Bezdtratovy internet - zamezeni cernych uzivatelu

[Miroslav Lednicky]

Dalibor Straka wrote:

>> Mam na starost pomerne rozsahlou bezdratovou sit, ktera je zabezpecena 
>> pouze wep kryptaci, ktera je snadno prolomitena, coz se taky casto stava.
>>
>> Zajima me jak zabranit cernym uzivatelum? Kontrola MAC a IP jsou malo 
>> ucinne, ne kazdy AP to podporuje, jsou stim starosti atd.
>>
> Ktera AP nepodporuji filtraci klientu podle MAC? Verim, ze nejaka jsou.
> 
>> Idealne nejaka autentifikace, ktera by byla mozna jak pro klienty 
>> (zpravidla windows), tak i routery velkych zavodu (siti).
> 
> Jak jiz nekdo zminil ciste technicke reseni je radius. Ne kazde AP to
> umi.
 >
> Jiste provadite obmenu/inovaci AP a nahradu AP, ktera zdechnout. Nejvice
> postizena AP cernymi uzivateli nahradte novym AP podporujici WAP nebo
> WAP2. Konkretne docasny klic (TKIP) nebo silnejsi sifru (AES) 
> s predsdilenym klicem (PSK). Samozrejme se da misto predsdileneho
> tajemstvi pouzit radius.
> 
> Je to ekonomicke a statisticky funkcni, dlouhodobe reseni.
> 
> Vynechal jsem otazku zasahu do zarizeni uzivatelu, ale pokud jste byli
> schopni jim narvat nekolik hexadecimalnich klicu pro WEP, ASCII PSK bude
> prochazka ruzovym sadem ;-)

Problem byva casto v tom, ze spousta uzivatelu pouziva i ruzne
"krabicky" v klientskych modech, ktere nic jineho nez WEP nezvladnou.

Navic tady nejde jen o pristup do radiove site. To se da u verejne
site s nejruznejsimi druhy HW tezko uhlidat.

Jde taky o to, ze kdyz uz se tam ten uzivatel dostal, tak by nemel
mit mnoho prostoru. Urcite by mu nemelo stacit jen ziskat vhodnou
kombinaci MAC+IP a hura do internetu.

Pokud je pro pristup do site (ne jen bezdratove) pouzit u vsech
uzivatelu PPPoE protokol, pak si "cerna duse", ktera prekona
barieru ochrany bezdratu, moc neuzije.

Proste navrhuji se presunout o jednu uroven dale. Wi-Fi bezdrat
se v silne heterogenim prostredi bude jen tezko zabezpecovat.

Preji hezky den.

-- 
Miroslav Lednicky, AVONET, s.r.o.