Użytkownik KrzychK2 napisał:
Witaj Cezary,
W Twoim liście datowanym 8 maja 2006 (23:07:13) można przeczytać:
Dnia poniedziałek, 8 maja 2006 10:38, Dariusz Kowalczyk napisał:
On Mon, 8 May 2006 05:20:56 +0200, Cezary Listkowski wrote
Moze kots z madrych ludzi, bez przycinek powie mi co zrobic w takiej sytuacji.
Mielm klienta ktory mial odemnie internet droga radiowa. Kient przesiadl sie do konkruncji ale powiadomil mnie dopiero po fakcie czyli miesiac pozniej. Cwaniczek provider (chyba) z konkurencyjnej sieci przeskanowal moja i zna adresy MAC z powiaznymi IP. Na Access Pointach filtruje adresy MAC, posiadam free radiusa ale co z tego kiedy dla klientow radiowych haslem jest adres MAC. Teraz cwaniaki moga sie podszywac i nie mozna tego udowodnic. Skad wiem? ano stad ze ludzie czasami zglaszaja mi konflikty adresow IP.
Zmiana adresacji sieci i wylaczenie DHCP moze by troszke pomogla ale adresow MAC przeciez ludziom nie pozmieniam (40osob) Mysle sobie fajnie by bylo gdyby byl zaimplementowany w AP serwer pppoe dla uwierzytelniania klientow :) ale o tym moge zapomiec bo nie spotkalem sie z takim sprzetem.
Cholerne radiowki, czy tez nie ma sposobu na cwaniaka?
-- Czarek
wlacz po porstu szyfrowanie jak nie masz czasu bawic sie z portalem przechwytujacym w stylu nocat zawsze to jakiej utrudnienie mac adres byle debil moze wykorzystac a szyfrowanie juz trzeba minimum wiedzy ...
Dariusz Kowalczyk
Szyfrowanie WEP lamie sie bardzo prosto, bawilem sie nie raz a narzedzia sa ogolnie dostepne lacznie nawet z filmikami jak to sie robi, ponadto oslabia to syganal dlatego tez zadne to utrudnienie. Nocata i PPPOE zainstalowany na serwerku tez malo w tym przypadku da poniewaz jesli gosc ma MAC to wejdzie mi na AP i wystarczy skan sieci i wszystkie zabezpieczenia sa do d....py. Dlaczego? bo ludzie jak wicie nie wszyscy sa orlami i nie zabezpieczaja sie osobiscie a ja jako dostawca chce ich ochronic przed cwaniakami. Choci o to ze w AP jest zabezpieczenie tak naprawde tylko opierajace sie na filtracji adresow MAC. Jak wiecie MACa mozna sobie zmieniac i to jest ogromny bol i blad tego kto to wymyslil. Najlepszym zabezpieczeniem bylo by postawienie serwera PPPOE z karta Wi-Fi na PCI w trybie AP, ale jak mam postawic kompa na dachu :) to by bylo troszke smieszne i nie rozwazne, podjrzewam ze szybko bym go stracil, i tak juz stracilem 2 anteny i jednego Access Pointa przez je...nych zlodzieji. Bardzo ubolewam ze jescze zaden z producentow nie zrobil Access Pointa z uwierzytelnianiem i tunelowaniem polaczen i to byl by strzal w dziesiatke. No ale to sa tylko mznoki na ktore moze poczekamy sobie jeszcze troche. Mam inny pomysl, ale brakuje mi wiedzy, moze ktos z Was pomoze. Chce odzielic siec Access pointow od sieci z uzytkownikami.
Moj pomysl na bezpieczna siec jest taki:
- Access Pointy niech stoja bez szyfrowania z filtracja MAC.
- Serwer zaopatrzec w dwie 3 karty sieciowe
- jedna eth0 w ktora wpinam sygnal np.: z modemu DSL
- druga eth1 w ktora wpinam Access Pointa
- trzecia eth2 w ktora wpinam userow
- W Access Pointach ustawic IP klase na 10.0.0.0
- Karte eth2 usawic w innej klasie np C 192.168.1.0
a klase C podzielic tak aby kady user mial po 3 adresy lub po dwa adresy i wyregulowac to maska (tu nie wiem jak sie dzieli-czy jest jakis kalulator?) W ogole brakuje mi troszke teorii i praktyki. Nie wiem czy warto dzielic siec klasy C na czesci i ja ustawic routing aby klienci laczacy sie z Access Pointami mogli polaczys sie poprzez PPPOE z serwerem.
Moze ktos z Was ma lepszy pomysl odzielenia porzadnie klientow z AP od klientow z LAN i serwera?
switche z VLANami, (przecież to żaden pomysł i ogólniedostępny towar) np. Planet FSD 1600
uczestnicy (1)
-
Rafał Błażejowski