Czy pewne zabezpieczenie sieci bezprzewodowej przed nieautoryzowanym
dostępem lub przechwyceniem informacji nie jest możliwe?
Załóżmy, że w danej sieci oprócz wyłączenia nadawania SSID, włączenia 256
WEP i filtracji MAC wymusimy, że wszyscy klienci Acces Point będą się łączyć
z serwerem przez tunel VPN. Na serwerze uruchomimy oprogramowanie
wymuszające logowanie każdego klienta do serwera i odrzucające komputery
nieautoryzowane. W całej sieci WLAN odbywałby się ruch wyłącznie szyfrowany
po VPN.
Czy jest to możliwe? Czy takie zabezpieczenie eliminuje wady bezpieczeństwa
WEP i WLAN? Po co stosować Radius?
Jak to rozwiązać jeżeli serwer jest na BSD/linux?
Jak to rozwiązać jeżeli serwer jest na BSD/linux?
Przypnij AP do serwera po crossie, włącz w/w zabezpieczenia na poziomie
WLAN i wpuszczaj tylko klientów wchodzących po IPSec z uwierzytelnieniem
po IKE - choćby i po preshared key, jeśli będą mieć stałe adresy IP.
Radius tutaj w ogóle nie jest potrzebny, chyba że czegoś nie
zrozumiałem.
Załóżmy, że w danej sieci oprócz wyłączenia nadawania SSID,
włączenia 256 WEP i filtracji MAC wymusimy
[ciap]
nie wlaczaj niczego z powyszej (od wepa zwalnia siec,filtrowanie po
mac do chyba w ramach dowcipu, widoczne SSID jest dobra sprawa bo
wiesmaki nie beda cie zaklucac swoimi radiami jak sie im pokazes na
site survey) podepnij AP bezposrednio do servera (moze byc na vlanie,
wazne zeby za AP nic nie bylo widac) i zalatw wszystko jakims tunelem
z 3desem
| Jak to rozwiązać jeżeli serwer jest na BSD/linux?
Przypnij AP do serwera po crossie, włącz w/w zabezpieczenia na poziomie
WLAN i wpuszczaj tylko klientów wchodzących po IPSec z uwierzytelnieniem
po IKE - choćby i po preshared key, jeśli będą mieć stałe adresy IP.
Radius tutaj w ogóle nie jest potrzebny, chyba że czegoś nie
zrozumiałem.
Sorry za ignorancję ale ja wciąż nie rozumiem po co jest ten Radius. Na
razie zastosuję standardowe zabezpieczenie WEP 256 i filtracja MAC.
Nadawanie SSID tymczasowo włączyłem - reklamuje moją sieć która jest w
nazwie wraz z nr telefonu ;-)
Nie jestem pewien czy mój tani AP Planet 1966 nadaje się do IPSec. Chyba za
mało wiem na ten temat albo się nie nadaje.
Pytałem o silną kryptografię w kontekscie zabezp WLAN. WEP i filtracja MAC,
to jak wiadomo dobre dla przedszkolaków.
Czy (i jakimi aplikacjami pod FreeBSD) można zrobić coś, co w prostych,
chłopskich słowach opiszę:
Wygenerowany na komputerze klienta unikalny klucz prywatny, który jest
generowany częściowo losowo, a częściowo na podstawie jednego z elementów
hardwaru (tak jak xp, ale tylko na podstawie jednego z elementów). Klucz nie
będzie działał po skopiowaniu na inny komp. Klient po wymianie kompa będzie
musiał zgłosić się po nowy kluccz.
Ten oto klucz identyfikuje jednoznacznie komputer klienta w sieci i
wpuszczenie klienta do bramki internetowej jest możliwe tylko po
autentykacji.
Drugą funkcją klucza mogłoby być szyfrowanie przesyłanych eterem danych ale
to już chyba proste?
Teraz mam pytanko - czy to możliwe?
Jakie programy pod FreeBSD lub ew Linuksa spełnią ww funkcje?
Jakim programem pod Windę od strony klienta?
Sorry za ignorancję ale ja wciąż nie rozumiem po co jest ten Radius.
RADIUS to protokół uwierzytelniania. W kontekście WLAN przewija się jako
jeden z możliwych sposobów uwierzytelniania (i zarazem dystrybucji
klucza) stacji klienckich, przewidzianych w IEEE 802.1X (a standard ten
wykorzystano w następcy IEEE 802.11 - IEEE 802.11i). Drugim sposobem
jest zastosowanie tzw. Pre-Shared Key, czyli mówiąc inaczej - ręczne
wprowadzenie klucza do AP i stacji.
Wygenerowany na komputerze klienta unikalny klucz prywatny, który jest
generowany częściowo losowo, a częściowo na podstawie jednego z elementów
hardwaru (tak jak xp, ale tylko na podstawie jednego z elementów). Klucz nie
będzie działał po skopiowaniu na inny komp. Klient po wymianie kompa będzie
musiał zgłosić się po nowy kluccz.
Klucze (hasła) możesz sobie wbić do serwera RADIUS.
Ten oto klucz identyfikuje jednoznacznie komputer klienta w sieci i
wpuszczenie klienta do bramki internetowej jest możliwe tylko po
autentykacji.
Tak to działa - kient bez klucza nie ma dostępu nawet na poziomie
warstwy 2 modelu OSI.
Drugą funkcją klucza mogłoby być szyfrowanie przesyłanych eterem danych ale
to już chyba proste?
Teraz mam pytanko - czy to możliwe?
Tak, według standardu IEEE 802.11i to całkiem realne (klucze szyfrujące
generowane są z klucza-hasła służącego do uwierzytelniania). Jeżeli twój
sprzęt nie obsługuje tego standardu (całkiem prawdopodobne), to być może
uda się go zmusić do pracy w standardzie WPA (to taka proteza między
IEEE 802.11 a IEEE 802.11i).
Jakie programy pod FreeBSD lub ew Linuksa spełnią ww funkcje?
Jakim programem pod Windę od strony klienta?
Z WPA zgodne są chyba sterowniki hostap. Windows XP potrafi obsługiwać
WPA po nałożeniu łaty, do innych Windows istnieją sterowniki płatne.
Wygenerowany na komputerze klienta unikalny klucz prywatny, kt?ry jest
generowany cz??ciowo losowo, a cz??ciowo na podstawie jednego z element?w
hardwaru (tak jak xp, ale tylko na podstawie jednego z element?w). Klucz nie
b?dzie dzia?a? po skopiowaniu na inny komp. Klient po wymianie kompa b?dzie
musia? zg?osi? si? po nowy kluccz.
Pod FreeBSD jest dobra implementacja IPSec, poszukaj na www.freebsd.org
howto. Jeśli klientami są Windy XP to mają one też wbudowany IPSec,
najmiejszm wspólnym mianownikiem byłby tutaj IKE z IPSec 3DES z
uwierzytelnieniem po preshared key, czyli hasłem związanym z adresem IP
klienta.