Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: ondra.novacisko.cz 27. 02. 2010, 16:29:53

Název: Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: ondra.novacisko.cz 27. 02. 2010, 16:29:53
Zdravím.

Mám v baráku instalovanou wifi. Nechci používat šifrování wep, wpa, ani nic takového z několika důvodů
1) některá zařízení nepodporují wpa
2) wep není problém rychle cracknout (vyzkoušeno)
3) šifrování vnitřní komunikace stejně postrádá smysl. Interně používám ssh, internet je od routeru dál nešifrovaný (taky po wifi)

Jediný, co potřebuju zajistit je, aby se nikdo nemohl přes moje AP připojit k internetu. Veškeré známe metody lze obejít, jako třeba MAC filter (opět vyzkoušeno). Zatím jsem zvolil přihlašování na VPN, konkrétně PPTP. To funguje dobře, tedy internetové spojení dostanu až v okamžiku, kdy se na PPTPd autorizuju přihlašovacím jménem a heslem. Přišlo mi to jednodušší, než instalovat OpenVPN, protože né každé zařízení OpenVPN umí (PPTP Windows mobile zvládnou).

Jenže se stejně objevil problém, že mám telefon, který umí wifi a web, ale už nezvládne žádnou formu VPN. Takže přes něj se na internet prostě nedostanu. Obdržím vždycky jen uvítací stránku na serveru.

A otázka: Na některých serverech jsem viděl, že mají jednoduchý způsob autorizace pomocí webového formuláře. Při napsání jakékoliv adresy do prohlížeče jsem byl nejprve přesměrován na přihlašovací stránku. Po vyplnění jména a hesla jsem ihned měl přístup na internet, dokud jsem se neodpojil. Dokud to nebylo vyplněný, komunikace nebyla možná ani po standardním TCP/IP (čili není to proxy). Po autorizaci se otevřela veškerá komunikace ven.

Nevíte, kde bych našel něco podobného implementováno pro linuxový server? Vůbec mě nenapadá, jak bych to programoval.
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: Ondřej Caletka 27. 02. 2010, 22:46:11
http://en.wikipedia.org/wiki/Captive_portal
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: Petr Krčmář 28. 02. 2010, 11:05:39
Tohle řešení je taky poměrně snadno prostřelitelné, stačí odposlouchávat síť a počkat si na letící heslo. Faktem ale je, že to používá třeba hodně hotelů pro přístup hostů.
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: ondra.novacisko.cz 28. 02. 2010, 11:32:49
A to i v případě, že se použije https?

Pokud vím, právě to prvotní přesměrování jde na https, tedy když napíšu www.seznam.cz, tak dostanu redirect treba na https://localdomain/login?returnTo=http://www.seznam.cz a po vyplnění formuláře se to vrátí na seznam.
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: Petr Krčmář 28. 02. 2010, 11:34:57
HTTPS by to samozřejmě řešilo a pak je to v pořádku. Já jsem to ale zatím vždycky viděl na HTTP.
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: PCnity 19. 03. 2010, 18:00:35
Taketo riesnie mala aj jedna kaviaren v BA. Ale sranda bola ze to vlastne len pridalo IP:MAC adresu do nejakeho zoznamu povolenych.

Pretoze po 3 min sniffingu som bol na nete bez jedineho problemu.
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: spigy 19. 03. 2010, 19:37:52
Taketo riesnie mala aj jedna kaviaren v BA. Ale sranda bola ze to vlastne len pridalo IP:MAC adresu do nejakeho zoznamu povolenych.

Pretoze po 3 min sniffingu som bol na nete bez jedineho problemu.

asi viem o ktorej kaviarni hovoris :)
ano, tam je to riesene tym sposobom, ze po prihlaseni sa len povoli dana mac adresa

overene naklonovanim mac adresy
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: PCnity 19. 03. 2010, 19:46:54
Len taky brainstorming...

Co ine by sme mohli povolit/zakat po prihlasovani cez https?
Riesenie s povolenim zoznamov IP:MAC je jednoduche ale strasne lahko obiditelne...

Nech ako kolvek rozmyslam... Nic ma nenapada.

Asi by som to realizoval systemom PPPoE + velmi shapenuta linka public :) ale aj tak moze byt viazana pkombinaciou IP, MAC.

Cize zariadenia ktore si s vyssimy druhymi zabezpeceni neporadia by sa aspon s nejakou smiesnou rychlostou na net dostali. Navyse ked uz nieco nevie VPN, asi to nepotrebuje silnu linku :)
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: Daniel Čech 19. 03. 2010, 20:06:28
Řešením, které hledáš by měl být Radius server, ale nikdy jsem to nezkoušel nastavit, ačkoli mně to taky dost zajímalo.
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: MarSarK 22. 04. 2015, 12:40:08
Správným řešením je implementace 802.1x a Radius serveru - konfigurace s DB backendem je relativně snadná. Uživatelé a jejich atributy (jako třeba VLAN) atd. jsou pak načítány třeba z MySQL.
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: Dzavy 22. 04. 2015, 13:05:35
To by me zajimalo co za vrak dneska neumi WPA?

A jinak teda Radius, ale pokud to neumi WPA, tezko to bude umet Radius. Captive portal opravdu funguje vetsinou na principu iptables...
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: i.cz 22. 04. 2015, 13:24:01
Na mikrotiku je moznost pouzit hotspot pres https a cookie v prohlizeci. Pokud se zavre prohlizec, dropnou se i otevrena spojeni.
Uzivatele pak staci mit lokalne primo na MK..
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: Ondrej 22. 04. 2015, 15:18:08
Podle mě se snažíte nahradit standardní řešení (WEP, WPA) nestandardním řešením (captive portal). V obou případech musíte znát heslo, ale s captive portalem si navíc přiděláte problémy - třeba se stahováním mailů (bez přihlášení přes tu captive stránku si mail client nic nestáhne) apod. Jinak šifrovat domácí síť má smysl, jinak své okolí přímo vyzýváte, aby vám někdo odchytával komunikaci. I kdyby to dělal jen pro srandu, je to minimálně nepříjemný průnik do soukromí. Samozřejmě i šifrování prolomíte, ale je tam alespoň nějaká bariéra.
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: Lol Phirae 22. 04. 2015, 15:30:16
To by me zajimalo co za vrak dneska neumi WPA?

Taky nechápu. Místo vymýšlení krávovin vyhoď totální šrot.
Název: Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
Přispěvatel: Lol Phirae 22. 04. 2015, 15:32:43
Pokud vím, právě to prvotní přesměrování jde na https, tedy když napíšu www.seznam.cz, tak dostanu redirect treba na https://localdomain/login?returnTo=http://www.seznam.cz a po vyplnění formuláře se to vrátí na seznam.

Ne, dostaneš chybovou hlášku prohlížeče jako kráva, že certifikát nesouhlasí a útočník ti vykrade účet, vychlastá pivo v ledničce, zprzní dceru a prodá ji ručníkářům. Tím celá myšlenka s HTTPS končí. Pokud není prvotní request nešifrovaný, tak to je nepoužitelné, pokud tam nehodláš lézt neustále ručně.
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: flack 22. 04. 2015, 15:42:29
Taktiez nieco potrebne by som potreboval "nasadit" ,ale zatial som sa k testovaniu nedokopal.

Ako uz to niekto povedal potrebujes Captive Portal/Walled Garden. Ja by som to potreboval nasadit na "edgerouter" bezi to na debiane takze by nemal byt problem.

-Ako Captive portal chcem pouzit coovachilli http://coova.org/CoovaChilli (http://coova.org/CoovaChilli)
-Freeradius vytvori pppoe spojenie a to je sifrovane, podla toho co viem si potom schopny tam definovat meno, heslo, ipadresu, limity?
-ako backend pre freeradius nejaku DB. napr. MySQL

Malo by sa to chovat potom tak ze ked sa pripojis do siete otvoris web-browser privita ta "login" stranka, prihlasis sa s platnym menom/heslom

Ale ci to presne funguje takto netusim. Zatial sa motam len okolo teorie. Kazdopadne na tuto kombinaciu by ma potesilo keby sa ozval niekto kto uz skusenost ma.
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: mhepp 22. 04. 2015, 19:17:48
Ahoj,

otevřená síť je o něco lepší než špatně zabezpečená -- máš jistotu, že jí nemůžeš věřit. V podstatě skoro jakékoliv řešení, které jsi schopen doma nasadit není dobré a půjde nějak obejít. Řešením by bylo tunelovat veškeré spojení přes VPN, ale má to jednu nevýhodu -- Tebou použité pptp je díky použitému MSCHAPv2 odposlechnutelné. Nepředpokládám, že budeš chtít investovat do certifikátu od důvěryhodné CA a že si budeš pamatovat otisk své CA. Potom se můžeš dočkat MITM útoku, ani nebudeš vědět.

Reálné řešení bych viděl v tom, že bys měl dvě nezávislé a oddělené WiFi. Jednu šifrovanou pro běžná zařízení a druhou, otevřenou, pro ten kriplkrám. Mimochodem, docela by mne zajímalo jakéže je to zařízení, které nezvládá WPA2? Viděl bych to na něco cca 10 let starého a určitě něco hodně speciálního, protože většina zařízení z této doby, která nezvládají WPA2, ani nezvládají 802.1g.
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: Jenda 22. 04. 2015, 19:37:58
Jediný, co potřebuju zajistit je, aby se nikdo nemohl přes moje AP připojit k internetu. Veškeré známe metody lze obejít, jako třeba MAC filter (opět vyzkoušeno).
Jmenuje se to captive portal a taky to používá MAC adresu, je to tedy podobně účinné jako MAC filtr. Ostatně jak jinak bys chtěl na open wifi rozlišovat zařízení?

Vůbec mě nenapadá, jak bych to programoval.
Většinou se do iptables přidá redirect portu 80 na přihlašovací stránku, kde je skript, který po kontrole jména a hesla tento redirect (pro danou IP/MAC) odstraní.
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: kolemjdoucí 23. 04. 2015, 15:33:40
Používám na telefonu opera mini.
Furt mi bylo divné, proč nemohu v mcdonalds serfovat.
Až jednou jsem použil nějaký jiný prohlížeč a hle, byl jsem přesměrován na lokální web, kde jsem musel kliknout na button "internet" nebo tak něco.
Potom už mi to šlo i v opera mini.
Pro mne by toto řešení doma bylo neskutečný opruz.
Název: Re:Zabezpečení WiFi sítě s autorizací přes WWW
Přispěvatel: MarSarK 23. 04. 2015, 16:14:42
Zařízení, které mívají problém třeba i s WPA jsou různé ruční čtečky čarových kódů, skladové terminály a takovéto specialitky - běží tam staleté Windows CE atd. Řeší se to tak, že se pro ně udělá speciální SSID s třeba s WEP, ověřováním MAC adresy té specialitky ještě jsou zařazeny do speciální VLAN ze které nemohou jinam než k nějakému koncentrátoru se kterým komunikují. Pro běžný uživatelský access se pak udělá SSID s 802.1x.

Jinak (pokud se nepletu) třeba stařičká Cisco AP1120 kromě WEPu neumí nic, ale v součinnosti s radius serverem docela obstojně šifrují.