Bezdtratovy internet - zamezeni cernych uzivatelu
Dalibor Straka
dast na panelnet.cz
Čtvrtek Září 28 00:45:44 CEST 2006
On Wed, Sep 27, 2006 at 10:48:45PM +0200, Zdenek Janis wrote:
> Zdravim vespolek.
>
> Mam na starost pomerne rozsahlou bezdratovou sit, ktera je zabezpecena
> pouze wep kryptaci, ktera je snadno prolomitena, coz se taky casto stava.
>
> Zajima me jak zabranit cernym uzivatelum? Kontrola MAC a IP jsou malo
> ucinne, ne kazdy AP to podporuje, jsou stim starosti atd.
>
Ktera AP nepodporuji filtraci klientu podle MAC? Verim, ze nejaka jsou.
> Idealne nejaka autentifikace, ktera by byla mozna jak pro klienty
> (zpravidla windows), tak i routery velkych zavodu (siti).
>
Jak jiz nekdo zminil ciste technicke reseni je radius. Ne kazde AP to
umi.
Ja vam naopak poradim neco uplne jineho:
Vite, ze mate nejake cerne uzivatele => museli jste je nejak poznat.
Stejnymi prostredky vyhodnotte "pocet cernych uzivatelu na kazdem AP".
Tento stav se muze casem menit a proto jej sledujte alespon mesic.
Od teto studie si slibuji maly vyskyt AP s vice cernymi uzivately a velky
vyskyt AP bez cernych uzivatelu. Pro tuto konfiguraci:
Jiste provadite obmenu/inovaci AP a nahradu AP, ktera zdechnout. Nejvice
postizena AP cernymi uzivateli nahradte novym AP podporujici WAP nebo
WAP2. Konkretne docasny klic (TKIP) nebo silnejsi sifru (AES)
s predsdilenym klicem (PSK). Samozrejme se da misto predsdileneho
tajemstvi pouzit radius.
Je to ekonomicke a statisticky funkcni, dlouhodobe reseni.
Vynechal jsem otazku zasahu do zarizeni uzivatelu, ale pokud jste byli
schopni jim narvat nekolik hexadecimalnich klicu pro WEP, ASCII PSK bude
prochazka ruzovym sadem ;-)
-- Dalibor Straka
Další informace o konferenci Linux