Użytkownik KrzychK2 napisał:
>Witaj Cezary,
>
>W Twoim liście datowanym 8 maja 2006 (23:07:13) można przeczytać:
>
>
>
>>Dnia poniedziałek, 8 maja 2006 10:38, Dariusz Kowalczyk napisał:
>>
>>
>>>On Mon, 8 May 2006 05:20:56 +0200, Cezary Listkowski wrote
>>>
>>>
>>>
>>>>Moze kots z madrych ludzi, bez przycinek powie mi co zrobic w takiej
>>>>sytuacji.
>>>>
>>>>Mielm klienta ktory mial odemnie internet droga radiowa.
>>>>Kient przesiadl sie do konkruncji ale powiadomil mnie dopiero po fakcie
>>>>czyli miesiac pozniej.
>>>>Cwaniczek provider (chyba) z konkurencyjnej sieci przeskanowal moja i zna
>>>>adresy MAC z powiaznymi IP.
>>>>Na Access Pointach filtruje adresy MAC, posiadam free radiusa ale co z
>>>>tego kiedy dla klientow radiowych haslem jest adres MAC.
>>>>Teraz cwaniaki moga sie podszywac i nie mozna tego udowodnic. Skad wiem?
>>>>ano stad ze ludzie czasami zglaszaja mi konflikty adresow IP.
>>>>
>>>>Zmiana adresacji sieci i wylaczenie DHCP moze by troszke pomogla ale
>>>>adresow MAC przeciez ludziom nie pozmieniam (40osob)
>>>>Mysle sobie fajnie by bylo gdyby byl zaimplementowany w AP serwer pppoe
>>>>dla uwierzytelniania klientow :) ale o tym moge zapomiec bo nie spotkalem
>>>>sie z takim sprzetem.
>>>>
>>>>Cholerne radiowki, czy tez nie ma sposobu na cwaniaka?
>>>>
>>>>--
>>>>Czarek
>>>>
>>>>
>>>wlacz po porstu szyfrowanie jak nie masz czasu bawic sie z portalem
>>>przechwytujacym w stylu nocat zawsze to jakiej utrudnienie mac adres byle
>>>debil moze wykorzystac a szyfrowanie juz trzeba minimum wiedzy ...
>>>
>>>Dariusz Kowalczyk
>>>
>>>
>
>
>
>>Szyfrowanie WEP lamie sie bardzo prosto, bawilem sie nie raz a narzedzia sa
>>ogolnie dostepne lacznie nawet z filmikami jak to sie robi, ponadto oslabia
>>to syganal dlatego tez zadne to utrudnienie. Nocata i PPPOE zainstalowany na
>>serwerku tez malo w tym przypadku da poniewaz jesli gosc ma MAC to wejdzie mi
>>na AP i wystarczy skan sieci i wszystkie zabezpieczenia sa do d....py.
>>Dlaczego? bo ludzie jak wicie nie wszyscy sa orlami i nie zabezpieczaja sie
>>osobiscie a ja jako dostawca chce ich ochronic przed cwaniakami. Choci o to
>>ze w AP jest zabezpieczenie tak naprawde tylko opierajace sie na filtracji
>>adresow MAC. Jak wiecie MACa mozna sobie zmieniac i to jest ogromny bol i
>>blad tego kto to wymyslil. Najlepszym zabezpieczeniem bylo by postawienie
>>serwera PPPOE z karta Wi-Fi na PCI w trybie AP, ale jak mam postawic kompa na
>>dachu :) to by bylo troszke smieszne i nie rozwazne, podjrzewam ze szybko bym
>>go stracil, i tak juz stracilem 2 anteny i jednego Access Pointa przez
>>je...nych zlodzieji. Bardzo ubolewam ze jescze zaden z producentow nie zrobil
>>Access Pointa z uwierzytelnianiem i tunelowaniem polaczen i to byl by strzal
>>w dziesiatke. No ale to sa tylko mznoki na ktore moze poczekamy sobie jeszcze
>>troche.
>>Mam inny pomysl, ale brakuje mi wiedzy, moze ktos z Was pomoze.
>>Chce odzielic siec Access pointow od sieci z uzytkownikami.
>>
>>
>
>
>
>>Moj pomysl na bezpieczna siec jest taki:
>>1) Access Pointy niech stoja bez szyfrowania z filtracja MAC.
>>2) Serwer zaopatrzec w dwie 3 karty sieciowe
>>- jedna eth0 w ktora wpinam sygnal np.: z modemu DSL
>>- druga eth1 w ktora wpinam Access Pointa
>>- trzecia eth2 w ktora wpinam userow
>>2) W Access Pointach ustawic IP klase na 10.0.0.0
>>2) Karte eth2 usawic w innej klasie np C 192.168.1.0
>> a klase C podzielic tak aby kady user mial po 3 adresy lub po dwa adresy i
>>wyregulowac to maska (tu nie wiem jak sie dzieli-czy jest jakis kalulator?)
>>W ogole brakuje mi troszke teorii i praktyki. Nie wiem czy warto dzielic siec
>>klasy C na czesci i ja ustawic routing aby klienci laczacy sie z Access
>>Pointami mogli polaczys sie poprzez PPPOE z serwerem.
>>
>>
>
>
>
>>Moze ktos z Was ma lepszy pomysl odzielenia porzadnie klientow z AP od
>>klientow z LAN i serwera?
>>
>>
switche z VLANami, (przecież to żaden pomysł i ogólniedostępny towar)
np. Planet FSD 1600
--
pozdrawiam
Rafał Błażejowski
