----- Original Message ----- From: "Cezary Listkowski" czaro@raciaz.pl To: lms@lists.rulez.pl Sent: Tuesday, May 09, 2006 12:15 AM Subject: [lms] Re: sposob na cwaniaka
a po co Ci zaimplementowany w Ap serwer ppoe jak AP ma ustawione forwardowanie pakietow na mac adres i izolacje miedzy klientami to serwer ppoe mozesz postawic na dowolnej maszynie i w dowolnej lokalizacji i tak wszystkie pakiety beda szly tylko do tej maszyny
Dariusz Kowalczyk
OK. zobaczmy czy dobrze mysle.
Biarac pod uwage to ze mam serwer 192.168.0.1 na nim pppoe Po polaczeniu sie po pppoe user ma internet. Klient laczacy sie po kablu musi miec przypisany adres tak aby widzial serwer czyli np 192.168.0.32 zeby polaczyl sie poprzez pppoe. jesli klient po kabelku bedzie mial adres 172.0.0.2 to juz nie polaczy sie przez pppoe w zwiazku z tym musze tym klientom przypisac jakies adresy z klasy tej samej co serwer i beda oni laczyc sie drugim polaczenim pppoe aby miec internet.
Klienci radiowi tez musz miec ustawiony jakis adres IP zeby polczac sie z Access Pointem, ale jaki? Jesli nie beda miec zadnego adresu to wyskoczy im komunikat o "braku polaczenia i ograniczeniu lacznosci" nastepnie jak juz beda mieli jakis adres IP beda laczyc sie poprzez pppoe drugim polaczeniem podobnie jak klienci po kablu. Czy dobrze mysle ?
Bo jesli tak to w kazdym przypadku musze przypisac obejetnie jakiemukolwiek userowi jakis adres IP inaczej klientom wyskoczy w/w komunikat o "ograniczeniu lacznosci". jesli dam userom te same IP co AP i serwer to cwaniak wykorzytujac MAC i tak dostanie sie do AP jesli dostanie sie do AP to tylko chwila i znajdzie mi ludzikow ktorzy sa w sieci zalogowani i moze ich na przyklad atakowac.
-- Czarek
Ale bzdury wypisujesz
Po pierwsze zeby podlaczyc sie do AP nie musisz miec IP bo przeciez AP lub server za nim moze przydzielac adresy IP. AP moze byc przezroczyste czyli medium transmisji tak jak kabel w LAN. Druga sprawa to olej te MAC adresy i zrob PPPoE + FreeRadius ale LOGIN i HASLO. Na radiusie ustawiasz zeby tylko 1 user mogl byc zalogowany na danym hasle i po sprawie. A jak w piszesz na interface do userow czyli np eth1 ip 0.0.0.0 to juz ci chodzi tylko pppoe. Zamiast PAP uzyj CHAP zeby to przechwycic trzeba uzyc dekryptora i troszke sie pobawic oczywiscie mozesz uzyc ms-chap v2 ale mysle nie ma co komplikowac. Nawet jak lewy gosc przechwyci jakims cudem haslo lub pojdzie do goscia i wykradnie mu z kompa to i tak tylko 1 osoba bedzie korzystala z neta i jesli prawdziwy user sie zglosi ze nie moze sie zalogowac to poprostu zmienisz mu haslo.
Pozdro s@wek