Witaj Cezary,
W Twoim liście datowanym 8 maja 2006 (23:07:13) można przeczytać:
Dnia poniedziałek, 8 maja 2006 10:38, Dariusz Kowalczyk napisał:
On Mon, 8 May 2006 05:20:56 +0200, Cezary Listkowski wrote
Moze kots z madrych ludzi, bez przycinek powie mi co zrobic w takiej sytuacji.
Mielm klienta ktory mial odemnie internet droga radiowa. Kient przesiadl sie do konkruncji ale powiadomil mnie dopiero po fakcie czyli miesiac pozniej. Cwaniczek provider (chyba) z konkurencyjnej sieci przeskanowal moja i zna adresy MAC z powiaznymi IP. Na Access Pointach filtruje adresy MAC, posiadam free radiusa ale co z tego kiedy dla klientow radiowych haslem jest adres MAC. Teraz cwaniaki moga sie podszywac i nie mozna tego udowodnic. Skad wiem? ano stad ze ludzie czasami zglaszaja mi konflikty adresow IP.
Zmiana adresacji sieci i wylaczenie DHCP moze by troszke pomogla ale adresow MAC przeciez ludziom nie pozmieniam (40osob) Mysle sobie fajnie by bylo gdyby byl zaimplementowany w AP serwer pppoe dla uwierzytelniania klientow :) ale o tym moge zapomiec bo nie spotkalem sie z takim sprzetem.
Cholerne radiowki, czy tez nie ma sposobu na cwaniaka?
-- Czarek
wlacz po porstu szyfrowanie jak nie masz czasu bawic sie z portalem przechwytujacym w stylu nocat zawsze to jakiej utrudnienie mac adres byle debil moze wykorzystac a szyfrowanie juz trzeba minimum wiedzy ...
Dariusz Kowalczyk
Szyfrowanie WEP lamie sie bardzo prosto, bawilem sie nie raz a narzedzia sa ogolnie dostepne lacznie nawet z filmikami jak to sie robi, ponadto oslabia to syganal dlatego tez zadne to utrudnienie. Nocata i PPPOE zainstalowany na serwerku tez malo w tym przypadku da poniewaz jesli gosc ma MAC to wejdzie mi na AP i wystarczy skan sieci i wszystkie zabezpieczenia sa do d....py. Dlaczego? bo ludzie jak wicie nie wszyscy sa orlami i nie zabezpieczaja sie osobiscie a ja jako dostawca chce ich ochronic przed cwaniakami. Choci o to ze w AP jest zabezpieczenie tak naprawde tylko opierajace sie na filtracji adresow MAC. Jak wiecie MACa mozna sobie zmieniac i to jest ogromny bol i blad tego kto to wymyslil. Najlepszym zabezpieczeniem bylo by postawienie serwera PPPOE z karta Wi-Fi na PCI w trybie AP, ale jak mam postawic kompa na dachu :) to by bylo troszke smieszne i nie rozwazne, podjrzewam ze szybko bym go stracil, i tak juz stracilem 2 anteny i jednego Access Pointa przez je...nych zlodzieji. Bardzo ubolewam ze jescze zaden z producentow nie zrobil Access Pointa z uwierzytelnianiem i tunelowaniem polaczen i to byl by strzal w dziesiatke. No ale to sa tylko mznoki na ktore moze poczekamy sobie jeszcze troche. Mam inny pomysl, ale brakuje mi wiedzy, moze ktos z Was pomoze. Chce odzielic siec Access pointow od sieci z uzytkownikami.
Moj pomysl na bezpieczna siec jest taki:
- Access Pointy niech stoja bez szyfrowania z filtracja MAC.
- Serwer zaopatrzec w dwie 3 karty sieciowe
- jedna eth0 w ktora wpinam sygnal np.: z modemu DSL
- druga eth1 w ktora wpinam Access Pointa
- trzecia eth2 w ktora wpinam userow
- W Access Pointach ustawic IP klase na 10.0.0.0
- Karte eth2 usawic w innej klasie np C 192.168.1.0
a klase C podzielic tak aby kady user mial po 3 adresy lub po dwa adresy i wyregulowac to maska (tu nie wiem jak sie dzieli-czy jest jakis kalulator?) W ogole brakuje mi troszke teorii i praktyki. Nie wiem czy warto dzielic siec klasy C na czesci i ja ustawic routing aby klienci laczacy sie z Access Pointami mogli polaczys sie poprzez PPPOE z serwerem.
Moze ktos z Was ma lepszy pomysl odzielenia porzadnie klientow z AP od klientow z LAN i serwera?
A moze ktos te zagadnienia przetestowal juz wczesniej i podzieli sie wiedza?
Jesli zle mysle prosze wyprowadzcie mnie z bledu.
Pozdrawiam
Niestety sam sobie otworzyłeś furtkę lub bardziej obrazowo - strzeliłeś gola ustawiając hasło, które można łatwo odczytać/wydedukować.
Teraz możliwości jest kilka.
1) poptop - to już jest vpn po gre możesz na nim wymusić szyfrowanie, co prawda ze stałym kluczem, ale zawsze jakieś. posiada autoryzację - użytkownik/hasło
2) obrzydzić maksymalnie sposób autoryzacji tak aby dla uprawnionego klienta był prosty jasny i oczywisty a dla kombinatora, dziwny, nieodgagniony, pochrzaniony. Systemy FreeBSD (nie wiem jak linux) oferują mechanizm authpf który generuje odpowiednie regułki firewalla w momencie uzyskania autoryzacji. Może to wyglądać np. poprzez uzyskanie dostępu do internetu dla użytkownika który otworzy sesję ssh i będzie ona otwarta. Sesja ssh może być zainicjowana TYLKO za pomocą klucza, który to użytkownik dostanie od Ciebie. W puttym pod windows czy ssh pod unixy taka konfiguracja zajmuje 3 kliknięcia myszą, a zaczyna się to robić skuteczne. Po pierwsze - będziesz miał bazę kluczy a jednocześnie użytkowników uprawnionych do korzystania z sieci. Po drugie - intruz dostanie się do sieci, ale nie skorzysta z internetu, a skanowanie nic nie da bo zobaczy tylko śmieci. Po trzecie - TY będziesz zarządzał dostępem w TOBIE tylko znany sposób. End user dostanie tylko dyskietkę z kluczem i instrukcję.
Taki scenariusz można dowolnie modyfikować np - strona którą trzeba mieć otwartą non stop i tym podobne mechanizmy.
3) inne sposoby - np. wykorzystanie IP-sec z isakmp + ssl czyli stworzenie szyfrowanych tuneli dla każdego użytkownika dodatkowo z dynamiczną wymianą kluczy, wszystko oparte na certyfikatach, tylko czy to już nie jest przerost formy nad treścią?? Nie każdy ruter wifi sobie z tym radzi. Poza tym wydajność rutera też musi być na odpowiednim poziomie. No i jeszcze konfiguracja...........
Co do komputerów na dachu - przecież masz jednopłytowce.. cenowo wychodzą praktycznie tyle co za normalny sprzęt i masz prawie te same możliwości. Jednopłytowiec do dużej puchy porządnie zamontowanej, zabezpiecz jeszcze klapę od dachu i powinno pomóc. Chociaż złodziej jak nie oknem to drzwiami wejdzie.
uczestnicy (1)
-
KrzychK2