Hm... Tahle debata nevede nikam. napred se dohodnete na tom co vlastne vubec chcete. Ale pak se temi dohodami musi ridit vsichni, pokud se temito dohodami ridit nebudete (myslim obecne), tak se muzete na otazku zabezpeceni site uplne vykaslat.
ipcko se da slohnout, mac adresa se da slohnout taky, wep se da prolomit. podporu EAPu tu vetsina nodu mit nebude protoze pouziva jeste stare karty. Na to aby to ty karty zmakli s EAPem uz je potrebova trochu jine zelezo a chipset. idea volne pristupne site je krasna a uzasna vec. jenze narazi na zakladni problem lidske zavisti, vzteku a zloby. jakakoliv sit, ktera neni zabezpecena se da znicit behem 24 - 48 hodin.
jeste jedna poznamka k bezpecnosti: bezpecnost a politika propojovani cloudu v ramci CZF se tezce navzajem neguji.
to je to same jako kdyz banka nakoupi technologie za miliony korun na zabezpeceni site, a ja si potom pripojim ke svemu pracovnimu pocitaci modem a pripojim se do internetu. v tu chvili je bezpecnost banky totalne v prdeli a muze svoje firewally zahodit.
jedinej spolehlivej zpusob jak sit zabezpecit je vzit tu sit, zavirt ji do trezoru, odpojit od elektriky, zapomenout elektronicky kod, rozmlatit zamek, zlomit a zahodit normalni klic.
__________________
----------------------------------------------
|Autor je možná lama a v sítích vůbec nevyzná|
----------------------------------------------
Myslim, ze zabezpeceni site oproti pruniku z internetu je obecne jiz vypracovano
a popsano v mnoha dokumentech. Rovnez tak zabezpeceni prenosu dat pomoci
ruznych sifrovanych tunelu nebo na aplikacni urovni. Co je vsak stale nedostatecne
zdokumentovano a reseno je zabezpeceni wifi site jako takove. Zpusob, kterak ridit
vlastni asociaci k AP. Zde bych uvital nejake odkazy nebo popis moznych reseni,
zatim zde zaznely pojmy EAP a radius server. Co tyto technologie resi, co je
predpokladem jejich nasazeni? Asi nejsem sam, kdo v tom nema zcela jasno.
mohu doplnit něco k radiusu.
je to unixový (linuxový) server, který ověřuje uživatele. stojí na tom adsl v čr. jeden server (2) má telecom a další má provider.
uživatel se ověří a dostane službu.
rozhodně to neřeší bezpečnost czf. musí se záplatovat a záplatovat.
spíš mě trápí, že naše páteřní spoje může kdokoliv poslouchat. ani radši nechci vědět, kolik lidí zná moje heslo do mailu apod.
proto volám WEP ! není to dokonalé řešení, ale aspon něco. těch sítí je strašně moc a pouliční hacker si spíš vybere tu nechráněnou.
nevim, jak je to se slozitosti nastaveni wepu, ale mozna by stalo za to napsat CZF-RFC-WEP, nebo jeste lepe CZF-RFC-Security, ktere by krom WEPu resilo i firewally, IDS a tak podobne
no cely internet je nesifrovany..., takze pokud chces soukromi,
sifruj na aplikacni urovni, jine cesty neni, pripada mi zbytecne
sifrovat cast site, kdyz zbytek je zcela nesifrovany....
stale se zde pletou dohromady dve zcela samostatne zalezitosti:
1. bezpecnost prenosu dat
2. overeni pristupu do site
jak rikam, domnivam se, ze bod 1 je technologicky jiz davno vyreseny,
staci jej implementovat, zatimco bod 2 je stale co se wifi tyce v plenkach
navrh zde byl pouzit jako autorizacni mechanismus pripojeni pres
sifrovane tunely - kazdy klient by se overoval klicem, zaroven by
se tim resila bezpecnost prenosu dat po urcitem useku site, ovsem
naroky na rozbehnuti jsou podle mne neunoste (komplikovane
nastaveni, naroky na klientsky sw)
kde '0123456789012' je klic o 13-ti znacich, tento klic musi znat klient,
aby mohl prenaset data, nezna-li jej, asociuje se sice, ale prenasenym
datum "neporozumi", tudiz nemuze komunikovat - napr. neobdrzi ip
adresu z dhcpd serveru, ma-li ip nastavenou staticky, pak nepinge
Pokud pominu věci jako close MAC policy a vypnutý DHCP server, pak zůstávají tyto možnosti:
WEP je zabezpečení na "tři noci", pro ty co vedou cílený útok nebo snahu prolomit šifrování a do sítě se tak dostat, avšak je dobrou ochranou před náhodně jdoucím anebo hacker s udělátky, tedy ten co tomu nerozumí, protože si vybere sí? nezabezpečenou.
IPSec je ochrana daleko lepší, avšak implementace na Windows a konfigurace může být hodně nepříjemný oříšek.
Radius Server je opět náročný na implementaci a zároveň není kompatibilní se staršími verzemi než Windows XP, konfigurace na serveru je složitější, klient lehčí, účinnost popravdě řečeno ještě to pořádně nikdo neoklepnul .
Zapoměl jsem něco ? No ... z toho vidíme, že máme problém, že .
EAP je dynamicky WEP, vymena klice probiha v urcitych intervalech, ktery lze nastavit. pokud se jedna o radius, neni to jenom server na overovani uzivatelu, ale i na overovani stanic. zaznely tu navrhy na zabezpecene tunely, jenze to je vec, ktera ve skutecnosti nic neresi, protoze to je na aplikacni vrstve, je potreba zabezpecit tu sit na fyzicke vrstve a to resi pouze WEP/EAP nic jineho.
Moznost je nasledujici: vypnout dhcp, nepropagovat ssid, pouzit wep/eap.
__________________
----------------------------------------------
|Autor je možná lama a v sítích vůbec nevyzná|
----------------------------------------------
já furt řeším tranzit. vy řešíte přístup na AP.
jestli je wep konfigurace takhle jednoduchá, tak není o čem. a klíč měnit každé tři dny. to by mohlo zabrat.
ještě k tomu radius serveru. ten si může každé AP rozjet samo, nebylo by dobré to nějak centralizovat.
jenom ještě dotaz, dá se wepovat pod windows u koncových uživatelů ?
KDyž se to DOBŘE rozváží, tak je základní problém v tom, že stačí jediné OPEN apčko aby přes něj vlezk do sítě KDOKOLIV A KDEKOLIV. Jako jedno z řešení bych viděl, že by registrovaní a pevní (ověření...) useři měli přístup do sítě normálně kdežto Street uživatelé by (musí být řešeno už na AP) nezískali přístup jinde než na iGW a pár dohodnutých služeb. tím by se (možná, částečně) ošetřil problém, kdy se někdo připojí z ulice a dělá "bordel". Ideální by bylo ty Street uživatele nasměrovat do šifrovaného tunelu přímo k iGW - pokud by vám teda nevadilo, že street uživatelé nebudou moci ke zdrojům sítě (ale to se už vzájemně vylučuje).
Bohužel to neřeší situaci, kdy někdo ukradne MAC adresu a IP adresu - tohle by ale (možná) mohl řešit ten RADIUS (a nebo nějaké jednoduché vlastní řešení autorizačního systému).
__________________
Lide v CZFree se dělí na tři skupiny: 1) deu; netdave 2) ti co znají jejich čísla 3) ti ostatní
takže asi takhle, chlapík s no?asem ( nebo holka ) dostane na ulici ip z dhcp. pak se mu zobrazí uvítací stránka, kterou dá AP, kde bude napsáno, že pokud je návštěvník, a? vyplní login host:host. a radius už by věděl, že tohoto uživatele má poslat tunelem přímo na net.
aby to mělo smysl, musely by to mít všechny street ap, a celý provoz by musel být wepován a mít spuštěné wds (filtrace mac adres na páteřních spojích).
28.08.2003 v 23:35
.
