Nagyobb időráfordítással járó munka nem jön szóba. Nálunk túlnőtt 1rg-n a hálózat / gépszám. Ahogy Ádám írta közel sem a tökéletest keresem mert nincs, ezzel tisztában vagyok, cél az optimális megoldás alábbi feltételekkel. 1 sulixerver TP-link WA-901nd (van openwrt lehetőség) Egyelőre a gyári progival volt a legidőhatékonyabb.
2016. november 9. 1:02 Csaba Tiba írta, <tibacs...@gmail.com>: > Kedves Ádám! > > A szakmai részével nem vitatkozom és valóban az adott iskola dönt majd a > megfelelő pénzügyi háttér és eszközök alapján, hogy mit hogyan old meg, de: > Hotspotoknál is van lehetőség az azonosításra és mindenféle biztonsági > szabály betartására is, több kollégiumban vagy szállodákban is működő > lehetőség. Az eszközök adottak, ezek valamelyik ..wrt-s megoldással > felokosíthatóak lehetnek (nem adta meg a típusát) és akkor sokkal több > dolgot is elér a biztonságos üzemeltetéshez mint az eredeti gyári > szoftveren. Amit tovább tud fokozni a szerveren futó egyéb alkalmazásokkal > is amit te is leírtál. > ddwrt alatt a tűzfalszabályokkal is el lehet játszani. > Vagy a tp-linkes eszközön (bár konkrét típust nem tudtunk meg) beállítható > a dhcp snooping? Komolyabb cuccokban benne van, de neki nem biztos hogy > megoldást jelent, ha nincs cisco-s eszköze hozzá vagy nem egy komolyabb > tp-linkes cucc tulaja. > Mondjuk egy egyszerűbb elfekvő asztaliból pc-ből lehetne egy linuxos > szervert összedobni ami a monitorozásban és még sok másban segíthetne. > Igazán tényleg kevés infó és háttért tudnunk ahhoz hogy konkrétabb > segítséget jelentsen számára bármelyik hozzászólásunk, El tudjuk terelgetni > egy adott irányba és a habitus és pénz fog dönteni a kivitelezésben. > Azzal főz ami van. > > Üdvözlettel > Csaba > > 2016. november 8. 22:40 írta, <k...@mayten.sch.bme.hu>: > >> On 2016-11-08 17:27, Csaba Tiba wrote: >> >>> eszközét és idokorlátos is lehet. Nincs teljes tiltás, és a >>> diáknak is jó. Minden korlátozás csak arra jó hogy csakazértis >>> >> >> De az eredeti feladat eppen a tiltas volt :) lehet, hogy pedagogiailag >> ugy gondolod, hogy a gyereket nem kell hergelni korlatozasokkal, de ha >> egyszer nem ez a feladat... en is peldaul szivesebben jarnam az >> orszagokat, maratonokat futva, de ha egyszer a feladat nem ez, akkor nem >> ezt csinalom. >> >> és kontra véleménnyel. A ciscos megoldás biztos tökéletes és >>> kizárja a mac klónozását vagy az ip ütközést de csak a kedvet >>> hozza meg a wifi feltöréshez. >>> >> >> Egyreszt nem latom, mi a rossz abban, ha onjelolt hekkerek nekiallnak >> probalkozni egy rendszerrel. Mi a legrosszabb ami tortenhet? >> Internet-hozzafereshez jut, meg egy adag tapasztalathoz. Ezzel >> parhuzamosan a rendszergazda pedig tapasztalathoz. Szakmai szemmel nezve >> ez egy win-win szituacio. >> >> Masreszt, mint azt mar emlitettem tobbszor: egy tokeletes megoldas sincs, >> optimalis megoldas van. >> >> Az eredeti levelre: >> >> Lényeg amennyi kiskaput be lehet zárni azt bezárnám, hogy csak megadott >>> idoben >>> és megadott szabályok mellett használhassák a wifit... >>> >> >> A dolgot amugy megfoghatod proaktivan es reaktivan is, attol fuggoen, >> hogy milyen teruleten akarsz tapasztalatokat szerezni (mar, ha akarsz >> egyatalan). Ha nem akarsz egyatalan, akkor ez sima ugy: ismertek a >> jatekszabalyok, ismertek a technikai korlatok, innentol ez nevelesi >> feladat, nem muszaki. >> >> Ha inkabb monitoring, IDS, security teruleten mozogsz otthonosabban, >> akkor fogd meg a dolgot a reaktiv vegerol. Ha inkabb halozatos temaban >> vagy otthon, akkor fogd meg a dolgot a proaktiv vegerol. >> >> Reaktiv megoldas, hogy a forgalmat attereled egy kituntetett halozati >> eszkozon vagy szerveren. Ez lehet proxy, IDS, egy naplozo szerver, barmi. >> Aki abban szerepel, az ugye megszegte a szabalyokat. Innentol kezdve a >> fokuszod azon lesz, hogy ez a monitoring minel tokeletesebb legyen. El >> lehet melyulni ilyenkor OS fingerprinting, deep packet analysis, IDS, ICF, >> proxy, valamint wifi alapu helymeghatarozas kerdeseiben. Esetleg >> bevezethetsz a szabalyt megszegok reszere egy, a szabalyszeges fokaval >> aranyosan, valos idoben csokkeno savszelesseg korlatot. Ebben meg latnek >> is amugy raciot. Ezek mind szakmai dolgok es habitusodtol fuggoen >> profitalhatsz a megszerzett tapasztalatokbol a karriered meg hatralevo >> resze soran. >> >> A proaktiv megoldas nyilvan a megelozes, lehetetlenne teves. Engem >> mondjuk ez a resze jobban mozgatna meg, de nem vagyunk egyformak. Ebben a >> kontextusban olyan dolgokon tudsz merengeni, mint port security, >> autentikacio, vmps, 802.1x, arp spoofing, dhcp snooping, NAC, TrustSec, >> profiling. Egy csomo kifejezes amikre keresve szamtalan szakirodalomba >> botlasz. >> >> Nem, nem azt mondom, hogy most azonnal rohanj es vasarolj professzionalis >> AP megoldast, kontrollert, akarmit, hanem azt, hogy olvasd es ertsd meg a >> koncepciot, majd vizsgald meg, ezek kozul mi az amit meg tudsz valositani a >> sajat kornyezetedben. Onmagaban arrol konyveket irtak mar, hogy milyen >> elonyokel es hatranyokkal jar a felhasznalo azonositasa vagy a felhasznalo >> eszkozenek azonositasa. >> >> De ha kimozdulunk az adatkapcsolati retegbol, a halozati retegben is >> szamtalan olyan technika talalhato, amivel egy adott szegmensen belul tudod >> tartani a nem kivanatos forgalmat, a nap egy adott reszeben. >> Automatizaltan. Ehhez nyilvan a halozatodat kell jobban ismerni. >> >> Gondolom mondanom sem kell, hogy engem szemely szerint hullara nem >> erdekel az, hogy milyen szabalyokat kik akarnak betartatni, illetve az, >> hogy milyen celbol. Engem sokkal jobban foglalkoztat annak a muszaki >> megvalositasa, hogy egy adott igenyt (a gyerekek netezeset, vagy annak >> megallitasat) mikent tudja egy halozati infrastruktura kiszolgalni. Igy >> szamomra nem akceptalhato az a hozzaallas, hogy adjunk nekik netet, akkor >> majd nem kell nekik annyira. Ebben a muszaki kihivas egyertelmuen nulla. >> >> udv >> adam >> >> >> _______________________________________________ >> Techinfo mailing list >> Techinfo@lista.sulinet.hu >> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo >> Illemtan: http://www.szag.hu/illemtan.html >> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ >> > > > _______________________________________________ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > > -- Kurucz Zoltán *rendszergazda* *constantinum.hu <http://constantinum.hu>*
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
