CZFree.Net Home Page Diskuzní Fóra CZFree.Net Archív Často Kladených Otázek Registrace Nových Členů Archív Odkazů Seznam Členů Fóra CZFree.Net Czech Node Map hosted @CZFree.net CZFree.Net WIKI
CZFree Network Portal vzkazy | ovládání | pokročilé hledání   
 

Odpovědět k Tématu 
CZFree.Net forum: Wireless community network CZFree.Net > Fórum > Klubovna > Hacking zevnitř ???
1234567891011 »
Autor
Téma  < Předchozí Téma   Další Téma >
n.e.o.c.z
Senior Member

Registrován: 24.07.2002
Příspěvků: 1125

Příspěvek č. 65 

Hm... Tahle debata nevede nikam. napred se dohodnete na tom co vlastne vubec chcete. Ale pak se temi dohodami musi ridit vsichni, pokud se temito dohodami ridit nebudete (myslim obecne), tak se muzete na otazku zabezpeceni site uplne vykaslat.
ipcko se da slohnout, mac adresa se da slohnout taky, wep se da prolomit. podporu EAPu tu vetsina nodu mit nebude protoze pouziva jeste stare karty. Na to aby to ty karty zmakli s EAPem uz je potrebova trochu jine zelezo a chipset. idea volne pristupne site je krasna a uzasna vec. jenze narazi na zakladni problem lidske zavisti, vzteku a zloby. jakakoliv sit, ktera neni zabezpecena se da znicit behem 24 - 48 hodin.

jeste jedna poznamka k bezpecnosti: bezpecnost a politika propojovani cloudu v ramci CZF se tezce navzajem neguji.

to je to same jako kdyz banka nakoupi technologie za miliony korun na zabezpeceni site, a ja si potom pripojim ke svemu pracovnimu pocitaci modem a pripojim se do internetu. v tu chvili je bezpecnost banky totalne v prdeli a muze svoje firewally zahodit.

jedinej spolehlivej zpusob jak sit zabezpecit je vzit tu sit, zavirt ji do trezoru, odpojit od elektriky, zapomenout elektronicky kod, rozmlatit zamek, zlomit a zahodit normalni klic.

__________________

----------------------------------------------
|Autor je možná lama a v sítích vůbec nevyzná|
----------------------------------------------

Old Post 28.08.2003 v 23:35
n.e.o.c.z je offline   Click Here to See the Profile for n.e.o.c.z   Find more posts by n.e.o.c.z   Click here to Send n.e.o.c.z a Private Message     Visit n.e.o.c.z's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
oldfrog
Senior Member

Registrován: 28.07.2002
Příspěvků: 772

Příspěvek č. 66 

Myslim, ze zabezpeceni site oproti pruniku z internetu je obecne jiz vypracovano
a popsano v mnoha dokumentech. Rovnez tak zabezpeceni prenosu dat pomoci
ruznych sifrovanych tunelu nebo na aplikacni urovni. Co je vsak stale nedostatecne
zdokumentovano a reseno je zabezpeceni wifi site jako takove. Zpusob, kterak ridit
vlastni asociaci k AP. Zde bych uvital nejake odkazy nebo popis moznych reseni,
zatim zde zaznely pojmy EAP a radius server. Co tyto technologie resi, co je
predpokladem jejich nasazeni? Asi nejsem sam, kdo v tom nema zcela jasno.

__________________

Ondrej Nemecek alias 'OldFrog'

Old Post 29.08.2003 v 09:13
oldfrog je offline   Click Here to See the Profile for oldfrog   Find more posts by oldfrog   Click here to Send oldfrog a Private Message   Click Here to Email oldfrog   Visit oldfrog's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
dodo
Senior Member

Registrován: 11.08.2002
Příspěvků: 704

Příspěvek č. 67 

mohu doplnit něco k radiusu.
je to unixový (linuxový) server, který ověřuje uživatele. stojí na tom adsl v čr. jeden server (2) má telecom a další má provider.
uživatel se ověří a dostane službu.
rozhodně to neřeší bezpečnost czf. musí se záplatovat a záplatovat.
spíš mě trápí, že naše páteřní spoje může kdokoliv poslouchat. ani radši nechci vědět, kolik lidí zná moje heslo do mailu apod.
proto volám WEP ! není to dokonalé řešení, ale aspon něco. těch sítí je strašně moc a pouliční hacker si spíš vybere tu nechráněnou.

Old Post 29.08.2003 v 10:19
dodo je offline   Click Here to See the Profile for dodo   Find more posts by dodo   Click here to Send dodo a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
aquarius
Team Leader
zastupce cloudu 10.254


Registrován: 20.07.2002
Příspěvků: 340

Team Member: ADMIN

User is Mapper

rfc kandidat ... ? Příspěvek č. 68 

nevim, jak je to se slozitosti nastaveni wepu, ale mozna by stalo za to napsat CZF-RFC-WEP, nebo jeste lepe CZF-RFC-Security, ktere by krom WEPu resilo i firewally, IDS a tak podobne

-aquarius

Old Post 29.08.2003 v 10:41
aquarius je offline   Click Here to See the Profile for aquarius   Find more posts by aquarius   Click here to Send aquarius a Private Message   Click Here to Email aquarius   Visit aquarius's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Dzus
Member

Registrován: 30.01.2003
Příspěvků: 387

Příspěvek č. 69 

__________________

Dzus - Spojovaci.Net (Strasnice)

Old Post 29.08.2003 v 10:48
Dzus je offline   Click Here to See the Profile for Dzus   Find more posts by Dzus   Click here to Send Dzus a Private Message   Click Here to Email Dzus   Visit Dzus's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
oldfrog
Senior Member

Registrován: 28.07.2002
Příspěvků: 772

Příspěvek č. 70 

no cely internet je nesifrovany..., takze pokud chces soukromi,
sifruj na aplikacni urovni, jine cesty neni, pripada mi zbytecne
sifrovat cast site, kdyz zbytek je zcela nesifrovany....

stale se zde pletou dohromady dve zcela samostatne zalezitosti:

1. bezpecnost prenosu dat
2. overeni pristupu do site

jak rikam, domnivam se, ze bod 1 je technologicky jiz davno vyreseny,
staci jej implementovat, zatimco bod 2 je stale co se wifi tyce v plenkach

navrh zde byl pouzit jako autorizacni mechanismus pripojeni pres
sifrovane tunely - kazdy klient by se overoval klicem, zaroven by
se tim resila bezpecnost prenosu dat po urcitem useku site, ovsem
naroky na rozbehnuti jsou podle mne neunoste (komplikovane
nastaveni, naroky na klientsky sw)

__________________

Ondrej Nemecek alias 'OldFrog'

Old Post 29.08.2003 v 10:49
oldfrog je offline   Click Here to See the Profile for oldfrog   Find more posts by oldfrog   Click here to Send oldfrog a Private Message   Click Here to Email oldfrog   Visit oldfrog's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
oldfrog
Senior Member

Registrován: 28.07.2002
Příspěvků: 772

Příspěvek č. 71 

jeste jsem doplnil body:

1. bezpecnost prenosu dat
2. overeni pristupu do site
3. zabezpeceni aktivnich sitovych prvku proti pruniku (routery, servery)

__________________

Ondrej Nemecek alias 'OldFrog'

Old Post 29.08.2003 v 10:51
oldfrog je offline   Click Here to See the Profile for oldfrog   Find more posts by oldfrog   Click here to Send oldfrog a Private Message   Click Here to Email oldfrog   Visit oldfrog's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
oldfrog
Senior Member

Registrován: 28.07.2002
Příspěvků: 772

Příspěvek č. 72 

wep se nastavi velmi snadno:

# iwconfig wlan0 key s:0123456789012

kde '0123456789012' je klic o 13-ti znacich, tento klic musi znat klient,
aby mohl prenaset data, nezna-li jej, asociuje se sice, ale prenasenym
datum "neporozumi", tudiz nemuze komunikovat - napr. neobdrzi ip
adresu z dhcpd serveru, ma-li ip nastavenou staticky, pak nepinge

vypnuti wepu se docili

# iwconfig wlan0 key off

tot cele tajemstvi

__________________

Ondrej Nemecek alias 'OldFrog'

Old Post 29.08.2003 v 11:01
oldfrog je offline   Click Here to See the Profile for oldfrog   Find more posts by oldfrog   Click here to Send oldfrog a Private Message   Click Here to Email oldfrog   Visit oldfrog's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Stay d
Mafián
zastupce cloudu 10.40


Registrován: 04.10.2002
Příspěvků: 1428

Team Member: MOD

User is Mapper

Možnosti zabezpečení Příspěvek č. 73 

Pokud pominu věci jako close MAC policy a vypnutý DHCP server, pak zůstávají tyto možnosti:

WEP je zabezpečení na "tři noci", pro ty co vedou cílený útok nebo snahu prolomit šifrování a do sítě se tak dostat, avšak je dobrou ochranou před náhodně jdoucím anebo hacker s udělátky, tedy ten co tomu nerozumí, protože si vybere sí? nezabezpečenou.

IPSec je ochrana daleko lepší, avšak implementace na Windows a konfigurace může být hodně nepříjemný oříšek.

Radius Server je opět náročný na implementaci a zároveň není kompatibilní se staršími verzemi než Windows XP, konfigurace na serveru je složitější, klient lehčí, účinnost popravdě řečeno ještě to pořádně nikdo neoklepnul .

Zapoměl jsem něco ? No ... z toho vidíme, že máme problém, že .

__________________

Old Post 29.08.2003 v 11:21
Stay d je offline   Click Here to See the Profile for Stay d   Find more posts by Stay d   Click here to Send Stay d a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
oldfrog
Senior Member

Registrován: 28.07.2002
Příspěvků: 772

Příspěvek č. 74 

pokud si neujasnime, kteremu bodu zabezpeceni se budeme venovat,
tezko k necemu dospejeme, protoze porad budou vznikat nejasnosti...

jinak asi jsi zapomnel na EAP nebo jak se tomu rika

__________________

Ondrej Nemecek alias 'OldFrog'

Old Post 29.08.2003 v 11:32
oldfrog je offline   Click Here to See the Profile for oldfrog   Find more posts by oldfrog   Click here to Send oldfrog a Private Message   Click Here to Email oldfrog   Visit oldfrog's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Stay d
Mafián
zastupce cloudu 10.40


Registrován: 04.10.2002
Příspěvků: 1428

Team Member: MOD

User is Mapper

Příspěvek č. 75 

Old Post 29.08.2003 v 12:18
Stay d je offline   Click Here to See the Profile for Stay d   Find more posts by Stay d   Click here to Send Stay d a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
n.e.o.c.z
Senior Member

Registrován: 24.07.2002
Příspěvků: 1125

Příspěvek č. 76 

EAP je dynamicky WEP, vymena klice probiha v urcitych intervalech, ktery lze nastavit. pokud se jedna o radius, neni to jenom server na overovani uzivatelu, ale i na overovani stanic. zaznely tu navrhy na zabezpecene tunely, jenze to je vec, ktera ve skutecnosti nic neresi, protoze to je na aplikacni vrstve, je potreba zabezpecit tu sit na fyzicke vrstve a to resi pouze WEP/EAP nic jineho.
Moznost je nasledujici: vypnout dhcp, nepropagovat ssid, pouzit wep/eap.

__________________

----------------------------------------------
|Autor je možná lama a v sítích vůbec nevyzná|
----------------------------------------------

Old Post 29.08.2003 v 12:21
n.e.o.c.z je offline   Click Here to See the Profile for n.e.o.c.z   Find more posts by n.e.o.c.z   Click here to Send n.e.o.c.z a Private Message     Visit n.e.o.c.z's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
dodo
Senior Member

Registrován: 11.08.2002
Příspěvků: 704

Příspěvek č. 77 

já furt řeším tranzit. vy řešíte přístup na AP.
jestli je wep konfigurace takhle jednoduchá, tak není o čem. a klíč měnit každé tři dny. to by mohlo zabrat.

ještě k tomu radius serveru. ten si může každé AP rozjet samo, nebylo by dobré to nějak centralizovat.

jenom ještě dotaz, dá se wepovat pod windows u koncových uživatelů ?

Old Post 29.08.2003 v 12:35
dodo je offline   Click Here to See the Profile for dodo   Find more posts by dodo   Click here to Send dodo a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
rsaf
Senior Member
zastupce cloudu 10.152


Registrován: 16.01.2003
Příspěvků: 866

Zabezpečení Příspěvek č. 78 

KDyž se to DOBŘE rozváží, tak je základní problém v tom, že stačí jediné OPEN apčko aby přes něj vlezk do sítě KDOKOLIV A KDEKOLIV. Jako jedno z řešení bych viděl, že by registrovaní a pevní (ověření...) useři měli přístup do sítě normálně kdežto Street uživatelé by (musí být řešeno už na AP) nezískali přístup jinde než na iGW a pár dohodnutých služeb. tím by se (možná, částečně) ošetřil problém, kdy se někdo připojí z ulice a dělá "bordel". Ideální by bylo ty Street uživatele nasměrovat do šifrovaného tunelu přímo k iGW - pokud by vám teda nevadilo, že street uživatelé nebudou moci ke zdrojům sítě (ale to se už vzájemně vylučuje).

Bohužel to neřeší situaci, kdy někdo ukradne MAC adresu a IP adresu - tohle by ale (možná) mohl řešit ten RADIUS (a nebo nějaké jednoduché vlastní řešení autorizačního systému).

__________________

Lide v CZFree se dělí na tři skupiny: 1) deu; netdave 2) ti co znají jejich čísla 3) ti ostatní

Old Post 29.08.2003 v 12:36
rsaf je offline   Click Here to See the Profile for rsaf   Find more posts by rsaf   Click here to Send rsaf a Private Message   Click Here to Email rsaf     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
dodo
Senior Member

Registrován: 11.08.2002
Příspěvků: 704

Příspěvek č. 79 

takže asi takhle, chlapík s no?asem ( nebo holka ) dostane na ulici ip z dhcp. pak se mu zobrazí uvítací stránka, kterou dá AP, kde bude napsáno, že pokud je návštěvník, a? vyplní login host:host. a radius už by věděl, že tohoto uživatele má poslat tunelem přímo na net.

aby to mělo smysl, musely by to mít všechny street ap, a celý provoz by musel být wepován a mít spuštěné wds (filtrace mac adres na páteřních spojích).

takhle nějak teorie.

Old Post 29.08.2003 v 12:58
dodo je offline   Click Here to See the Profile for dodo   Find more posts by dodo   Click here to Send dodo a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Bobbik
Junior Member

Registrován: 19.11.2002
Příspěvků: 149

Re: Zabezpečení Příspěvek č. 80 

Old Post 29.08.2003 v 13:05
Bobbik je offline   Click Here to See the Profile for Bobbik   Find more posts by Bobbik   Click here to Send Bobbik a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Veškerý čas je GMT. Aktuální čas: 23:00.  Předcházející Téma   Další Téma
Odpovědět k Tématu
1234567891011 » 
Zformátovat pro Tisk | Stáhnout Téma do Palma | Poslat Téma E-mailem | Odebírat tuto Diskuzi

Search this Thread:

 

CZFree.NET | Copyright ©MMII - MMXIV CZFree.NET | Kontaktujte Nás
Powered by: vBulletin - Copyright ©MM - MMII Jelsoft Enterprises Limited.
Founder: Deu / original scripting by: carlos (All High Seeds) / Node Monitor by: 8an
Additional Portal & Node Monitor Development by: oto, Zajsoft, Danny, Netdave
Hosted by: NFX.cz / FreeTel.cz