Bezdtratovy internet - zamezeni cernych uzivatelu
Miroslav Lednicky
lednicky na avonet.cz
Čtvrtek Září 28 08:25:09 CEST 2006
Dalibor Straka wrote:
>> Mam na starost pomerne rozsahlou bezdratovou sit, ktera je zabezpecena
>> pouze wep kryptaci, ktera je snadno prolomitena, coz se taky casto stava.
>>
>> Zajima me jak zabranit cernym uzivatelum? Kontrola MAC a IP jsou malo
>> ucinne, ne kazdy AP to podporuje, jsou stim starosti atd.
>>
> Ktera AP nepodporuji filtraci klientu podle MAC? Verim, ze nejaka jsou.
>
>> Idealne nejaka autentifikace, ktera by byla mozna jak pro klienty
>> (zpravidla windows), tak i routery velkych zavodu (siti).
>
> Jak jiz nekdo zminil ciste technicke reseni je radius. Ne kazde AP to
> umi.
>
> Jiste provadite obmenu/inovaci AP a nahradu AP, ktera zdechnout. Nejvice
> postizena AP cernymi uzivateli nahradte novym AP podporujici WAP nebo
> WAP2. Konkretne docasny klic (TKIP) nebo silnejsi sifru (AES)
> s predsdilenym klicem (PSK). Samozrejme se da misto predsdileneho
> tajemstvi pouzit radius.
>
> Je to ekonomicke a statisticky funkcni, dlouhodobe reseni.
>
> Vynechal jsem otazku zasahu do zarizeni uzivatelu, ale pokud jste byli
> schopni jim narvat nekolik hexadecimalnich klicu pro WEP, ASCII PSK bude
> prochazka ruzovym sadem ;-)
Problem byva casto v tom, ze spousta uzivatelu pouziva i ruzne
"krabicky" v klientskych modech, ktere nic jineho nez WEP nezvladnou.
Navic tady nejde jen o pristup do radiove site. To se da u verejne
site s nejruznejsimi druhy HW tezko uhlidat.
Jde taky o to, ze kdyz uz se tam ten uzivatel dostal, tak by nemel
mit mnoho prostoru. Urcite by mu nemelo stacit jen ziskat vhodnou
kombinaci MAC+IP a hura do internetu.
Pokud je pro pristup do site (ne jen bezdratove) pouzit u vsech
uzivatelu PPPoE protokol, pak si "cerna duse", ktera prekona
barieru ochrany bezdratu, moc neuzije.
Proste navrhuji se presunout o jednu uroven dale. Wi-Fi bezdrat
se v silne heterogenim prostredi bude jen tezko zabezpecovat.
Preji hezky den.
--
Miroslav Lednicky, AVONET, s.r.o.
Další informace o konferenci Linux