Bezdtratovy internet - zamezeni cernych uzivatelu
Michal Dobes
dobes na tesnet.cz
Čtvrtek Září 28 10:26:37 CEST 2006
Ivan Stenda napsal(a):
>> radius
>
> nebo-li 802.1x
>
Nemusi byt pravda. Jednak existuji AP, co umi pouzit
radius i jen pro MAC filtr, takze nemusim do kazdeho
mlatit MAC filtr rucne.
A potom ve WiFi svete neni uplne 802.1x to spravne
oznaceni, ale to je detail, ze ta saskarna se nakonec
jmenuje 802.11i a 802.1x je jen jeden dil te
skladacky (spolu s TKIP a CCMP, doplnkove WRAP). :-)
Jednak pouziti WPA(1) neni uplne totalni vyhra, je to jen
trosku vylepseni situace. V nem pouzity TKIP je stejne
jako WEP postaven kolem RC4, coz neni nic moc, ale resi
to zakladni slabiny WEP protokolu. Jeho plusem je,
ze se da narvat i do starych kramu jako firmware upgrade,
ale to by se s tim vyrobci museli parat (nezadouci,
at si radeji koupi novy model).
WPA2 s CCMP je na tom s bezpecnosti uz OK, ale chce to
vykonejsi HW.
Navic v zavislosti na vykonu daneho HW ma casto zapnuti
nejakeho protokolu (obcas i blbeho WEPu) znatelny dopad
na propustnost site. U tech levnejsich kramu se s tim moc
neparou. Takze hodne siti zijici na levnejsi technice
casto nepouziva ani WEP, maji jen MAC filtry na APeckach
a pak nekde dal parovaci filtr MAC+IP.
PPTP, PPPoE, L2TP a podobne techniky jsou dobra myslenka,
ale nasazeni se hodi hlavne do site, ktera hlavne slouzi
jako infrastruktura pro pristup do Internetu, kde vetsina
komunikace tece ve smeru koncovy kleint-brana do Internetu.
Pokud dana sit ma charakter, ze je vyznamna i slozka komunikace
jednotlivych koncovych bodu mezi sebou, tak si takto budu
zahlcovat sit v bodu, kde bude prislusny server ukoncujici
danou tunelovaci technologii. Resit se to da tak, ze techto
bodu budu mit v siti rozhazeno vic (stejne to chce minimalne dva,
kdyby jeden chcipnul) nebo nektera chytrejsi AP to maji primo
v sobe, kdy WiFi klient musi jit tunelem a dany tunel konci primo
na danem APcku (otazka ceny a kolik klientu dokaze dane AP takto
ukocirovat).
Pokud je cenovy rozpocet omezen, tak take souhlasim s tim,
aby se preslo na WPA2 tam, kde bude cernousku nejvice.
Staci i jen WPA2-PSK, jestli se nechci zatim trapit s radius
serverem. Otazka je, zda to budou umet i koncova zarizeni
uzivatelu. Novejsim typum uz to problemy obvykle nedela
a do budoucna bych to resil tak (jestli nejde vylozene
o komunitni sit dodelej doma), ze podminkou pripojeni je
koncove zarizeni dodane od poskytovatele pripojeni a je
plne pod dalkovou spravou poskytovatele, takze casem po
ujednoceni technologie se da udelat celkem snadno rozumne
dohlizeni a dalkovou rekonfiguraci na dalku pres SNMP
ve vlastni rezii nebo to i vyrobci nabizi jako hotovku
k dodani.
Timto predejdu do budoucna spouste problemu a i z pohledu
koncoveho uzivatele se mi to jevi lepe, pokud mi ISP donese
to radio a kompletne i s antenou a spol namontuje a ma to
pak i na triku (vcetne pripadnych nasledku zprasene instalace).
M.
Další informace o konferenci Linux