V patek jsme se tam bavili o nasledujicim problemu:
- intruder si odsniffuje provoz na siti
- vidi, ze MAC adresa X ma IP adresu Y a zurive komunikuje
- pocka, az X prestane komunikovat, nastavi si totoznou MAC a IP adresu ... a hura, nema zadny trafic shaping atd.
Pokud vychazime z toho, ze "prichozi navstevnik" ma dostat nejakou omezenou konektivitu a tudiz neni mozno pouzivat WEP, je to na prvni pohled problem. Ale premyslel jsem nad tim a prijde mi to pomerne jednoduse resitelne.
Vychazim z nasledujicich predpokladu:
- "clenove" (ti co prispeli na infrastrukturu a na provoz inet pripojeni) maji neomezenou konektivitu (nebo vysoky limit). A mohou si neco nainstalovat na pocitaci.
- "navstevnici" maji omezenou konektivitu - shaping na nejakou nizkou rychlost a nepristup na vnitrni zdroje. Na pocitaci maji jen standarni soft.
- "clenove" bezi linux nebo Windows
- na routeru/routerech bezi neco, co se da skriptovatelne on-line konfigurovat bez nutnosti restartu
A ted sledujte tok mych myslenek:
Na zacatku:
- Napise se jednoducha aplikace komunikujici pres SSL sifrovani
- Na routeru se udela pravidlo: VSICHNI = NAVSTEVNICI
scenar: "Clen" se prihlasuje do site:
- pres DHCP si leasne adresu - zatim je shapovany jako navstevnik
- spusti si "nasi" aplikaci
- ta posle na router potrebne informace. Je to chranene certifikatem, takze pomerne bezpecne...
- skript na routeru preradi IP/MAC adresu clena do skupiny "clenove"
- aplikace na klientskem pocitaci stale bezi a jednou za N sekund (1 minuta?) posle na router informaci "ja jeste ziju!"
scenar: "Clen" si vypne pocitac:
- na server prestane dochazet informace "ja jeste ziju"
- skript na routeru preradi IP/MAC adresu clena do skupiny "navstevnici"
scenar: "Navstevnik" se prihlasuje do site:
- pres DHCP si leasne adresu
- a vzhledem k tomu, ze nema spravnou aplikaci a spravny certifikat, zustane shapovany
scenar: "Clen" prestal byt clenem
- na routeru se provede revokace clenova certifikatu
- a tim se z nej stane "navstevnik"
Ke "kradezi" konektivity by pak mohlo dojit pouze pri utoku na IP/MAC prihlaseneho pocitace, jenze
a) to pak moc nechodi spojeni jako takove
b) na obou stranach to zacne rvat, ze je tu duplicitni adresa
Co vy na to?
Klientskou aplikaci pro Windows i pro linux jsem schopen napsat, stejne jako serverovou aplikaci, ktera pri zmene statusu nektere IP/MAC adresy zavola shellovy skript. No a pak by to bylo jen o tom napsat spravne skripty pro dany routingovy modul...
Klientska aplikace by asi musela vypadat tak, ze z nejakeho "konfiguracniho serveru" si vezme seznam vsech routeru v siti a informaci "to jsem ja a ziju" preda vsem z nich (aby nemusel byt centralni router). Ale to neni problem.
Vedlejsim efektem tohoto reseni je to, ze kazdy uzivatel by byl jednotne autentifikovany...
Existuje jednodusi reseni a to bud pouzit klasicky IPSec nebo pouzit PPTP, oboje funguje bez problemu pod Linuxem i ve Win9x-XP, pripadne funguje i v HW routerech a firewalech, takze jednodusi bude postavit Linuxovou gateway, na kterou se autorizovani uzivatele pripoji pomoci jednoho z protokolu a budou mit tim padem jinou adresu a mohou jit do Internetu podle nastavenych prav, jednou z vyhod tohodle reseni je to, ze v pripade, ze bychom meli vice verejnych adres muze mit kazdy pevnou verejnou adresu. Reseni je urcite vice, ale tohle mi pripada jako jedno z nejjednodussich, sam je bez problemu provozuji a mam zkusenosti s konfiguraci jak Linuxu tak Windows proti takovehle gateway.
Pro prichozi uzivatele by fungoval klasicky preklad adres s omezenou sirkou pasma. Odpadaji tim problemy s maskovanim cizich uzivatelu za "radne" uzivatele site.
IPsec má jeden základní problém: a to s koexistencí více klientů na jednom počítači. A vzhledem k tomu, že potřebuji CISCO IPsec klient pro přístup do firemní sítě přes internet, asi by mi to mírně vadilo...
Navíc někdo tvrdil, že při použití IPsec sw klienta nefungují personal firewally, to nedokážu nyní potvrdit.
No s temi IPSec klienty mas pravdu, ale pokud vim, tak jeden klient jde pouzit na vice pripojeni. Co se tyce tech personalnich firewalu, tak mas asi pravdu, ale to by se muselo vyzkouset, ale vzhledem k tomu, ze stejne asi budeme za NATem, tak to neni zas tak ozehave. Jednodusi reseni by bylo pomoci PPTP, takze bychom asi pak zvolili to a tam firewall funguje, teda pokud vim, kdyz tak se to muze vyzkouset.
Tak jsem vyzkousel personalni firewall v kombinaci s VPN pres PPTP a vse funguje. Pro personalni firewall se VPN spojeni tvari jako dalsi PPP adapter, takze provoz na rozhrani filtruje.
Dnes zkusim projet Jablonec s externi antenou a dam vedet vysledky mereni do fora.
Vcera jsem projel Jablonec s notebookem a externi antenou a zkousel jsem zjistit zaruseni v pasmu, tady je vysledek a bohuzel ne prilis radostny. Projel jsem sumavu, kostel, petrin a zizkac. Pokud bude potreba, tak jsem ochoten provest jeste dalsi mereni.
to bude dobry, cekal sem horsi vysledek jestli todlec sou horizontalni zarice tak furt tam je este vertikala ten jablotron je njk divnej. schvalne se zeptam hwsofta
zadny branol ale BRANDL - teplarna v zelenym udoli smer liberec
fotky 8-10 zachycujou defakto to samy - sidliste sumava :( na novoveskej koupak sem tam nic nenasel
hledam njk jedince na horinzontu fotky 4
zavolej mi az budes v jbc dam ti svoje fotky a podivam se od tebe a dam ti vysvetleni co je co
na obrazku 03_d_l je tzv dum hruzy na zizkaci a kolem sou panelaky na tzv dolnim zizkaci , na tohle misto vidime z naseho potencionalniho AP taky
az bude lepsi pocasi tak predelam fotky pac vcera to bylo nic moc
vidime vsechny panelaky u lazni, panelaky na vrsku, dum hruzy pak nektery domy kolem parku v nerudove ulici. vetsinu baraku pod petrinem atp.
uz se zaciname obracet od reci k cinum
mozna by bylo lepsi spojit zizkac s pb opticky , pac wifi nema zas az takovou mega propustnost .
11.02.2003 v 13:22
