-fails
Poslední věta: The CHAP protocol requires that you store the passwords in plain-text format.
A por mschap1/2 platí v podstatě podobné, respektive by jsi musel místo sha1 uložení hesel použít pro ně formát NT-Password.

Majklik píše:Nu, protože viz: http://wiki.freeradius.org/guide/FAQ#co ... chap-fails
Poslední věta: The CHAP protocol requires that you store the passwords in plain-text format.
A por mschap1/2 platí v podstatě podobné, respektive by jsi musel místo sha1 uložení hesel použít pro ně formát NT-Password.

díky, nu a já nemohu nikde nastavit na mikrotik NASu aby vždy prvně zkoušel PAP?

Na PPPoE serveru jen nastavuješ jaké protokoly bude PPPoE server akceptovat. Jaký se skutečně použije, je pak dáno tím, co má povoleno/umí PPPoE klient. Pokud je klient a server ROS a je vše povoleno, tak zkusí nějaký ten CHAP a narazíš, protože pro něj to neumí radius ověřit proti sha1 hashi (pro PAP to ověřit umí, protože dostane heslo jako text a zahashuje si jej, ale u CHAP variant už dostane hash, který nemá jak převést/porovnat s tím sha1, co se tam snažíš strkat). A pokud se udělá ověeřeí pomocí CHAP a selže, tak se již neprovádí fallback na PAP (to by musela být nějaká vychytávka v klientovi, aby to zkusil znovu s PAPem).
Pokud chceš ukládat hashovaná hesla, tak leda povolit použít PAP/MSCHAP1/MSCHAP2 a ukládat NThash do Radiusu (a možná paralelněnějaký ten SSHA).

Majklik píše:Na PPPoE serveru jen nastavuješ jaké protokoly bude PPPoE server akceptovat. Jaký se skutečně použije, je pak dáno tím, co má povoleno/umí PPPoE klient. Pokud je klient a server ROS a je vše povoleno, tak zkusí nějaký ten CHAP a narazíš, protože pro něj to neumí radius ověřit proti sha1 hashi (pro PAP to ověřit umí, protože dostane heslo jako text a zahashuje si jej, ale u CHAP variant už dostane hash, který nemá jak převést/porovnat s tím sha1, co se tam snažíš strkat). A pokud se udělá ověeřeí pomocí CHAP a selže, tak se již neprovádí fallback na PAP (to by musela být nějaká vychytávka v klientovi, aby to zkusil znovu s PAPem).
Pokud chceš ukládat hashovaná hesla, tak leda povolit použít PAP/MSCHAP1/MSCHAP2 a ukládat NThash do Radiusu (a možná paralelněnějaký ten SSHA).

ok takže teď budu muset project všechny nasy nějakým scriptem, který mi všade zakáže ten CHAP, nastává otázke jstli se na to vůbec nevykašla a nepoužívat klasické clear heslo

Nu, nahlédni do bezpečnostní analýzy své sítě. Co je větší pravděpodobnost/riziko? Že ti někdo úspěšně hackne DB/radius server a vyluxuje hesla, když budeš mít hesla nehashované nebo úspěšně bude odpouslouchávat PAP proudící vzduchem v PPPoE a pak Radius requestech v tom IPIP tunelu přes půlku vlasti?
Nechal bych hesla v cleartextu, v PPPoE se snažil používat primárně klasický CHAP a šel otravovat Mikroťáky, že by mohli zapracovat nějakou formu PPPoE helperů do svých produktů, aspoň CRS switchů a pak dělal autorizaci na zákldě ifnromací od PPPoE helperu ohledně portu jdoucího koncákovi domů a ne pofidernímu jménu/heslo.

Majklik píše:Nu, nahlédni do bezpečnostní analýzy své sítě. Co je větší pravděpodobnost/riziko? Že ti někdo úspěšně hackne DB/radius server a vyluxuje hesla, když budeš mít hesla nehashované nebo úspěšně bude odpouslouchávat PAP proudící vzduchem v PPPoE a pak Radius requestech v tom IPIP tunelu přes půlku vlasti?
Nechal bych hesla v cleartextu, v PPPoE se snažil používat primárně klasický CHAP a šel otravovat Mikroťáky, že by mohli zapracovat nějakou formu PPPoE helperů do svých produktů, aspoň CRS switchů a pak dělal autorizaci na zákldě ifnromací od PPPoE helperu ohledně portu jdoucího koncákovi domů a ne pofidernímu jménu/heslo.

asi tak když někdo vyseja databázi tak si pomůže i s tím hashem jelikož tam v tabulce mám uložené i heslo v clear textu protože když se mě zeptá klient jaké že to má nastavené heslo, tak mu musím nějak odpovědět, že takže asi se na nějaké hashe vykašlu...

Pak nemá smysl ukládat vedle sebe clear text a hashované varianty a můžeš tam nechat jen ten clear.
Dávalo by to smysl, pokud by cleartextové heslo bylo v nějakém tvém IS systému mimo, který by vyráběl hashe a jendnosměrně to nastavoval do radius serveru.