On 2016-03-04 17:28, Nemeth A wrote:
Engem csak "magánemberként" érdekelne, hogy pl. MÁV-nál vagy egy-egy
plázában stb., ahol "free wifi" van, ezt hogyan lehet technikailag
megvalósítani.
a tobbi reszt kivagtam, mert akkor nem relevans, ne arrol beszelgessunk.
epitettem mar par rendszert, eltero elvek menten, nyilvan ugye mindig
annak vannak kivansagai, aki a vegen a szamlat fizeti.
Az ingyen wifi mindig szeparalt halozatot hasznal, ez azt jelenti, hogy
a switcheken, amiken a forgalom athalad onallo vlanban halad, a
routereken pedig onallo VRF-ben. Alapvetoen harom nagy csoportba
sorolhato a kialakitas.
1) semmilyen ellenorzo-autentikalo rendszer nincs
felcsapod a notebookot, felvillan a lehetoseg, csatlakozol, mukodik,
kesz. Szamtalan elonye van, ha TCO-t nezek, peldaul nem kell
infrastrukturat uzemeltetnem a hozzaferes-korlatozashoz, nem kell azt
tartalekolni sem, nem kell mernokot fizetnem az uzemeltetesre, sem
rendszergazdat a felhasznalok tamogatasara. A nyilt, kodolatlan wifi
nem ordogtol valo, peldaul egy lapos teruleten egy viszonylag magas
epulet tizedik emeleten annyira nem fontos a titkositas, de szinten nem
fontos valami elhagyatott, tavoli helyen sem, mondjuk valami erdo
kozepen egy hotelben, ahol a vendegeken kivul sok ember ugyse jar. De
lehet szandekos is, ha cel, hogy minel tobb ember tudja hasznalni a
szolgaltatast.
2) a 802.11 protokoll megoldasait hasznaljuk ellenorzo-autentikalo
rendszerre
Ilyen tipikusan a wep, wap, eap, eap-tls es hasonlo titkositasi
megoldasok amik a vezeteknelkuli protokollba magaba vannak epitve.
lehet hasznalni kozos titkot, lehet hasznalni egyeni titkot. A jellemzo
a kozos titok, amikor a blokkra ranyomtatjak a megosztott kulcsot,
esetleg a pincertol kell elkerni, vagy az etlapra van nyomtatva, esetleg
a pult mogott egy A4es lapon van kirakva. Elonye, hogy valoszinuleg
csak a vendegek, vagy valaha vendegek hasznaljak, nem mindenki.
Kevesebb ember, nekik jobb minosegu szolgaltatast lehet nyujtani,
egyszeru uzemeltetni, bar itt mar fellephetnek problemak (nyilvan
mindenkinel volt mar, hogy a pincer adott egy jelszot, ami nem mukodott,
a pincer meg csak vonogatta a vallat, o ennyit ert hozza). Amennyiben
egyedi megoldast hasznalunk, nyilvan infrastruktura mukodtetese
szukseges (AAA szerver, stb). A kovetkezo pontban lathato, miert nem
jellemzo itt az egyedi azonositas hasznalata.
3) onallo megoldast hasznalunk (ilyen peldaul a captive portal, vagy a
vpn hozzaferes)
A leggyakoribb manapsag a captive portal. Azaz maga a wifi kapcsolat
titkositatlan, siman lehet hozza csatlakozni, de ettol meg internet
eleres nem lesz. A csatlakozas utan egy buborekban, egy zart halozatban
talalja magat a kliens, jellemzoen barmilyen HTTP weboldal elerese
sikertelen, atiranyitas tortenik egy sajat portalra. Ezen a portalon
talalhatoak meg az azonositashoz szukseges lepesek. Peldaul a szobaszam
es a vezeteknev beirasa, esetleg ha fizetni kell az eleresert, az itt
tortenhet meg, de akkor is ide jutunk, ha csak egy OK gombot kell
megnyomni. Ezeknek a hozzafereseknek leginkabb marketing erteke van,
mondjuk egy starbucksban a starbucks logot toljak a szemem ele, valahol
mashol meg nyilvan mast. Amennyiben egyedi azonositokra van szukseg,
itt a weboldalon reszletes leirast adnak arrol, ezeket hogy lehet
beszerezni - erre a 2) pontnal nincs mod, mert a protokoll erre nem ad
lehetoseget (nem lehet kiirni, hogy a WPA enterprise login a
szobaszamod). Az is lehet, hogy az elerest MAC cimhez kotik, ilyen
esetben ha lejar, az arcodba tolnak egy informacios ablakot errol, ezt
szinten nem lehet a 2) pontnal megtenni pusztan a protokoll elemeivel.
A VPN hozzaferes hasonlo, csak biztonsagossa teszi az egeszet: tovabbi,
szemelyre szabott azonositas kell ahhoz, hogy a burokbol egy masik
burokba keruljunk ahol mar van internet eleres is. Itt egy pptp
kapcsolatra celszeru gondolni. Kihaloban levo megoldas. Ez aharmadik
pont jellemzoen mernokot kivan a telepiteshez, uzemelteteshez,
rendszergazdat viszont nem, a rendszer onjaro. A szallodai foglalas
rendszere automatikusan hozza letre, torli a hozzafereseket, etteremben
a blokkra nyomtatodik a frissen letrehozott hozzaferes, amint az ido
lejart, automatikusan torlodik, nincs szukseg igazabol emberre. Mivel a
felhasznaloi supportra eleg egy weboldal, ezert nem kell rendszergazda
hozza. Nepszeru ez a harmadik csoport azert is, mert hozzakotheto a
fehasznalohoz vegulis a forgalom. A portalon lehet regisztraciot is
bonyolitani, jelszot es egyeb hozzaferesi adatokat pedig sms-ben
kuldeni. Igy garantaltan legalabb egy jo telefonszamot biztos tudunk a
felhasznalorol es ha gyerekpornot nez, lesz kihez kotni. Egy ilyen
telepiteset epp a mult heten fejeztem be: uj felhasznalok regisztralnak
a portalon (telefonszammal), sms-ben kapjak a nevet, jelszot a
belepeshez ami 24 oraig jo.
A fentieken tul szokas meg korlatozni az elerheto weboldalakat, valamint
portokat, peldaul 25, 465 stb portokat szoktak szurni, esetleg
elofordulhat, hogy nem tiltas van, hanem engedelyezes, peldaul csak a
80as port van engedve. Meg ujabban alkalmazasokat engednek, peldaul
porttol fuggetlenul web bongeszes mukodni fog de mas nem. Ehhez nyilvan
alkalmazasi reteget ismero tuzfal kell ami dragabb.
udv
adam
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
