On 11/29/2007 01:43 AM, Ground Zero wrote:
Pe un LAN există un device care din motive independente de voinţa mea
poate folosi doar maxim WEP de 128 biţi (şi 802.1b). Am aplicat diverse
metode de-a securiza accesul: hide SSID, filtrare după MAC etc. Dar
evident că e zero barat pentru cineva care se pricepe.
corect
Iar unele metode
(ca AP isolated mode sau lipsa DHCP) sînt chiar contra-productive.
Ce şanse am să securizez totuşi reţeaua?
zero
Pornesc de la prezumţia că cineva
la un moment dat va sparge WEP
corect. ii ia citeva minute daca are un calculator suficient de puternic
şi va deduce parametrii de conexiune
necesari ca să devină membru al LAN. E posibil să-l opresc complet pe
intrus în stadiul ăsta?
nu, pt ca poate spoofa orice din reteaua ta. MAC, IP, etc. poate forta
ceilalti clienti sa se deasocieze si sa se asocieze in locul lor, etc.
Adică să aibă conexiune wireless dar să nu poată
face nimic cu ea.
vezi mai sus
M-am gîndit la mai multe variante: Radius, VPN, PPPoE (instalate pe
routerul care dă WiFi, şi care rulează Linux). Dar nu mă pricep suficient
de bine la nici unele ca să ştiu dacă e (a) ar face ce vreau eu şi (b)
spre care să mă orientez să fie cît mai simplu de făcut.
partial. DACA impui autentificare si utilizarea unui client de vpn si
trafic numai prin tunelul VPN, o sa fie ceva mai sigur in sensul ca nu
va putea utiliza informatia vehiculata prin tunel. Dar daca gasesti un
amic care sa iti forteze deconectarea clientului respectiv, conexiunea
"o sa ii pice", nu ii va merge si ajungi sa fie mai mare daraua decit
ocaua. ma rog, s-ar putea de fapt sa fie util si sa ti se permita sa dai
75$ pe un router decent care stie de WEP si/sau pe o placa de retea
similara. presupunind desigur ca vorbim de echipamente de uz general, nu
cine stie animal embedded folosit drept calculator de proces sau mai
stiu eu ce client sirmaless pt eliberat facturi sau numarat bomboanele
din raftul depozitului.
Există bineînţeles metoda barbară pe care o aplică unele reţele de
cartier, aia cu pagina web pe care faci login şi ţi se dă o gaură în
iptables temporar pînă nu mai răspunzi la ping. Dar vreau să sper că
există ceva mai deştept decît asta.
metoda asta nu face 2 bani. e buna doar pt a minca sufletul celor care
vor sa iasa pe net simultan cu mai multe calculatoare prin aceeasi
conexiune. nu ca i-ar impiedica, dar ii face sa injure.
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
