<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-15"

 http-equiv="Content-Type">

  <title></title>

</head>

<body bgcolor="#ffffff" text="#000000">

Stefan Winter wrote:

<blockquote cite="mid200606060903.12689.stefan.winter@restena.lu"

 type="cite">

  <pre wrap="">Hi,

  </pre>

  <blockquote type="cite">

    <blockquote type="cite">

      <pre wrap="">In my project, I don't own the hotspots, and don't know about the

hotspots ISPs.

The hotspots communicate to the radius server though the internet.

      </pre>

    </blockquote>

    <pre wrap="">  I would suggest using another method to get a secure connection to

the hotspot.  Maybe IPSec.

    </pre>

  </blockquote>

  <pre wrap=""><!---->

this is again an example where a RadSec extension would come in extremely 

handy. Short wrapup: RadSec establishes connections via TCP and TLS and 

transports the RADIUS payload over it, so clients can be identified by their 

TLS certificate; IPs and shred secrets become obsolete. Create a dedicated CA 

for your servers, then whoever tries to connect can be checked against your 

CA root.

Make the hotspots talk RadSec and let them communicate with your FR server via 

this link.

The only open problem is: right now there is only one implementation of RadSec 

in OSCs Radiator, and it could be better coded and more advanced.

I am working on a formal specification of RadSec right now, of which I hope it 

will somehow find a way into the Informational RFC track. There is a lot more 

potential in it than the OSC Whitepaper suggests.

It would be really great to get an implementation of this in FR.

Greetings,

Stefan Winter

  </pre>

</blockquote>

I finally found a solution to this problem.<br>

I will implement myself the dynamic ipaddress compatible radius server,

using the NAS-identifier attributes in requests to determine the secret

instead of the ipaddress.<br>

I will implement this in python from pyrad, a very simple radius

implementation in python<br>

For authentication, chillispot uses CHAP which is secure enough for me.

(I add some additionnal secret to the password)<br>

The accounting request protected by a secret is also safe enough for

me. (at the beginning)<br>

<br>

I am sure that this could be implemented quite easily in freeradius.

Maybe I'll do it if I have performance problems.<br>

<br>

Regards<br>

Sophana KOK<br>

<br>

</body>

</html>