Bezdtratovy internet - zamezeni cernych uzivatelu

[Dalibor Straka]

On Wed, Sep 27, 2006 at 10:48:45PM +0200, Zdenek Janis wrote:
> Zdravim vespolek.
> 
> Mam na starost pomerne rozsahlou bezdratovou sit, ktera je zabezpecena 
> pouze wep kryptaci, ktera je snadno prolomitena, coz se taky casto stava.
> 
> Zajima me jak zabranit cernym uzivatelum? Kontrola MAC a IP jsou malo 
> ucinne, ne kazdy AP to podporuje, jsou stim starosti atd.
> 
Ktera AP nepodporuji filtraci klientu podle MAC? Verim, ze nejaka jsou.

> Idealne nejaka autentifikace, ktera by byla mozna jak pro klienty 
> (zpravidla windows), tak i routery velkych zavodu (siti).
> 

Jak jiz nekdo zminil ciste technicke reseni je radius. Ne kazde AP to
umi.

Ja vam naopak poradim neco uplne jineho:
Vite, ze mate nejake cerne uzivatele => museli jste je nejak poznat.
Stejnymi prostredky vyhodnotte "pocet cernych uzivatelu na kazdem AP".
Tento stav se muze casem menit a proto jej sledujte alespon mesic.

Od teto studie si slibuji maly vyskyt AP s vice cernymi uzivately a velky
vyskyt AP bez cernych uzivatelu. Pro tuto konfiguraci:

Jiste provadite obmenu/inovaci AP a nahradu AP, ktera zdechnout. Nejvice
postizena AP cernymi uzivateli nahradte novym AP podporujici WAP nebo
WAP2. Konkretne docasny klic (TKIP) nebo silnejsi sifru (AES) 
s predsdilenym klicem (PSK). Samozrejme se da misto predsdileneho
tajemstvi pouzit radius.

Je to ekonomicke a statisticky funkcni, dlouhodobe reseni.

Vynechal jsem otazku zasahu do zarizeni uzivatelu, ale pokud jste byli
schopni jim narvat nekolik hexadecimalnich klicu pro WEP, ASCII PSK bude
prochazka ruzovym sadem ;-)

-- Dalibor Straka