По поводу более красивого варианта генерации QR кода — на мой взгляд — какая-нибудь простенькая вебморда на том же php. Так и подобие фронтэнда получается. Я в php не силен, поэтому и решал при помощи шелл скрипта.
Правильно, именно для этого и используется запуск freeradius от root, а в /etc/skel/.bash_profile внесены изменения, чтобы пользователь один раз зашел по вебу на сервер с радиусом и получил QR-код.
Только что перепроверил. Тогда и Fortinet со своим FortiTokens mobile лукавит, поскольку приложение работает по такому же принципу как и Google Authenticator.
Позволю себе не согласиться с Вами. Любой токен, будь то программный или аппаратный, — это все же "something that you have". Аппаратные и программные FortiTokens точно так же генерируют 30-секундный пароль.
Согласен, я не совсем корректно указал, что это решение — двухфакторная реализация. Над полноценной двухфакторной я ещё работаю. Тут больше была мысль убрать ввод пароля пользователем и заменить его на более простую вариацию.
И производитель знает, и я ничего не выключал лишнего. Вся загвоздка в том, что DoS Policy у этого вендора обрабатывает входящий трафик до попадания его в цепочку правил фарвола.
Сударь, я же не навожу истерику по поводу того, что, Боже, о Ужас, QUIC работает — срочно заблокировать. Я прекрасно понимаю, что это стандартный и рабочий режим протокола. Я в статье пытался показать о варианте решения, когда необходимо включение DoS политики, но при этом не обрубив доступы к «правильным» сервисам.
P.S. К слову, torrent у нас запрещен.
Увы, встроенных сигнатур IPS не хватает для того, чтобы этот флуд пресечь, написать свои — ну пока еще не умею. И опять же логика моего фаервола такая, что ips цепляется на то или иное правило в цепочке. В результате, если отсекать через IPS, то пакет все равно будет попадать внутрь, а DoS политика обрубит его раньше, еще и в бан отправит.
Пересмотрел сейчас, что пишет вендор по этому поводу.
FortiOS applies DoS protection very early in its traffic processing sequence to minimize the effect of a DoS attack on FortiOS system performance. DoS protection is the first step for packets after they are received by a FortiGate interface. Potential DoS attacks are detected and blocked before the packets are sent to other FortiOS systems.
FortiOS also includes an access control list feature that is implemented next. This accelerated ACL technology uses NP6 processors to block traffic (including DoS attacks) by source and destination address and service again before the packets are sent to the FortiGate CPU
Таким образом, включая DoS политику, я как раз и разгружаю систему от необходимости обработки ненужных пакетов политиками файрвола.
По поводу "костыльности" данного решения я более чем с Вами согласен. Если удастся получить внятный ответ от вендора, почему так получается, буду рад сообщить. Срабатывание DoS политики происходит до обработки правил файрволом, то есть, отключив QUIC и переведя принудительно всех на TCP/TLS, я убираю возможность попадания в бан известных сервисов, вместе с тем закрывая периметр от других флудильщиков.
Файрвол не программный, а вполне себе аппаратный, только вот вариантов создания на нем адекватных динамических листов по принципу от уважаемого ua_lost_in_the_dark пока что не обнаружено. Завышать порог срабатывания на DoS политике, на мой взгляд, бессмысленно. Чем я по-Вашему подпортил жизнь пользователям внутренней сети?
Почему файрвол считает флудом трафик в рамках законного соединения — вопрос хороший, но скорее к вендору. Я продолжаю разбираться в причинах такого поведения, если будут результаты — будет апдейт статьи.
Только что перепроверил. Тогда и Fortinet со своим FortiTokens mobile лукавит, поскольку приложение работает по такому же принципу как и Google Authenticator.
Понял, да, Вы правы.
Позволю себе не согласиться с Вами. Любой токен, будь то программный или аппаратный, — это все же "something that you have". Аппаратные и программные FortiTokens точно так же генерируют 30-секундный пароль.
Согласен, я не совсем корректно указал, что это решение — двухфакторная реализация. Над полноценной двухфакторной я ещё работаю. Тут больше была мысль убрать ввод пароля пользователем и заменить его на более простую вариацию.
В ВПН клиенте запрещено сохранение пароля. В данном варианте вместо доменного пароля используется токен ОТП.
P.S. К слову, torrent у нас запрещен.
FortiOS applies DoS protection very early in its traffic processing sequence to minimize the effect of a DoS attack on FortiOS system performance. DoS protection is the first step for packets after they are received by a FortiGate interface. Potential DoS attacks are detected and blocked before the packets are sent to other FortiOS systems.
FortiOS also includes an access control list feature that is implemented next. This accelerated ACL technology uses NP6 processors to block traffic (including DoS attacks) by source and destination address and service again before the packets are sent to the FortiGate CPU
Таким образом, включая DoS политику, я как раз и разгружаю систему от необходимости обработки ненужных пакетов политиками файрвола.
По поводу "костыльности" данного решения я более чем с Вами согласен. Если удастся получить внятный ответ от вендора, почему так получается, буду рад сообщить. Срабатывание DoS политики происходит до обработки правил файрволом, то есть, отключив QUIC и переведя принудительно всех на TCP/TLS, я убираю возможность попадания в бан известных сервисов, вместе с тем закрывая периметр от других флудильщиков.
Файрвол не программный, а вполне себе аппаратный, только вот вариантов создания на нем адекватных динамических листов по принципу от уважаемого ua_lost_in_the_dark пока что не обнаружено. Завышать порог срабатывания на DoS политике, на мой взгляд, бессмысленно. Чем я по-Вашему подпортил жизнь пользователям внутренней сети?