Dnia poniedziałek, 8 maja 2006 10:38, Dariusz Kowalczyk napisał:
On Mon, 8 May 2006 05:20:56 +0200, Cezary Listkowski wrote
Moze kots z madrych ludzi, bez przycinek powie mi co zrobic w takiej sytuacji.
Mielm klienta ktory mial odemnie internet droga radiowa. Kient przesiadl sie do konkruncji ale powiadomil mnie dopiero po fakcie czyli miesiac pozniej. Cwaniczek provider (chyba) z konkurencyjnej sieci przeskanowal moja i zna adresy MAC z powiaznymi IP. Na Access Pointach filtruje adresy MAC, posiadam free radiusa ale co z tego kiedy dla klientow radiowych haslem jest adres MAC. Teraz cwaniaki moga sie podszywac i nie mozna tego udowodnic. Skad wiem? ano stad ze ludzie czasami zglaszaja mi konflikty adresow IP.
Zmiana adresacji sieci i wylaczenie DHCP moze by troszke pomogla ale adresow MAC przeciez ludziom nie pozmieniam (40osob) Mysle sobie fajnie by bylo gdyby byl zaimplementowany w AP serwer pppoe dla uwierzytelniania klientow :) ale o tym moge zapomiec bo nie spotkalem sie z takim sprzetem.
Cholerne radiowki, czy tez nie ma sposobu na cwaniaka?
-- Czarek
wlacz po porstu szyfrowanie jak nie masz czasu bawic sie z portalem przechwytujacym w stylu nocat zawsze to jakiej utrudnienie mac adres byle debil moze wykorzystac a szyfrowanie juz trzeba minimum wiedzy ...
Dariusz Kowalczyk
Szyfrowanie WEP lamie sie bardzo prosto, bawilem sie nie raz a narzedzia sa ogolnie dostepne lacznie nawet z filmikami jak to sie robi, ponadto oslabia to syganal dlatego tez zadne to utrudnienie. Nocata i PPPOE zainstalowany na serwerku tez malo w tym przypadku da poniewaz jesli gosc ma MAC to wejdzie mi na AP i wystarczy skan sieci i wszystkie zabezpieczenia sa do d....py. Dlaczego? bo ludzie jak wicie nie wszyscy sa orlami i nie zabezpieczaja sie osobiscie a ja jako dostawca chce ich ochronic przed cwaniakami. Choci o to ze w AP jest zabezpieczenie tak naprawde tylko opierajace sie na filtracji adresow MAC. Jak wiecie MACa mozna sobie zmieniac i to jest ogromny bol i blad tego kto to wymyslil. Najlepszym zabezpieczeniem bylo by postawienie serwera PPPOE z karta Wi-Fi na PCI w trybie AP, ale jak mam postawic kompa na dachu :) to by bylo troszke smieszne i nie rozwazne, podjrzewam ze szybko bym go stracil, i tak juz stracilem 2 anteny i jednego Access Pointa przez je...nych zlodzieji. Bardzo ubolewam ze jescze zaden z producentow nie zrobil Access Pointa z uwierzytelnianiem i tunelowaniem polaczen i to byl by strzal w dziesiatke. No ale to sa tylko mznoki na ktore moze poczekamy sobie jeszcze troche. Mam inny pomysl, ale brakuje mi wiedzy, moze ktos z Was pomoze. Chce odzielic siec Access pointow od sieci z uzytkownikami.
Moj pomysl na bezpieczna siec jest taki: 1) Access Pointy niech stoja bez szyfrowania z filtracja MAC. 2) Serwer zaopatrzec w dwie 3 karty sieciowe - jedna eth0 w ktora wpinam sygnal np.: z modemu DSL - druga eth1 w ktora wpinam Access Pointa - trzecia eth2 w ktora wpinam userow 2) W Access Pointach ustawic IP klase na 10.0.0.0 2) Karte eth2 usawic w innej klasie np C 192.168.1.0 a klase C podzielic tak aby kady user mial po 3 adresy lub po dwa adresy i wyregulowac to maska (tu nie wiem jak sie dzieli-czy jest jakis kalulator?) W ogole brakuje mi troszke teorii i praktyki. Nie wiem czy warto dzielic siec klasy C na czesci i ja ustawic routing aby klienci laczacy sie z Access Pointami mogli polaczys sie poprzez PPPOE z serwerem.
Moze ktos z Was ma lepszy pomysl odzielenia porzadnie klientow z AP od klientow z LAN i serwera?
A moze ktos te zagadnienia przetestowal juz wczesniej i podzieli sie wiedza?
Jesli zle mysle prosze wyprowadzcie mnie z bledu.
Pozdrawiam
uczestnicy (1)
-
Cezary Listkowski