- lms - lists.lms.org.pl

Re: sposob na cwaniaka
by Cezary Listkowski 09 Maj '06

09 Maj '06

Dnia wtorek, 9 maja 2006 00:56, s@wek napisa?: > Po pierwsze zeby podlaczyc sie do AP nie musisz miec IP bo przeciez AP lub > server za nim moze przydzielac adresy IP. > AP moze byc przezroczyste czyli medium transmisji tak jak kabel w LAN. > Druga sprawa to olej te MAC adresy i zrob PPPoE + FreeRadius ale LOGIN i > HASLO. Na radiusie ustawiasz zeby tylko 1 user mogl byc zalogowany na danym > hasle i po sprawie. A jak w piszesz na interface do userow czyli np eth1 ip > 0.0.0.0 to juz ci chodzi tylko pppoe. > Zamiast PAP uzyj CHAP zeby to przechwycic trzeba uzyc dekryptora i troszke > sie pobawic oczywiscie mozesz uzyc ms-chap v2 ale mysle nie ma co > komplikowac. Nawet jak lewy gosc przechwyci jakims cudem haslo lub pojdzie > do goscia i wykradnie mu z kompa to i tak tylko 1 osoba bedzie korzystala z > neta i jesli prawdziwy user sie zglosi ze nie moze sie zalogowac to > poprostu zmienisz mu haslo. Fakt przyznaje, ale juz sie dzis czegos nauczylem. Mam pppoe i to z obsluga ms-chap w wersjii drugiej /etc/ppp/pppoe-server-options mtu 1472 mru 1472 +chap -pap ms-dns 194.204.159.1 ms-dns 194.204.152.34 require-mschap-v2 lcp-echo-interval 10 lcp-echo-failure 20 jak widac u gory tak mi dzial bezblednie. Jesli zas chodzi o Free radiusa to szczerze mowiac mam male doswidczenie ale z tego co zauwazylem free radius jak haslo przyjmuje MAC adres, a mi chodzi o to zeby gosc nie wszedl mi do sieci i nie zaczal skanowac calej sieci. Darek posunal mi doby pomysl - dolozyc karte eth2 a do niej podlaczyc AP i userzy autentykuja (jesli tak to mozna nazwac) sie po pppoe na eth2 wtdy mam odseparowanego Access Pointa od calej sieci - gosc jak sie wlamie to zobaczy tylko co najwyzej serwer ale nie bedzie mial hasla i loginu wiec nie zobaczy pozostalych kompow w sieci a tym bardziej nie bedzie mial internetu, mi bardziej jednak zelzy na userach i ich bezpieczenstwie wiec to jest chyba dobre rozwiazanie. Dokladnie nei wiem tylko jak rozwiazac adresacje w pppoe i jak ustawic routing poniewaz HTB dziele lacze ale on dziala na interfejsie eth1 czyli tam gdzie beda podlaczeni userzy po kablu a raptem ma ich osmiu. -- Czarek

1 0

cd Terminarz
by Marcin o2.pl 09 Maj '06

09 Maj '06

Witam, niestety zaden orzeł ze mnie w php, posiedziałem kilka godzin ale skutecznie się nie rozprawiłem z blokowaniem zmiany i edycji terminarza. Chciałbym dopisać do eventedit.php po: if($_GET['action'] == 'open') regółkę w stylu: $DB->GetOne('SELECT id FROM events WHERE userid < 2',array($_GET['id'])); $SESSION->redirect('?m=eventlist'); (nie śmiać się, 4h nauki php... wiem że źle - bo nie dziala :-) która by blokowała opcję wywołania zmiany statusu i edycji kończąc wykonywanie skryptu gdy ID usera nie wynosi np 1, ale tak sądzę że to nic nie da bo terminarz nie ma (nie wiem jak wywołać) zmiennej ID zalogowanego uzytkownika, no i nie wiem co zrobić... Jak dopisać pobranie ID zalogowanego usera ? nicto ze bym mial w skrypcie to na stałe. Pozdrowienia

1 0

Re: sposob na cwaniaka
by Cezary Listkowski 09 Maj '06

09 Maj '06

Dnia wtorek, 9 maja 2006 00:42, Dariusz Kowalczyk napisał: > klienci zeby sie podlacyzc z ap musza miec tylko jego ssid i klucz (jesli > korzystasz z szyfrowania) nie musza miec wcale adreu ip!! AP podobnie jak > zwykly switch dziala w warstwie drugiej i nic go nie obchodzac adresy ip, > bo to jest w warstwie trzeciej, poza tym serwer pppoe musi byc postawiony > na dedykowanej karcie sieciowej jesli to robisz na maszynie na ktorej juz > jest cos to dla ppoe musisz dolozyc druga karte sieciowa I o to chodzilo ! Stary caluje Cie w czolko :) bo moja teoria jest troskze kulawa, jestem samoukiem i z dnia na dzien ucze sie czegos nowego (jak kazdy chyba). Czyli tak: serwer.czyli eth0 podlaczone do modemu DSL. Klienci po kablu sa wpieci do eth1 (tu dziala klasa IP C)a Access Point do eth2 (tu dziala klasa IP A)na ktorym postawiony jest pppoe ! dla kientow radiowych. Tyle ze napisz mi jeszcze jak rozwiazac problem z podzialem lacza bo jesli HTB dziala mi na eth1 i userzy po kablu maja adresy 192.168.0.x a serwer ma adres 192.168.0.1 to czy mam userom po radiu przydzieli adresy z tej samej sieci ? -- Czarek

1 0

Re: sposob na cwaniaka
by Dariusz Kowalczyk 09 Maj '06

09 Maj '06

stare przyslowie pszczół mowi ...najlepsza obroną jest atak Dariusz Kowalczyk

1 0

Re: sposob na cwaniaka
by Cezary Listkowski 09 Maj '06

09 Maj '06

Dnia wtorek, 9 maja 2006 00:32, Rafal Drozd napisał: > AP600 Upssss... No poczytalem sobie o tym sprzecie, musze przyznac ze jest godny uwagi poza malym szczegolem ktorym jest 11 Mbps a koszt okol 900PLN Mam obecnie AP900+ Dlinka i Planety 1965 sa to nie drogie urzadzenia ale kiedys jeszcze bylem jako pierwszy w swojej miejscowosci a teraz narobilo sie takich jak ja okolo 6 dodatkowo. LOL !!! w dzisiejszych czasach kazdy chce byc providerem :) -- Czarek

1 0

Re: sposob na cwaniaka
by s＠wek 09 Maj '06

09 Maj '06

----- Original Message ----- From: "Cezary Listkowski" <czaro(a)raciaz.pl> To: <lms(a)lists.rulez.pl> Sent: Tuesday, May 09, 2006 12:15 AM Subject: [lms] Re: sposob na cwaniaka >> a po co Ci zaimplementowany w Ap serwer ppoe jak AP ma ustawione >> forwardowanie pakietow na mac adres i izolacje miedzy klientami to serwer >> ppoe mozesz postawic na dowolnej maszynie i w dowolnej lokalizacji i tak >> wszystkie pakiety beda szly tylko do tej maszyny >> >> Dariusz Kowalczyk > > OK. zobaczmy czy dobrze mysle. > > Biarac pod uwage to ze mam serwer 192.168.0.1 na nim pppoe > Po polaczeniu sie po pppoe user ma internet. > Klient laczacy sie po kablu musi miec przypisany adres tak aby widzial > serwer > czyli np 192.168.0.32 zeby polaczyl sie poprzez pppoe. jesli klient po > kabelku bedzie mial adres 172.0.0.2 to juz nie polaczy sie przez pppoe w > zwiazku z tym musze tym klientom przypisac jakies adresy z klasy tej samej > co > serwer i beda oni laczyc sie drugim polaczenim pppoe aby miec internet. > > Klienci radiowi tez musz miec ustawiony jakis adres IP zeby polczac sie z > Access Pointem, ale jaki? Jesli nie beda miec zadnego adresu to wyskoczy > im > komunikat o "braku polaczenia i ograniczeniu lacznosci" nastepnie jak juz > beda mieli jakis adres IP beda laczyc sie poprzez pppoe drugim polaczeniem > podobnie jak klienci po kablu. > Czy dobrze mysle ? > > Bo jesli tak to w kazdym przypadku musze przypisac obejetnie > jakiemukolwiek > userowi jakis adres IP inaczej klientom wyskoczy w/w komunikat o > "ograniczeniu lacznosci". jesli dam userom te same IP co AP i serwer to > cwaniak wykorzytujac MAC i tak dostanie sie do AP jesli dostanie sie do > AP > to tylko chwila i znajdzie mi ludzikow ktorzy sa w sieci zalogowani i moze > ich na przyklad atakowac. > > -- > Czarek Ale bzdury wypisujesz Po pierwsze zeby podlaczyc sie do AP nie musisz miec IP bo przeciez AP lub server za nim moze przydzielac adresy IP. AP moze byc przezroczyste czyli medium transmisji tak jak kabel w LAN. Druga sprawa to olej te MAC adresy i zrob PPPoE + FreeRadius ale LOGIN i HASLO. Na radiusie ustawiasz zeby tylko 1 user mogl byc zalogowany na danym hasle i po sprawie. A jak w piszesz na interface do userow czyli np eth1 ip 0.0.0.0 to juz ci chodzi tylko pppoe. Zamiast PAP uzyj CHAP zeby to przechwycic trzeba uzyc dekryptora i troszke sie pobawic oczywiscie mozesz uzyc ms-chap v2 ale mysle nie ma co komplikowac. Nawet jak lewy gosc przechwyci jakims cudem haslo lub pojdzie do goscia i wykradnie mu z kompa to i tak tylko 1 osoba bedzie korzystala z neta i jesli prawdziwy user sie zglosi ze nie moze sie zalogowac to poprostu zmienisz mu haslo. Pozdro s@wek

1 0

Re: sposob na cwaniaka
by s＠wek 09 Maj '06

09 Maj '06

----- Original Message ----- From: "Cezary Listkowski" <czaro(a)raciaz.pl> To: <lms(a)lists.rulez.pl> Sent: Tuesday, May 09, 2006 12:15 AM Subject: [lms] Re: sposob na cwaniaka >> a po co Ci zaimplementowany w Ap serwer ppoe jak AP ma ustawione >> forwardowanie pakietow na mac adres i izolacje miedzy klientami to serwer >> ppoe mozesz postawic na dowolnej maszynie i w dowolnej lokalizacji i tak >> wszystkie pakiety beda szly tylko do tej maszyny >> >> Dariusz Kowalczyk > > OK. zobaczmy czy dobrze mysle. > > Biarac pod uwage to ze mam serwer 192.168.0.1 na nim pppoe > Po polaczeniu sie po pppoe user ma internet. > Klient laczacy sie po kablu musi miec przypisany adres tak aby widzial > serwer > czyli np 192.168.0.32 zeby polaczyl sie poprzez pppoe. jesli klient po > kabelku bedzie mial adres 172.0.0.2 to juz nie polaczy sie przez pppoe w > zwiazku z tym musze tym klientom przypisac jakies adresy z klasy tej samej > co > serwer i beda oni laczyc sie drugim polaczenim pppoe aby miec internet. > > Klienci radiowi tez musz miec ustawiony jakis adres IP zeby polczac sie z > Access Pointem, ale jaki? Jesli nie beda miec zadnego adresu to wyskoczy > im > komunikat o "braku polaczenia i ograniczeniu lacznosci" nastepnie jak juz > beda mieli jakis adres IP beda laczyc sie poprzez pppoe drugim polaczeniem > podobnie jak klienci po kablu. > Czy dobrze mysle ? > > Bo jesli tak to w kazdym przypadku musze przypisac obejetnie > jakiemukolwiek > userowi jakis adres IP inaczej klientom wyskoczy w/w komunikat o > "ograniczeniu lacznosci". jesli dam userom te same IP co AP i serwer to > cwaniak wykorzytujac MAC i tak dostanie sie do AP jesli dostanie sie do > AP > to tylko chwila i znajdzie mi ludzikow ktorzy sa w sieci zalogowani i moze > ich na przyklad atakowac. > > -- > Czarek Ale bzdury wypisujesz Po pierwsze zeby podlaczyc sie do AP nie musisz miec IP bo przeciez AP lub server za nim moze przydzielac adresy IP. AP moze byc przezroczyste czyli medium transmisji tak jak kabel w LAN. Druga sprawa to olej te MAC adresy i zrob PPPoE + FreeRadius ale LOGIN i HASLO. Na radiusie ustawiasz zeby tylko 1 user mogl byc zalogowany na danym hasle i po sprawie. A jak w piszesz na interface do userow czyli np eth1 ip 0.0.0.0 to juz ci chodzi tylko pppoe. Zamiast PAP uzyj CHAP zeby to przechwycic trzeba uzyc dekryptora i troszke sie pobawic oczywiscie mozesz uzyc ms-chap v2 ale mysle nie ma co komplikowac. Nawet jak lewy gosc przechwyci jakims cudem haslo lub pojdzie do goscia i wykradnie mu z kompa to i tak tylko 1 osoba bedzie korzystala z neta i jesli prawdziwy user sie zglosi ze nie moze sie zalogowac to poprostu zmienisz mu haslo. Pozdro s@wek

1 0

Re: sposob na cwaniaka
by Cezary Listkowski 09 Maj '06

09 Maj '06

Dnia poniedziałek, 8 maja 2006 23:50, KrzychK2 napisał: >Niestety sam sobie otworzyłeś furtkę lub bardziej obrazowo - >strzeliłeś gola ustawiając hasło, które można łatwo odczytać/wydedukować. to nie tak, gosc mial odemnie internet, przeszedl do konkurencji z ktora oczywiscie bardzo sie nie lubimy :) Majac internet od konkurencji przez 1 miesiac za free na probe powiadomil mnie po miesiacu ze rezygnuje. Nastepnie admin konkurencyjnej sieci wlazl mi do mojej sieci uzywajac adresu MAC tego goscia i szczerzy zeby ze wielki z niego hackier :/ Oczywiscie nie moge go oskarzyc bo i gdzie dowody kiedy zmieniajac sobie MAC po prostu podal sie za tamtego klienta, nie zrobil zadnej krzywdy nikomu ale prawdobodobnie zeskanowal siec i jest teraz w posiadaniu prawie calej tablicy mac adresow z powiazanymi adresami IP. Gdzie tu moja wina? > Taki scenariusz można dowolnie modyfikować np - strona którą trzeba > mieć otwartą non stop i tym podobne mechanizmy. owszem NOCAT ale nie w tym rzecz. > 3) inne sposoby - np. wykorzystanie IP-sec z isakmp + ssl czyli > stworzenie szyfrowanych tuneli dla każdego użytkownika dodatkowo z > dynamiczną wymianą kluczy, wszystko oparte na certyfikatach, > tylko czy to już nie jest przerost formy nad treścią?? Nie każdy > ruter wifi sobie z tym radzi. Poza tym wydajność rutera też musi > być na odpowiednim poziomie. No i jeszcze konfiguracja........... No wlasnie nie wszystkie Access Point sobie dobrze z tym radza, ale to nie chodzi o zaszyfrowanie polaczenie choc nie jest to zle. IP-seciem laczylem kiedys dwie sieci i dzilalalo bezblednie ale byly to dwa lacza 2Mbit/s Frame Relay > Co do komputerów na dachu - przecież masz jednopłytowce.. cenowo > wychodzą praktycznie tyle co za normalny sprzęt i masz prawie te same > możliwości. Jednopłytowiec do dużej puchy porządnie zamontowanej, > zabezpiecz jeszcze klapę od dachu i powinno pomóc. Chociaż złodziej > jak nie oknem to drzwiami wejdzie. To musze jeszcze raz rozwazyc i moze kupic cos na probe z karta Wi-Fi i zobaczyc jak to sie bedzie spisywac. A juz najlepiej i najbezpieczniej bylo by jakbym mial ze 40 kart w trybie Ad-hoc, jak to mowia - jeden do jednego i nikt nie podslucha ...to tak humorystycznie :) Mi bardziej chodzi o to zeby gosc po polaczeniu sie do AP nawet znajac wszystkie MAC adresy nie mial dostepu do sieci. Nie czhodzi mi o to czy polaczy sie z netem ale chodzi mi o bezpieczenstwo userow, bo moze byc taka sytuacja.: Gosc wlamuje sie na AP natepnie skanuje siec zauwaza ze jakas Pani Krysia ktora nie ma wielkiego pojecia o komputerach ma udostepnione jakies pliki, wykrada jej te pliki i idzie do niej i mowi ze ma providera dupe wolową :/ albo ludzie udostepniaja sobie filmy i on zaczyna je sciagac przez radio i zapycha cale pasmo radiowe bo na AP nie mam zaimplementowanego QOS :/ -- Czarek

1 0

Re: sposob na cwaniaka
by Dariusz Kowalczyk 09 Maj '06

09 Maj '06

On Tue, 9 May 2006 00:15:25 +0200, Cezary Listkowski wrote > > a po co Ci zaimplementowany w Ap serwer ppoe jak AP ma ustawione > > forwardowanie pakietow na mac adres i izolacje miedzy klientami to serwer > > ppoe mozesz postawic na dowolnej maszynie i w dowolnej lokalizacji i tak > > wszystkie pakiety beda szly tylko do tej maszyny > > > > Dariusz Kowalczyk > > OK. zobaczmy czy dobrze mysle. > > klienci zeby sie podlacyzc z ap musza miec tylko jego ssid i klucz (jesli korzystasz z szyfrowania) nie musza miec wcale adreu ip!! AP podobnie jak zwykly switch dziala w warstwie drugiej i nic go nie obchodzac adresy ip, bo to jest w warstwie trzeciej, poza tym serwer pppoe musi byc postawiony na dedykowanej karcie sieciowej jesli to robisz na maszynie na ktorej juz jest cos to dla ppoe musisz dolozyc druga karte sieciowa Dariusz Kowalczyk -- Webvisor Sp. z o.o. al. Wolnosci 19 33-300 Nowy Sacz tel./fax +48 18 4441888 http://www.webvisor.pl

1 0

Re: sposob na cwaniaka
by Rafal Drozd 09 Maj '06

09 Maj '06

Witaj Cezary, W Twoim liście datowanym 9 maja 2006 (00:15:25) można przeczytać: > Bo jesli tak to w kazdym przypadku musze przypisac obejetnie jakiemukolwiek > userowi jakis adres IP inaczej klientom wyskoczy w/w komunikat o > "ograniczeniu lacznosci". jesli dam userom te same IP co AP i serwer to > cwaniak wykorzytujac MAC i tak dostanie sie do AP jesli dostanie sie do AP > to tylko chwila i znajdzie mi ludzikow ktorzy sa w sieci zalogowani i moze > ich na przyklad atakowac. Przeciez AP'ekowi mozesz ustawic IP jakie Ci sie podoba a uzytkownika przydzielaj adresy z DHCP, a co do tego ze moze atakowac ludzi, zawsze mozesz zakupic jakies AP600 i filtrowac jakies tam porty od SMB itd z poziomu AP :) Oczywiscie przy AP600 mozna troche wiecej pogrzebac ;) -- Pozdrowienia, Rafal Drozd

1 0