RADIUS neni protokol na autentizaci useru nebo stanic! Je to protokol, kterym si server JIZ NEJAK PRIJATY KLIC overuje v centralni databazi (radius serveru).
Aby to chodilo, musi si stanice/user nejak popovidat se serverem (AP) - nejakym JINYM protokolem nez radius - a server (AP), protoze nema na disku ulozene vsechny usery a jejich klice/hesla, dotaze se (co by RADIUS client) RADIUS protokolem RADIUS serveru. Ten mu posle jestli jo, nebo ne, nacez nas server(AP), tedy radius client, usera prijme nebo vyfakuje. Je to jasny? Podle poslednich prispevku asi moc ne.
Tak jeste priklad. Cesky Telecom vsechny usery overuje RADIUSem. Ano, to je pravda. A kdyz jste si instalovali modem, tak jste taky instalovali RADIUS ? Ze ne?! No samozrejme, ze ne!!!! Terminalovy server (to je ten pocitac CT, kde jsou modemy...) prijme vase volani, a pomoci obycejneho protokolu PAP/CHAP resp. PPP si vyzada vase jmeno a heslo (POZOR: nijak nesifrovane, bez jakekoliv podpory RADIUS). No, a protoze na kazde ustredne neni seznam vsech useru CT, tak se ten terminalovy server zabezpecene zepta (jakozto RADIUS CLIENT) centralniho telecomackyho RADIUS serveru jestli vas jako s tim heslem muze pustit dal. A ten mu (zabezpecene) posle RADIUS protokolem ze jo.
Znova opakuji: V nasich podminkach je CENTRALNI seznam uzivatelu NEZADOUCI. Radius server je tedy k nicemu (pro nas). Stejne ma kazdej na svym AP seznam dovolenych useru - treba v podobe MAC adres. Zadna centralni databaze.
Je to jasny?
AP = radius client
centralni databaze = radius server
Nelze to priradit takto:
wifi client = radius client
AP = radius server
Proc? Radius server totiz posle odpoved typu "doporucuji prijmout/odmitnout" ale radius client se muze zaridit jak chce )) APcko to musi zatrhnout!!!!
Rad slysim, ze nektera AP maji pro RADIUS podporu. Tim se mysli, ze AP mohou byt RADIUS clienty a posilat k overeni klientske IP nebo MAC adresy. Tim ale resi ulne jinej problem - ne ten nas tj. ze nekdo IP nebo MAC ukradne!
Bojovat znamená i kládt do cesty překážky. Úplně nejlepší by bylo, kdyby si každý provozovatel serveru/služby... mohl říct, jestli podstoupí riziko hackingu někoho kdo je "street" nebo ne. To by ale bylo nutném aby "venkovní" uživatelé měli nějaké jiné IP adresy - pak bych si mohl na firewallu nastavit REJECT nebo ACCEPT pro tyto adresy a problem mam vyresen - bohuzel tohle je asi nerealizovatelne
Jinak street access je asi hlavně kvůli toho inetu než kůli vnitřním zdrojům - kdo vstupuje do sítě Z ULICE, nemá většinou moc představu o vnitřních zdrojích...
__________________
Lide v CZFree se dělí na tři skupiny: 1) deu; netdave 2) ti co znají jejich čísla 3) ti ostatní
stránka protože některý lidi jsou voškliví a rádi pruděj ostatní. zvláš? u street accessu se musíš chránit.
free si nevysvětluju tak, že nechám otevřenej server a pojďte mi ho promazat.
Rozumne poloreseni za rozumnou cenu mi pripada wep.
Ja vim, ze jde rozlomit, ale:
- chvili to trva, vyzaduje to jiste znalosti a usili
- v okoli je more nezabezpecenych siti. hacker co potrebuje pocitac, a je mu jedno ze nebude v CZF, si vybere jinou sit - usetri si praci. A pravdepodobne bude mit vic duvodu hackovat se do komercni nez verejne site.
- odstini to spoustece rootkitu
- k jeho konfiguraci staci zadat jeden prikaz
Proc uz to davno nedelame?
Asi proto, ze to vylucuje street access.
P.S.: i kdyby wep nezapli uplne vsichni, hacker nebude objizdet Prahu a hledat nezabezpecene AP - radsi se tam dostane jinudy. Nebo vleze jinam.
I tak je wep uzitecny. Ne vsespasitelny, ale uzitecny.
pokud budete chtit zachovat otevřenost systému, je to monžé pouze na základě rozdělení sítě na dvě skupiny např. Intra CZF a ExtraCZF. rozdělení proběhe na základě adresních rozsahů, jenom tak se dá asi zachovat otevřený systém bez nějakých obrovských obstrukcí. další zabezpečování už bude na jednotlivých cloudech jestli povovolí vlez ExtraCZF do své sítě nebo svého nodu.
jsou to zase další nároky na HW, protože se v tu chvíli musí vyčlenit nějaké zařízení pro street acces.
__________________
----------------------------------------------
|Autor je možná lama a v sítích vůbec nevyzná|
----------------------------------------------
tak takhle: člověk z ulice nemá stejná práva, jako ten, který má stálou ip adresu a platí za připojení.
může si maximálně stáhnou poštu, kouknout na web apod. a na omezenou dobu.
rozlišil bych tyto dvě skupiny uživatelů. pevní a? používají to, co czf nabízí, kolemjdoucí a? jsou rádi za poštu.
29.08.2003 v 13:11
)) APcko to musi zatrhnout!!!!
