<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
Alan DeKok wrote:
<blockquote cite="mid20060602151824.7544416E0B@mail.nitros9.org"
 type="cite">
  <blockquote type="cite">
    <pre wrap="">My problem is that there can be hotspots on dynamic ip addresses.
The solution I found actually is to have an unique secret shared with 
all hotspots.
So the secret is known by everybody.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
  Or, make the hotspots NOT have dynamic IP's.  There's no reason why
they should have dynamic IP's.

  </pre>
</blockquote>
In my project, I don't own the hotspots, and don't know about the
hotspots ISPs.<br>
The hotspots communicate to the radius server though the internet.<br>
<blockquote cite="mid20060602151824.7544416E0B@mail.nitros9.org"
 type="cite">
  <pre wrap=""></pre>
  <blockquote type="cite">
    <pre wrap="">- What can a malicious user can do with the secret? Can it alter 
accounting and other things? (chillispot uses chap auth-type)
    </pre>
  </blockquote>
  <pre wrap=""><!---->
  If someone knows the secret, he can do *anything* to the packets
without the RADIUS server being able to tell.
  </pre>
</blockquote>
Ok. I don't know much about the radius protocol details, maybe you
could help me understanding how secure would be a solution where the
secret is know by everybody.<br>
Chillispot uses CHAP authentication with a different secret per hotspot.<br>
I consider is part as secure.<br>
Now, once a user is authenticated, how does the nas send accounting
info?<br>
Does it have to authenticate again, or is its ip address (and its
(public known)secret) sufficient to authenticate?<br>
Do you need at least a session id?<br>
<br>
Imagine that the malicious use cannot listen to the radius
communications. What can it do without authentication?<br>
<br>
I need security, because I will use accounting info to perform
facturation...<br>
<br>
Thanks for your great help.<br>
<blockquote cite="mid20060602151824.7544416E0B@mail.nitros9.org"
 type="cite">
  <pre wrap="">
  </pre>
  <blockquote type="cite">
    <pre wrap="">- Is there a way of maintaining a per hotspot secret with dynamic ip 
addresses?
    </pre>
  </blockquote>
  <pre wrap=""><!---->
  Not really, no.
  </pre>
</blockquote>
this means I must use a vpn client to connect to the radius server?<br>
I would have liked a simple chillispot installation...<br>
<br>
Regards<br>
Sophana KOK<br>
</body>
</html>