CZFree.Net Home Page Diskuzní Fóra CZFree.Net Archív Často Kladených Otázek Registrace Nových Členů Archív Odkazů Seznam Členů Fóra CZFree.Net Czech Node Map hosted @CZFree.net CZFree.Net WIKI
CZFree Network Portal vzkazy | ovládání | pokročilé hledání   
 

Odpovědět k Tématu 
CZFree.Net forum: Wireless community network CZFree.Net > Fórum > Klubovna > Hacking zevnitř ???
12345678910111213
Autor
Téma  < Předchozí Téma   Další Téma >
Fyzik
Team Leader

Registrován: 23.05.2002
Příspěvků: 1102

Příspěvek č. 97 

http muze delat kolik chce, dulezite je odkud kam

Sledoval jsem rozlozeni zateze pote, co mame vlastni testovaci uplink a zaroven jedeme tranzit celeho cloudu 10.24./16 do CZF a jak tok tak celkovy objem prenesenych dat do CZF je typicky 2x - 5x vyssi, nez uplink do Inetu.

__________________

Old Post 29.08.2003 v 15:39
Fyzik je offline   Click Here to See the Profile for Fyzik   Find more posts by Fyzik   Click here to Send Fyzik a Private Message   Click Here to Email Fyzik   Visit Fyzik's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Stay d
Mafián
zastupce cloudu 10.40


Registrován: 04.10.2002
Příspěvků: 1428

Team Member: MOD

User is Mapper

Opatření Příspěvek č. 98 

2 Ctirad, rsaf, oldfrog, dodo ... nelze než souhlasit
2 misi ... radiusu bude skoda

2 bobbik ... street access nebyl a není primárně určen pro "zdroje czf" ale pro využití 32 kbit free pásmo pro přístup na inet za účelem stáhnutí pošty jak dodo poznamenal.

2 misi podruhe ... DHCP by mělo být zapnuté to ano, ale dhcp server bude přidělovat stálým členům svou ip adresu oproti jejich mac adrese a kolem jdoucim bych daval ip adresy podle jakehosi obecne znameho systemu, ze ktereho bude vsem jasné, když se člověk koukne na ip, tak bude moci řici ano toto je uživatel tohoto apčka a je to kolem jdoucí uživatel nikoliv stály, RFC-CZF-ADDRESSING v podstatě má hodně velké možnosti pro určení zvláštního rozsahu každého APčka v Cloudu, pokud se to zakombinuje to RFC, pak by mohla být možnost (accept/reject) jak se chránit proti vybraným rozsahům sítě, ovšem byl by to asi dost dlouhý seznam nebo něco univerzálního typu, že:

10.C.N+128.0/24 jsou všichni kolem jdoucí na všech apčkách v cloudu ve všech cloudech tedy v CELÉ CZFree.Net síti.

Pak by jak APčka tak koncoví uživatelé mohli nastavit filtr asi takto pokud vyžadují ochranu:

REJECT IP 10.*.129-191.0/24, což někdo může říci, že je mrháním prostoru a že jedno ap nemůže mít na sobě 254 uživatelů (celý Cčko), tak tu /24 rozdělíme na /28 to jest po 16 hosts (resp. 14 uživatelých) (to je tak to reálné funkční maximum najedno AP, když uvážím, že má ještě své stálé uživatele, ty jsou však z jineho rozsahu) a řekněme že to bude ten poslední tedy 16.rozsah z toho celého Cčka a tedy konečně:

10.*.129-191.239/28 jěště jinak pro ty co neví co je /28, byly by to adresy od 10.*.129-191.239-255.

BTW C je číslo cloudu, N je číslo od jedné do 63.
Bylo by to dost místa pro anonymy.
Jednotné určení potažmo dodržování v celé CZFree.Net síti by mělo za následek snadnou aplikaci filtrace anonymů z ulice a jednoduchou identifikaci, zda-li se jedná o stálého či dočasného uživatele.

__________________

Naposledy upravil Stay d 29.08.2003 v 17:05

Old Post 29.08.2003 v 16:58
Stay d je offline   Click Here to See the Profile for Stay d   Find more posts by Stay d   Click here to Send Stay d a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Stay d
Old Post 29.08.2003 17:02
Tento příspěvek byl moderován. K jeho zobrazení klikni [zde] () Příspěvek č. 99 
Fyzik
Old Post 29.08.2003 17:14
Tento příspěvek byl moderován. K jeho zobrazení klikni [zde] () Příspěvek č. 100 
Ctirad
Senior Member

Registrován: 27.06.2002
Příspěvků: 1267

Re: Opatření Příspěvek č. 101 

Old Post 29.08.2003 v 17:49
Ctirad je offline   Click Here to See the Profile for Ctirad   Find more posts by Ctirad   Click here to Send Ctirad a Private Message   Click Here to Email Ctirad     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
jbohac
Team Leader

Registrován: 16.05.2002
Příspěvků: 329

Re: Re: Opatreni Příspěvek č. 102 

__________________

let's meet on IRC!
#czfree.net/IRCNet (irc.felk.cvut.cz)
#czfree.net/irc.czf

Old Post 29.08.2003 v 18:26
jbohac je offline   Click Here to See the Profile for jbohac   Find more posts by jbohac     Click Here to Email jbohac   Visit jbohac's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Ctirad
Senior Member

Registrován: 27.06.2002
Příspěvků: 1267

Re: Re: Re: Opatreni Příspěvek č. 103 

Old Post 29.08.2003 v 18:34
Ctirad je offline   Click Here to See the Profile for Ctirad   Find more posts by Ctirad   Click here to Send Ctirad a Private Message   Click Here to Email Ctirad     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Plnt
HonzaK

Registrován: 04.06.2002
Příspěvků: 804

Team Member: MOD

Příspěvek č. 104 

Nechapu, proc by se mel vyhrazovat separatni adresni prostor pro street access. Myslim, ze by si kazdy mel svuj pocitac zabezpecit tak, jako kdyby predpokladal, ze se kdokoli a kdykoli muze pokusit mu ho hacknout.

Nakonec by to IMHO doslo k tomu, ze by se objevil nejaky utok, scan nebo neco jineho ze strany normalne registrovanych uzivatelu a co pak? A to nemluvim o tom, ze kdyz se takhle rozdeli adresni prostor, tak pripadnemu utocnikovi staci hacknout APcko, na ktere se pripojuje a tu adresu z "duveryhodneho" prostoru stejne dostane...

Osobne bych bezpecnostni strategii vedl spis jinou cestou. Na strane koncoveho klienta zakazat vse co nechce poskytnout vsem a povolovat individualne pro lidi, kterym duveruje.

Honza

__________________

Old Post 29.08.2003 v 20:24
Plnt je offline   Click Here to See the Profile for Plnt   Find more posts by Plnt   Click here to Send Plnt a Private Message   Click Here to Email Plnt   Visit Plnt's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
oldfrog
Senior Member

Registrován: 28.07.2002
Příspěvků: 772

Příspěvek č. 105 

rozhodne je podle mne rozumne adresove oddelit street access, protoze
to jednoduse poskytuje snadne rozlisovaci kriterium. zda se s nim potom
bude pracovat, je zalezitost jina. nicmene ja jsem pro, je preci bezne, ze
uzivatele sdruzuji do skupin a temto skupinam prideluji ruzne stupne ochrany
a prav. unix toto schema dukladne otestoval, je rozumne se jej drzet :-)

__________________

Ondrej Nemecek alias 'OldFrog'

Old Post 29.08.2003 v 22:09
oldfrog je offline   Click Here to See the Profile for oldfrog   Find more posts by oldfrog   Click here to Send oldfrog a Private Message   Click Here to Email oldfrog   Visit oldfrog's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Stay d
Mafián
zastupce cloudu 10.40


Registrován: 04.10.2002
Příspěvků: 1428

Team Member: MOD

User is Mapper

Opatření Příspěvek č. 106 

2 jbohac to jedno Cčko a z toho ještě navíc jen poslední 16. segment nikoho nezabije v konfiguraci BGP.

2 Ctirad ten rozsah je rozsah volný, a podle RFC CZF Addressing je určen pro účely, "kdyby náhodou" nestačil jednomu APčku, což je mimochodem absurdní, tento rozsah se pro toto náramně hodí, nebude čistě volný, ale bude obsazen podle nějakého systému, který by byl obecně platný v celé síti

Smysl je právě to oddělit, filtrovat, dropovat, svobodně se rozhodnout zdali accept nebo reject a toto by mohl každý koncový uživatel v celé síti, proč jim tuto možnost upírat, vlastníci APček ? Dále je to jednoduchá identifikace podle ip adresy, daleko lepší než jsou reverzibilní záznamy a doménová jména.

Je to jednoduché a geniální opatření spolu s ostatními návrhy EAP, radius server, WEP, close mac policy atd., pak by tu byla šance se alespoň nějak chránit proti rádoby zvaným hackerům, samozřejmě cíleně vedený útok HACKERA s velkými písmeny, asi nezastaví nic, nikdy žádné opatření nemívá své kontra-opatření, resp. každé opatření má své protiopatření, ale to neznamená že se nedá hnout ani prstem !!!

Argumentovat, že WEP nemá cenu, že stejnak ho lze zlomit, mohu přirovnat tomu, že i 128 nebo proty co si myslí že je to málo tak dám rovnou 4096 (je to dostatečně velký ?) bit např. SSL, PGP šifrování se dá také prolamovat na dobrých strojích, ale vždy je tu jedna otázka, nebo řekněme co dáme na váhu, na jednu stranu vah dám čas, zdroje, prostředky pro narušení ochrany na druhou stranu vah dáme obsah, který získá hacker když se mu podaří uspět a jeho významovou hodnotu pro hackera, neboli zdali mu to vše toto stojí za to, aby se u toho pořádně zapotil.

2 HonzaK nebudeme si nalhávat, že v síti nejsou uživatelé, jestli to chceš vidět napsané takto, pak BFU, kteří pomalu ani nevědí co je to firewall, pokud se to dozvědí, tak když už budou vědět co je to fw, tak mohou filtrovat, a ještě jednu věc k tomu, co si říkal, je sice hezké že mohu zakázat všechno vyjma toho co potřebuje ten koncák, ale co když poskytuje nějaké služby, chce být dostupný, to jako bude do svého ftp serveru povolovat ipčka těch lidí které nějak zná a jinak všechno bude před zakázáno nebo zakazovat ? Takle ani inet nefunguje.

Lidičky vůbec bych se nebál, když si řekneme, že tento rozsah bude pro tento účel, všichni to budou vědět a všichni se budou i ty BFU moci rozhodovat jak se zabezpečí anižby museli studovat tuny textu o linuxu, firewallech atd.

2 oldfrog přesně tak máš pravdu, groupováním userů to začínalo při rozdávaní ip rozsahů.

Naposledy upravil Stay d 30.08.2003 v 02:58

Old Post 30.08.2003 v 02:49
Stay d je offline   Click Here to See the Profile for Stay d   Find more posts by Stay d   Click here to Send Stay d a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Dzus
Member

Registrován: 30.01.2003
Příspěvků: 387

Re: Opatření Příspěvek č. 107 

__________________

Dzus - Spojovaci.Net (Strasnice)

Old Post 30.08.2003 v 10:06
Dzus je offline   Click Here to See the Profile for Dzus   Find more posts by Dzus   Click here to Send Dzus a Private Message   Click Here to Email Dzus   Visit Dzus's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Plnt
HonzaK

Registrován: 04.06.2002
Příspěvků: 804

Team Member: MOD

Re: Opatření Příspěvek č. 108 

__________________

Old Post 30.08.2003 v 10:59
Plnt je offline   Click Here to See the Profile for Plnt   Find more posts by Plnt   Click here to Send Plnt a Private Message   Click Here to Email Plnt   Visit Plnt's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Ctirad
Senior Member

Registrován: 27.06.2002
Příspěvků: 1267

Příspěvek č. 109 

Old Post 30.08.2003 v 11:54
Ctirad je offline   Click Here to See the Profile for Ctirad   Find more posts by Ctirad   Click here to Send Ctirad a Private Message   Click Here to Email Ctirad     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Ctirad
Senior Member

Registrován: 27.06.2002
Příspěvků: 1267

Re: Re: Opatření Příspěvek č. 110 

Old Post 30.08.2003 v 12:07
Ctirad je offline   Click Here to See the Profile for Ctirad   Find more posts by Ctirad   Click here to Send Ctirad a Private Message   Click Here to Email Ctirad     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Plnt
HonzaK

Registrován: 04.06.2002
Příspěvků: 804

Team Member: MOD

Příspěvek č. 111 

__________________

Old Post 30.08.2003 v 12:37
Plnt je offline   Click Here to See the Profile for Plnt   Find more posts by Plnt   Click here to Send Plnt a Private Message   Click Here to Email Plnt   Visit Plnt's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Dzus
Member

Registrován: 30.01.2003
Příspěvků: 387

Re: Re: Re: Opatření Příspěvek č. 112 

__________________

Dzus - Spojovaci.Net (Strasnice)

Old Post 30.08.2003 v 13:23
Dzus je offline   Click Here to See the Profile for Dzus   Find more posts by Dzus   Click here to Send Dzus a Private Message   Click Here to Email Dzus   Visit Dzus's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Veškerý čas je GMT. Aktuální čas: 09:54.  Předcházející Téma   Další Téma
Odpovědět k Tématu
12345678910111213  
Zformátovat pro Tisk | Stáhnout Téma do Palma | Poslat Téma E-mailem | Odebírat tuto Diskuzi

Search this Thread:

 

CZFree.NET | Copyright ©MMII - MMXIV CZFree.NET | Kontaktujte Nás
Powered by: vBulletin - Copyright ©MM - MMII Jelsoft Enterprises Limited.
Founder: Deu / original scripting by: carlos (All High Seeds) / Node Monitor by: 8an
Additional Portal & Node Monitor Development by: oto, Zajsoft, Danny, Netdave
Hosted by: NFX.cz / FreeTel.cz