Witaj Cezary,
W Twoim liście datowanym 8 maja 2006 (23:07:13) można przeczytać:
> Dnia poniedziałek, 8 maja 2006 10:38, Dariusz Kowalczyk napisał:
>> On Mon, 8 May 2006 05:20:56 +0200, Cezary Listkowski wrote
>>
>> > Moze kots z madrych ludzi, bez przycinek powie mi co zrobic w takiej
>> > sytuacji.
>> >
>> > Mielm klienta ktory mial odemnie internet droga radiowa.
>> > Kient przesiadl sie do konkruncji ale powiadomil mnie dopiero po fakcie
>> > czyli miesiac pozniej.
>> > Cwaniczek provider (chyba) z konkurencyjnej sieci przeskanowal moja i zna
>> > adresy MAC z powiaznymi IP.
>> > Na Access Pointach filtruje adresy MAC, posiadam free radiusa ale co z
>> > tego kiedy dla klientow radiowych haslem jest adres MAC.
>> > Teraz cwaniaki moga sie podszywac i nie mozna tego udowodnic. Skad wiem?
>> > ano stad ze ludzie czasami zglaszaja mi konflikty adresow IP.
>> >
>> > Zmiana adresacji sieci i wylaczenie DHCP moze by troszke pomogla ale
>> > adresow MAC przeciez ludziom nie pozmieniam (40osob)
>> > Mysle sobie fajnie by bylo gdyby byl zaimplementowany w AP serwer pppoe
>> > dla uwierzytelniania klientow :) ale o tym moge zapomiec bo nie spotkalem
>> > sie z takim sprzetem.
>> >
>> > Cholerne radiowki, czy tez nie ma sposobu na cwaniaka?
>> >
>> > --
>> > Czarek
>>
>> wlacz po porstu szyfrowanie jak nie masz czasu bawic sie z portalem
>> przechwytujacym w stylu nocat zawsze to jakiej utrudnienie mac adres byle
>> debil moze wykorzystac a szyfrowanie juz trzeba minimum wiedzy ...
>>
>> Dariusz Kowalczyk
> Szyfrowanie WEP lamie sie bardzo prosto, bawilem sie nie raz a narzedzia sa
> ogolnie dostepne lacznie nawet z filmikami jak to sie robi, ponadto oslabia
> to syganal dlatego tez zadne to utrudnienie. Nocata i PPPOE zainstalowany na
> serwerku tez malo w tym przypadku da poniewaz jesli gosc ma MAC to wejdzie mi
> na AP i wystarczy skan sieci i wszystkie zabezpieczenia sa do d....py.
> Dlaczego? bo ludzie jak wicie nie wszyscy sa orlami i nie zabezpieczaja sie
> osobiscie a ja jako dostawca chce ich ochronic przed cwaniakami. Choci o to
> ze w AP jest zabezpieczenie tak naprawde tylko opierajace sie na filtracji
> adresow MAC. Jak wiecie MACa mozna sobie zmieniac i to jest ogromny bol i
> blad tego kto to wymyslil. Najlepszym zabezpieczeniem bylo by postawienie
> serwera PPPOE z karta Wi-Fi na PCI w trybie AP, ale jak mam postawic kompa na
> dachu :) to by bylo troszke smieszne i nie rozwazne, podjrzewam ze szybko bym
> go stracil, i tak juz stracilem 2 anteny i jednego Access Pointa przez
> je...nych zlodzieji. Bardzo ubolewam ze jescze zaden z producentow nie zrobil
> Access Pointa z uwierzytelnianiem i tunelowaniem polaczen i to byl by strzal
> w dziesiatke. No ale to sa tylko mznoki na ktore moze poczekamy sobie jeszcze
> troche.
> Mam inny pomysl, ale brakuje mi wiedzy, moze ktos z Was pomoze.
> Chce odzielic siec Access pointow od sieci z uzytkownikami.
> Moj pomysl na bezpieczna siec jest taki:
> 1) Access Pointy niech stoja bez szyfrowania z filtracja MAC.
> 2) Serwer zaopatrzec w dwie 3 karty sieciowe
> - jedna eth0 w ktora wpinam sygnal np.: z modemu DSL
> - druga eth1 w ktora wpinam Access Pointa
> - trzecia eth2 w ktora wpinam userow
> 2) W Access Pointach ustawic IP klase na 10.0.0.0
> 2) Karte eth2 usawic w innej klasie np C 192.168.1.0
> a klase C podzielic tak aby kady user mial po 3 adresy lub po dwa adresy i
> wyregulowac to maska (tu nie wiem jak sie dzieli-czy jest jakis kalulator?)
> W ogole brakuje mi troszke teorii i praktyki. Nie wiem czy warto dzielic siec
> klasy C na czesci i ja ustawic routing aby klienci laczacy sie z Access
> Pointami mogli polaczys sie poprzez PPPOE z serwerem.
> Moze ktos z Was ma lepszy pomysl odzielenia porzadnie klientow z AP od
> klientow z LAN i serwera?
> A moze ktos te zagadnienia przetestowal juz wczesniej i podzieli sie wiedza?
> Jesli zle mysle prosze wyprowadzcie mnie z bledu.
> Pozdrawiam
Niestety sam sobie otworzyłeś furtkę lub bardziej obrazowo -
strzeliłeś gola ustawiając hasło, które można łatwo odczytać/wydedukować.
Teraz możliwości jest kilka.
1) poptop - to już jest vpn po gre możesz na nim wymusić szyfrowanie,
co prawda ze stałym kluczem, ale zawsze jakieś. posiada autoryzację -
użytkownik/hasło
2) obrzydzić maksymalnie sposób autoryzacji tak aby dla uprawnionego
klienta był prosty jasny i oczywisty a dla kombinatora, dziwny,
nieodgagniony, pochrzaniony. Systemy FreeBSD (nie wiem jak linux)
oferują mechanizm authpf który generuje odpowiednie regułki firewalla
w momencie uzyskania autoryzacji. Może to wyglądać np. poprzez
uzyskanie dostępu do internetu dla użytkownika który otworzy sesję ssh
i będzie ona otwarta. Sesja ssh może być zainicjowana TYLKO za pomocą
klucza, który to użytkownik dostanie od Ciebie. W puttym pod windows
czy ssh pod unixy taka konfiguracja zajmuje 3 kliknięcia myszą, a
zaczyna się to robić skuteczne. Po pierwsze - będziesz miał bazę
kluczy a jednocześnie użytkowników uprawnionych do korzystania z
sieci. Po drugie - intruz dostanie się do sieci, ale nie skorzysta z
internetu, a skanowanie nic nie da bo zobaczy tylko śmieci. Po trzecie
- TY będziesz zarządzał dostępem w TOBIE tylko znany sposób. End user
dostanie tylko dyskietkę z kluczem i instrukcję.
Taki scenariusz można dowolnie modyfikować np - strona którą trzeba
mieć otwartą non stop i tym podobne mechanizmy.
3) inne sposoby - np. wykorzystanie IP-sec z isakmp + ssl czyli
stworzenie szyfrowanych tuneli dla każdego użytkownika dodatkowo z
dynamiczną wymianą kluczy, wszystko oparte na certyfikatach,
tylko czy to już nie jest przerost formy nad treścią?? Nie każdy
ruter wifi sobie z tym radzi. Poza tym wydajność rutera też musi
być na odpowiednim poziomie. No i jeszcze konfiguracja...........
Co do komputerów na dachu - przecież masz jednopłytowce.. cenowo
wychodzą praktycznie tyle co za normalny sprzęt i masz prawie te same
możliwości. Jednopłytowiec do dużej puchy porządnie zamontowanej,
zabezpiecz jeszcze klapę od dachu i powinno pomóc. Chociaż złodziej
jak nie oknem to drzwiami wejdzie.
--
Pozdrowienia,
KrzychK2