Fix ip elleni beavatkozás
Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Köszi előre is, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Szia! WEP/WPA stb nem jó? A WiFi-t nem lehet levédeni? Feri 2010/11/8 Takacs Tibor taka...@ntszki.hu: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Köszi előre is, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
2010.11.08. 13:05 keltezéssel, Takacs Tibor írta: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Hogy állithathat talpas user, IP cimet , nálam még órát és képernyő felbontást sem, úgy meg van Tweakelve.. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re[2]: Fix ip elleni beavatkozás
Eredeti üzenet, melynek kelte: Monday, November 8, 2010, 1:25:15 PM: 2010.11.08. 13:05 keltezéssel, Takacs Tibor írta: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Hogy állithathat talpas user, IP cimet , nálam még órát és képernyő felbontást sem, úgy meg van Tweakelve.. --- S akkor innen az effektív válasz! --- Gondolom itt a saját, wifi képes telefonokról van szó, ami már nem ritkaság manapság... Sós Márton - Rendszergazda (sos.mar...@razeneiskola.hu) - Rácz Aladár Zeneiskola (i...@razeneiskola.hu) 1165 Bp, Táncsics u. 7 Tel: (1)403-20-93/307 ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Re[2]: Fix ip elleni beavatkozás
Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... Nálunk a hallgatói wifi teljesen más tartományból kapja az IP-t mint a tanári... Igaz, hogy ehhez két wifi router is kellett, de megérte. ;) ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
2010.11.08. 13:17 keltezéssel, Markó Ferenc írta: Szia! WEP/WPA stb nem jó? A WiFi-t nem lehet levédeni? Ha arra rájöttek, hogy egy IP beírásával tudnak netezni, akkor a WEP/WPA párost is egyhamar fel fogják törni. Ha a router tudja a WPA2-t, akkor használjuk azt (véleményem szerint kötelező lenne azt használni), és állítsunk be a routeren MAC szűrést. De ha jól értelmezem a kiinduló levelet, akkor ez nem egy SOHO WiFi router, hanem egy Debian Szervert futtató gépben wan egy WiFi kártya és azon keresztül wifiz-nek. - ebben az esetben RADIUS. Ha a szerveren nem fut más szolgáltatás, akkor javasolok egy Zentyal-t telepíteni rá (Ubuntu alapú), és néhány kattintással be lehet üzemelni a RADIUST. De ha feltelepítesz egy arpwatch-ot, akkor ki tudod deríteni, hogy mi a MAC címe azoknak a gépeknek akik a te engedélyed nélkül csatlakoznak. Aztán iptables-ben ezeknek a MAC című gépeknek tiltod a kapcsolatot, amíg rá nem jönnek hogy a MAC címet kell megváltoztatni. Üdvözlettel, Veres Sándor ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
RE: Fix ip elleni beavatkozás
Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Adj meg a diákoknak szánt WiFi hálózatnak egy másik címtartományt. Üdv: Istvan ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Szia! WEP/WPA stb nem jó? A WiFi-t nem lehet levédeni? Feri 2010/11/8 Takacs Tibor taka...@ntszki.hu: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... Dehogynem, van hozzá RADIUS meg tanúsítvány meg minden... De azt állítja be, hogy nem DHCP-n kap IP-t hanem fixen. Üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
2010.11.08. 13:05 keltezéssel, Takacs Tibor írta: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Hogy állithathat talpas user, IP cimet , nálam még órát és képernyő felbontást sem, úgy meg van Tweakelve.. Saját számítógépe, vagy okostelefonja vagy ilyenek... Üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
On Mon, Nov 08, 2010 at 01:05:16PM +0100, Takacs Tibor wrote: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Köszi előre is, üdv: Sok értelme nincs, MAC-et hamisítani ugyanilyen könnyű. -- PTG E = MC ** 2 +- 3db Debian Lenny ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
On Mon, Nov 08, 2010 at 01:25:15PM +0100, Szucs Sandor (Taszi) wrote: 2010.11.08. 13:05 keltezéssel, Takacs Tibor írta: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Hogy állithathat talpas user, IP cimet , nálam még órát és képernyő felbontást sem, úgy meg van Tweakelve.. Úgy érted a saját laptopján/mobiltelefonján/netbookján? :-O Hogy csinálod, ez nekem is kéne! -- PTG Q: What does a WASP Mom make for dinner? A: A crisp salad, a hearty soup, a lovely entree, followed by a delicious dessert. Debian Lenny ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
RE: Fix ip elleni beavatkozás
Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Adj meg a diákoknak szánt WiFi hálózatnak egy másik címtartományt. Ez a bajom, így van, DE: 1. WiFin keresztül engednem kell a tanári tartományt is. 2. A diákok elvégeznek minden beállítást a gépükön (default router, dns, stb.) Azaz az lenne a jó, ha a szerver nem állna szóba azokkal a gépekkel, amik nincsenek benne a DHCP konfigjában... Ha ezt kiiktatandó valaki MAC-et hamisít, mennyire csinálhat gondot? Köszi, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Ha beállítjuk a ssid titkositását a wpa2-ot a MAC szűrést -és ugye ezek után a még egy név-jelszó páros is hátra van- és ezt mindet fel tudja törni az óraközi szünetekben, úgy, hogy nem súgott neki senki akkor az egy ügyes gyerek ekkora védelemnek elégnek kell lennie a külső behatólok ellen is. Inkább az a baj hogy egyes felhasználók kiadják adataikat valamiért a diákságnak. bendeimre - Original Message - From: Pirity Tams Gbor p...@apaczai.elte.hu To: Techinfo techinfo@lista.sulinet.hu Sent: Monday, November 08, 2010 2:22 PM Subject: Re: Fix ip elleni beavatkozás On Mon, Nov 08, 2010 at 01:05:16PM +0100, Takacs Tibor wrote: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Köszi előre is, üdv: Sok értelme nincs, MAC-et hamisítani ugyanilyen könnyű. -- PTG E = MC ** 2 +- 3db Debian Lenny ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Gyakorlatilag ezt csinálja a Cisco IP source Guard fícsör: http://www.ciscopress.com/articles/article.asp?p=1181682seqNum=7 Fenntart egy MAC-IP adatbázist a rajta átfolyó DHCP kérések alapján, és csak ezeket engedi forgalmazni.Minden egyéb ignored. Vagy ez kellene Debianra, vagy egy cisco switch a DHCP és az AP közé. A 2010.11.08. 14:38 keltezéssel, Takacs Tibor írta: Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Adj meg a diákoknak szánt WiFi hálózatnak egy másik címtartományt. Ez a bajom, így van, DE: 1. WiFin keresztül engednem kell a tanári tartományt is. 2. A diákok elvégeznek minden beállítást a gépükön (default router, dns, stb.) Azaz az lenne a jó, ha a szerver nem állna szóba azokkal a gépekkel, amik nincsenek benne a DHCP konfigjában... Ha ezt kiiktatandó valaki MAC-et hamisít, mennyire csinálhat gondot? Köszi, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Azért egy MAC alapján, főleg ha hamisított - nem egyszerű megtalálni az illetőt. Főleg ha a wifi még az utcára is kilóg... 2010.11.08. 14:48 keltezéssel, Takács Zoltán írta: Szerintem old meg a problémát tisztán pedagógusként... Írd le és tudatosítsd mindenkiben, hogy ezt nem szabad - akik mégis megszegik a szabályt, azt meg büntesd meg rendesen. (közben a tanárokat tedd be egy 5e Ft-os wifi router mögé, hogy legalább nekik ne legyen gondjuk... akár saját fizetésből is.) Egy-két rendes büntetés és elterjed a híre... Én mindig jobban szerettem azokat a rendszereket, amelyeket nem a szabályok tartottak egybe, hanem az emberek... üdv: taki - Original Message - Azaz az lenne a jó, ha a szerver nem állna szóba azokkal a gépekkel, amik nincsenek benne a DHCP konfigjában... ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
ást sem, úgy meg van Tweakelve.. Úgy érted a saját laptopján/mobiltelefonján/netbookján? :-O Hogy csinálod, ez nekem is kéne! Éred te, csak ráteszel egy lapáttal! 1.) Nálunk a WIFI a tanulók számára elérhetetlen. (Naponta bejön persze pár mobil, meg kalóz loptop, de a MAC-alapú tiltás itt bevált. Lehet nálatok hackerképző tanfolyam van és a gyerek csuklóból hamisit MAC-cimet. 2.) A belső hálózatra ugyan felrakhatja a kis gépecskéjét, kap is kb 45 percig internetet, és milyen komoly öröm sugárzik az arcáról, bennt van a hálózatba A következő frissitésnél már tiltva is van... 3.) A Belső Netikett (Hálószati Szabály Gyűjtemény) külön hangsúlyozza ilyen esetben a szaksziók elkerülhetetlenek. Legyen az tanári kalóz laptop, vagy diák... ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Lehet nálatok hackerképző tanfolyam van és a gyerek csuklóból hamisit MAC-cimet. az inteligenesebb hálókrátyákba simán be lehet állítani, hogy mi legyen a MAC cím... ehhez nem kell nagy képesítés, csak egy megfelelő gép. 3.) A Belső Netikett (Hálószati Szabály Gyűjtemény) külön hangsúlyozza ilyen esetben a szaksziók elkerülhetetlenek. Legyen az tanári kalóz laptop, vagy diák... Ellenben itt a pont - és ezt tartom jó megoldásnak. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
2010.11.08. 14:52 keltezéssel, Horváth Attila írta: Azért egy MAC alapján, főleg ha hamisított - nem egyszerű megtalálni az illetőt. Főleg ha a wifi még az utcára is kilóg... És??? Be se tud jönni ha normálisan van megcsinálva!! Jelzem normálisan. SSID tiltva, WPA2 titkositás. Nem hiszem hogy egy normál diák nekiáll feltörni egy kis 100 Kb/sec Wifi reményében... ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Ezek szerint rosszul vettem ki az eredeti üzenetből, és itt vanWPA (vagy WPA2)? Ha igen, kellően hosszú kulcsot nem 1-2 perc/óra alatt tör fel a laptopjával. De szerintem sima tök nyitott wifiről van szó (amúgy az SSID elrejtés manapság semmit nem ér, 20 másodperc. http://www.wi-fiplanet.com/tutorials/article.php/3576541/Your-SSID-Isnt-Hidden-Forever.htm ha érdekel) 2010.11.08. 15:05 keltezéssel, Szucs Sandor írta: 2010.11.08. 14:52 keltezéssel, Horváth Attila írta: Azért egy MAC alapján, főleg ha hamisított - nem egyszerű megtalálni az illetőt. Főleg ha a wifi még az utcára is kilóg... És??? Be se tud jönni ha normálisan van megcsinálva!! Jelzem normálisan. SSID tiltva, WPA2 titkositás. Nem hiszem hogy egy normál diák nekiáll feltörni egy kis 100 Kb/sec Wifi reményében... ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
ekkora védelemnek elégnek kell lennie a külső behatólok ellen is. Óriási tévedés! Az ssid elrejtés (titkosítani nem szokták) semmit nem ér, elkapja más csomagban egy pillanat alatt, pl amikor egy legális gép szabályosan csatlakozik. A mac szűrést adminisztrálni szintén csak felesleges időpocsékolás, lemonitozza az előbb említett gép MAC címét, és kész. A wpa2 jó lehet, bár az is idő kérdése persze:) Főleg, ha mondjuk az iskola mellett közvetlenül a panelban ráér az ifjú titán, és pár napot rászán a törésre. Nem mondom, hogy katonai védelem kell egy suli hálózatához, de azt hinni, hogy egy SSID elrejtéssel, meg hasonló őskori dologgal védve vagyon a hálózatod, nagy tévedés. Nem is feltétlenül a diákok miatt, gondolom ők ha akarnak, leülnek egy PC elé és neteznek. Sokkal nagyobb gond a külső behatoló, aki lenyúlja a sávszélességed, kifigyeli minden forgalmad (kezdve az összes POP3 jelszótól, folytatva a facebook/iwiw jelszavadig, és megkoronázva néhány nagyon érzékeny, személyes, full privát adattal - pl. saját/feleség/barát/barátnő lenge képek.) Pár pedagógus emiatt elvesztette mostanában az állását - ha jól rémlik... Azt akarom csak ezzel mondani, hogy aki wifit rakott/rak ki a hálózatába, annak mindezeket számba kell venni, és ennek megfelelően kezelni a dolgokat. Nem kis felelősség... Attila Ps1: Ugyanezt nyitott wifin tenni kb olyan, mintha ruha nélkül mennél dolgozni/tanítani holnap, és a kollégákat is erre köteleznéd... 2010.11.08. 14:41 keltezéssel, bendei írta: Ha beállítjuk a ssid titkositását a wpa2-ot a MAC szűrést -és ugye ezek után a még egy név-jelszó páros is hátra van- és ezt mindet fel tudja törni az óraközi szünetekben, úgy, hogy nem súgott neki senki akkor az egy ügyes gyerek ekkora védelemnek elégnek kell lennie a külső behatólok ellen is. Inkább az a baj hogy egyes felhasználók kiadják adataikat valamiért a diákságnak. bendeimre - Original Message - From: Pirity Tams Gbor p...@apaczai.elte.hu To: Techinfo techinfo@lista.sulinet.hu Sent: Monday, November 08, 2010 2:22 PM Subject: Re: Fix ip elleni beavatkozás On Mon, Nov 08, 2010 at 01:05:16PM +0100, Takacs Tibor wrote: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Köszi előre is, üdv: Sok értelme nincs, MAC-et hamisítani ugyanilyen könnyű. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Apropó, ha van RADIUS, akkor miért nem használsz WPA Enterprise-t 802.1X-el, összekötve mondjuk a windows authentikációddal? Így mindenkinek saját userneve/jelszava van - amire elvileg vigyáz, és ezzel megoldod a dinamikus kulcs-cserét is, ami a WPA feltörését gyakorlatilag közel lehetetlenné teszi - mivel folyamatosan változik a WPA kulcs. A 2010.11.08. 13:49 keltezéssel, Takacs Tibor írta: Szia! WEP/WPA stb nem jó? A WiFi-t nem lehet levédeni? Feri 2010/11/8 Takacs Tibortaka...@ntszki.hu: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... Dehogynem, van hozzá RADIUS meg tanúsítvány meg minden... De azt állítja be, hogy nem DHCP-n kap IP-t hanem fixen. Üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
2010.11.08. 13:05 keltezéssel, Takacs Tibor írta: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Köszi előre is, üdv: TT A titkosoításnak valóban semmi értelme. Nem a WPA2-t töri fel a diák csak a tanár megmondja a kódot, vagy a diák kiszedi egy gépből wirelesskeyview-el ami le van mentve a windowsban. Az egyetlen megoldás hogy mindenkinek saját passwordje van a wifi-hez, mert akkor nem mondja meg a diáknak. És ezt PPPoE-vel lehet legegyszerűbben megoldani. Vagyis hogy rámegy valaki a wifi-re, akkor még nincs net elérése, mert ahhoz még PPPoE-vel is be kell tárcsázni. Hasonlóan jó megoldás hotspotot csinálni. Mindkettőt meg lehet csinálni egy 15-30 ezer Ft -os mikrotik-el. Péter ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Sziasztok! Szerintem folyamatosan elbeszélünk egymás mellett... A fizikai réteg jól védhető, és védem is WPA2+Radius, ezekkel semmi gond. A probléma az ez utáni rétegben az IP-nél van. Emberkének van jogosultság és tanúsítványa, tehát tud kapcsolódni a hálózathoz. Azonban ő nem DHCP-t használ, hanem a gépére beállít egy STATIC IP-t. Tűzoltásként kitettem egy felhívást, figyelmeztetve mindenkit, hogy aki ilyesmit csinál, az nagyon komoly szankciókra számítson. Sőt, a RADIUS logjából azt is meg tudom mondani, ki volt... .. mindenesetre szeretnék tanulni és ennél jobb megoldást kitalálni... Üdv: Tibi___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
RE: Fix ip elleni beavatkozás
Sziasztok Esetleg lehetne openvn szervert is beüzemelni, simán csatlakozhat a user a wifi hálózatra, de annak nincs semmi gateway-e, nem lát rajta semmit, csak a vpn szervert, aztán indít egy vpn klienst, és ha sikerül a vpn szerverre csatlakozni, akkor azon keresztül kap netet is. Ahhoz meg egyedi jelszó kell. Hg -Original Message- From: techinfo-boun...@lista.sulinet.hu [mailto:techinfo-boun...@lista.sulinet.hu] On Behalf Of Horváth Péter Sent: Monday, November 08, 2010 4:07 PM To: Techinfo Subject: Re: Fix ip elleni beavatkozás 2010.11.08. 13:05 keltezéssel, Takacs Tibor írta: Sziasztok! Sajnos felütötte a fejét diákjaink között az szokás, hogy beállítanak egy olyan IP-t a tanári tartományból, ami épp üres és úgy neteznek a WiFi-n keresztül. Ezt hogyan lehetne kivédeni technikailag? Azaz a szervernek lenne egy MAC-IP táblája, és ha nem passzol, nem válaszol neki, hanem azonnal küld nekem egy MAIL-t... A szerveren Debian Linux fut. Köszi előre is, üdv: TT A titkosoításnak valóban semmi értelme. Nem a WPA2-t töri fel a diák csak a tanár megmondja a kódot, vagy a diák kiszedi egy gépből wirelesskeyview-el ami le van mentve a windowsban. Az egyetlen megoldás hogy mindenkinek saját passwordje van a wifi-hez, mert akkor nem mondja meg a diáknak. És ezt PPPoE-vel lehet legegyszerűbben megoldani. Vagyis hogy rámegy valaki a wifi-re, akkor még nincs net elérése, mert ahhoz még PPPoE-vel is be kell tárcsázni. Hasonlóan jó megoldás hotspotot csinálni. Mindkettőt meg lehet csinálni egy 15-30 ezer Ft -os mikrotik-el. Péter ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Hello! Hja, mire megíródott az a pár sor (meg lezajlott pár Familia Kft-be illő jelenet idehaza a gyerek, asszony, fogorvos, vízvezetékszerelő, stb) Addigra... Tűzoltásként kitettem egy felhívást, figyelmeztetve mindenkit, hogy aki ilyesmit csinál, az nagyon komoly szankciókra számítson. Sőt, a RADIUS logjából azt is meg tudom mondani, ki volt... .. mindenesetre szeretnék tanulni és ennél jobb megoldást kitalálni... Akkor egyszerű, szépen elbeszélgetsz a nyavalyással. CsIP ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Hmm, akkor nem teljesen értem, miért érdekük az ip-vel t...@kölni? Ezek szerint van jogosultságuk, kapnak egy ip-t DHCP-n és annyi. A 2010.11.08. 18:33 keltezéssel, Takács Tibor írta: Sziasztok! Szerintem folyamatosan elbeszélünk egymás mellett... A fizikai réteg jól védhető, és védem is WPA2+Radius, ezekkel semmi gond. A probléma az ez utáni rétegben az IP-nél van. Emberkének van jogosultság és tanúsítványa, tehát tud kapcsolódni a hálózathoz. Azonban ő nem DHCP-t használ, hanem a gépére beállít egy STATIC IP-t. Tűzoltásként kitettem egy felhívást, figyelmeztetve mindenkit, hogy aki ilyesmit csinál, az nagyon komoly szankciókra számítson. Sőt, a RADIUS logjából azt is meg tudom mondani, ki volt... .. mindenesetre szeretnék tanulni és ennél jobb megoldást kitalálni... Üdv: Tibi ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
Nos! Szerintem az egész szál okafogyottá vált .. 1.) ahol engedélyezik a tanulóknak magáneszközön az iskolai WIFI használatát 2.) ahol a tanár jóindulatból közli a WPA2-es belépő kulcsot és jelszót 3.) ahol nincs szabályozva az eszközhasználat, és nincs irásban elfogadtatva a használókkal, legyen az tanár vagy diák nos ott ez a közösség csak némán széttárja kezeit, és csendesen elmormol egy imát: Igy jártál ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
On Mon, Nov 08, 2010 at 03:01:04PM +0100, Szucs Sandor wrote: ást sem, úgy meg van Tweakelve.. Úgy érted a saját laptopján/mobiltelefonján/netbookján? :-O Hogy csinálod, ez nekem is kéne! Éred te, csak ráteszel egy lapáttal! 1.) Nálunk a WIFI a tanulók számára elérhetetlen. (Naponta bejön persze pár mobil, meg kalóz loptop, de a MAC-alapú tiltás itt bevált. Lehet nálatok hackerképző tanfolyam van és a gyerek csuklóból hamisit MAC-cimet. Nem, természetesen alap, hogy adunk a gyerekeknek hozááférést a wifihez. 2.) A belső hálózatra ugyan felrakhatja a kis gépecskéjét, kap is kb 45 percig internetet, és milyen komoly öröm sugárzik az arcáról, bennt van a hálózatba A következő frissitésnél már tiltva is van... Most komolyan: nem tud egy ,,érvényes'' MAC-address-IP párost lekérni a hálóról? 3.) A Belső Netikett (Hálószati Szabály Gyűjtemény) külön hangsúlyozza ilyen esetben a szaksziók elkerülhetetlenek. Legyen az tanári kalóz laptop, vagy diák... Igen, minden rendszer biztonságosságát lehet a teljes használhatatlanságig fokozni. -- PTG Every creature has within him the wild, uncontrollable urge to punt. -- Snoopy Debian Lenny ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Fix ip elleni beavatkozás
On Mon, Nov 08, 2010 at 03:04:35PM +0100, Takács Zoltán wrote: Lehet nálatok hackerképző tanfolyam van és a gyerek csuklóból hamisit MAC-cimet. az inteligenesebb hálókrátyákba simán be lehet állítani, hogy mi legyen a MAC cím... ehhez nem kell nagy képesítés, csak egy megfelelő gép. Nem is vagyok biztos benne, hogy nem _minden_ hálókártyánál van ilyen. -- PTG About the time we think we can make ends meet, somebody moves the ends. -- Herbert Hoover Debian Lenny ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/