Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jan Kadera 06. 07. 2010, 17:19:52
-
Zdravím,
byl jsem požádán o "nastavení a zabezpečení" sítě v jedné hospodě. Nevím, co všechno můžu chtít od routeru a pokud chci něco víc, tak jak to řešit.
Oni si v podstatě představují takovouhle situaci:
Mají linku a chtějí ji používat po kabelech pro kancelářskou činnost a přes wifi pro hosty. Do toho chtějí nějakou garantovanou rychlost pro ty kabely a nějak omezené jednotlivé wifi spojení.
Já bych si to představovat tak, že bych jim vyhradil třeba polovinu rychlosti pro ten kabel a na wifi bych buď dal omezení na rychlost pro každé spojení, nebo bych posílal nějakou výstražnou hlášku, když jedna MAC překročí nějaký objem dat/čas.
Je to v možnostech obyčejného routeru | lepšího routeru | je třeba nechat to routovat počítač a napsat si na to vlastní scripty?
Předem děkuji za reakce
Jan Kadera
-
Uroutuje to cokoli, v čem bude Linux. Zkusil bych nějaký router typu Asus WL500g, případně destičku jako Alix. Pro ten traffic shaping se ti bude hodit návod z http://lartc.org/.
PS: MAC adresa jde změnit, takže když někomu přijde varování, že překročil limit, tak to asi udělá…
-
Uroutuje znamená, že to bude umět, nebo že si v tom prostředí to budu moct napsat?
ad MAC: a jak jinak řešit zneužívání weřejné wifi?
-
Zneuzivani je silne slovo, kdyz neco davas k dispozici zadarmo, pak musis pocitat i s vedlejsimi efekty. Na wifine prirazuj ip adresy k urcitem rozmezi pres dhcp a pak celemu rozmezi nastavis maximalni rychlost, kterou budou moct fungovat. Vazat se na mac adresu nema smysl. Anebo pro hosty wifi zvlast a pro firmu taky zvlast, v dnesni dobe stoji tyto zarizeni par korun.
-
dd-wrt firmware, maji hot spot agenty
-
Uroutuje to cokoli, v čem bude Linux. Zkusil bych nějaký router typu Asus WL500g, případně destičku jako Alix. Pro ten traffic shaping se ti bude hodit návod z http://lartc.org/.
PS: MAC adresa jde změnit, takže když někomu přijde varování, že překročil limit, tak to asi udělá…
Koukám na ten router co jsi popisoval a porad nejak nevim, co tim uroutuje...Linux myslis. To ze v tom je linux je sice hezke, ale stejne se k tomu pristupuje prej webove rozhrani a tak moc nechapu, jakou vyhodu mi ten linux inside da...
To si na to udelam sshcko a budu tam dopisovat nejake scripty?
-
Pridam svoji trosku do mlyna.
Ano, vetsina dnesnich SOHO routeru, rozumej, to co koupis v kazdym obchode, ma webove rozhrani.
Co to pohani te ani moc zajimat nemusi
Ve vyctu se divej, jestli to umi QoS (shapping). Dneska uz to umi i levny Edimax za 500,-
Priklad: QoSem nastavis omezeni trafficu na wifi (treba na 512kb/s max), nastavis nejaky sifrovani, DHCP omezeny pool treba na 10 stroju a nasledne, kdyz se bude chtit nejaky host pripojit, proste si u obsluhy pozada o heslo (passphrase) do tve site.
Co by te melo ale zajimat, jestli mi muze navstevnik hospody hacknout firemni sit. Na to uz je lepsi reseni pouzit nejaky FW/lepsi switch, na kterem se budou schazet site/vlany pro firmu a hospodu, v hospode bude AP a at uz na onom FW nebo switchi nebo AP budes QoSovat hospodu.
po emailu se to da lepe rozvest
-
Sel bych cestou dvou routeru. Jeden zabezpeceny a druhy volny pro hosty. Na to volnem nastavit omezeni rychlosti nebo omezeni na nektere porty. Tim se eliminuji stahovaci a tem kdo jen budou chtit brouzdat to pujde v pohode.
-
Nebo nastavit limit prenesenych dat, po preneseni treba 50MB tohoto uzivatele odriznout. Pro bezne surfovani to bohate staci. Pripadne povolit z kazdeho stroje pouze 1-3 uzavrenych soucasnych spojeni. Zmenena MAC adresa se da overit (vendor). Pokud se chcete vyhnout zneuzivani, da se to vyresit pres RADIUS server... Kazdy kdo by chtel na net by prisel k pultu, kde by mu vytvorili login - na to by se vytvoril skript aby to bylo jednoduche a rychle na obsluhu...
-
mozno pouzit squid.
-
Uroutuje to cokoli, v čem bude Linux. Zkusil bych nějaký router typu Asus WL500g, případně destičku jako Alix. Pro ten traffic shaping se ti bude hodit návod z http://lartc.org/.
PS: MAC adresa jde změnit, takže když někomu přijde varování, že překročil limit, tak to asi udělá…
Koukám na ten router co jsi popisoval a porad nejak nevim, co tim uroutuje...Linux myslis. To ze v tom je linux je sice hezke, ale stejne se k tomu pristupuje prej webove rozhrani a tak moc nechapu, jakou vyhodu mi ten linux inside da...
To si na to udelam sshcko a budu tam dopisovat nejake scripty?
Jde do toho flashnout OpenWRT, což je úplně normální Linux se SSH, iptables atd.
-
Ad QoS - mate nejaky model routeru, ktery urcite umi veci jako omezeni rychlosti pridelene wifi? Protoze ja se ted hrabu v routerech doma a mam tu jeden ktery neumi repeater, coz mi prijde dost predpotopni a druhy, ktery sice qos ma, ale nic uzitecneho v nem.
Navic v te hospode uz routery maji, takze bych mohl vypnout wifi na nich a kdyz koupim nejake levne, co umi qos shaping, tak muzu pouzit reseni dvou routeru.
Ad UNIXak: 50MB a dost...to je taky soucas QoS?
Ad Login...tohle reseni se mi libi, ale to bych musel mit vsechny neprihlasene uzivatele presmerovane na loginovaci stranku a tam by to zadali a na to bych potreboval nejaky webovy server a tak, ne?
-
QoS, QoS… Nu, chtělo by to nějaký router s plnohodnotným Linuxem. Ty krabičky s webovým rozhraním obvykle fungují různě.
Ad Login...tohle reseni se mi libi, ale to bych musel mit vsechny neprihlasene uzivatele presmerovane na loginovaci stranku a tam by to zadali a na to bych potreboval nejaky webovy server a tak, ne?
Autentizace přes webový formulář už z principu není bezpečná. Chceš-li bezpečnost, pak RADIUS, nechceš-li, pak to nech otevřené.
-
Autentizace přes webový formulář už z principu není bezpečná. Chceš-li bezpečnost, pak RADIUS, nechceš-li, pak to nech otevřené.
V čem je z principu nebezpečná?
-
zdar chlapi ! rada z jineho pohledu: v hospode nechat WiFi bez hesla, hosty to zbytecne prudi, a v dnesni dobe kazdej hladovej a ziznivej krk dobrej :) dalsi vec je ze pro obsluhu je sice z vaseho pohledu easy pridelit nejake heslo, ale verte mi ze obcas je to doost vopruz, nehlede na borce co jim na widlich wifi hapruje a ocekavaji support :) tim padem co nejjednodussi bez hesla. ohledne zneuziti, heslem si nepomuzete - staci zajit na kafe, ziskat heslo a pak sednout predkrcmu a skodit... :) Krcmar
-
Sakra, zas se nemuzu prihlasit - ta pamet ;D
Pouzij Mikrotik RouterBoard - napriklad RB433AH. Ma to 3 eth - tedy jedna na WAN, dalsi do sviste pro kabelove pripojeni a treti jako rezerva. Dale 680MHz CPU (je i levnejsi varianta s 300MHz CPU, ale tohle "pobere" vse) a 3 miniPCI pro bezdratove karty, kdy se jde vyradit bud jen jednim sektorem a nebo i vice. Konfigurace je prosta a rychla pomoci WinBoxu pres WINE ci pres sshcko. Je to sice komercni, close-source, ale za to provereny a profesionalni reseni. (nerikam, ze tux ne, ale v siti, kde jsou stovky techto zarizeni nikdo nebude resit tuxe v jeho ruznorodosti ...)
Jde vymyslet i levnejsi variantu. A samo - alix je skvela platforma a s openwrt umi na co si vzpomenes, ale treba i to skriptovani (v jazyku LUA) umi i MK. A zaroven jde na Alixe naplachnout RouterOS od MK, nebot je to x86.
Nejlevnejsi moznost je asi RouterStation od UBNT, na to lejet MIPS Debian ci to openwrt a jedem - ale - budes si s tim hrat, kdyz na MK to nastavis a davno uz popijis tekutou odmenu, kdy na openwrt budes nastavovat ...
http://wifi.aspa.cz/routerboard-k9648/desky-k9649/?razeni=cena1 (http://wifi.aspa.cz/routerboard-k9648/desky-k9649/?razeni=cena1)
MOznosti jsou siroke, zdroje jsou ...
JID: lwq@jabbim.cz 8)
-
Autentizace přes webový formulář už z principu není bezpečná. Chceš-li bezpečnost, pak RADIUS, nechceš-li, pak to nech otevřené.
V čem je z principu nebezpečná?
No, tak ten princip je v tom, že všechna data létají vzduchem nešifrovaná (samozřejmě se dá šifrovat na aplikační úrovni - třeba SSH tunel domů - ale kdo to bude dělat). Dále AP po autentizaci identifikuje klienta či klientku jenom pomocí MAC (nic jiného nemá k dispozici), takže si zlý člověk může nastavit MAC na cizí a tím se připojit za nějakého nešťastníka či nějakou nešťastnici. A pak jsem narazil na spoustu implementačních chyb - například jsem ještě neviděl implementaci, která by neautentizovanému subjektu blokovala DNS dotazy ven.
-
No, tak ten princip je v tom, že všechna data létají vzduchem nešifrovaná (samozřejmě se dá šifrovat na aplikační úrovni - třeba SSH tunel domů - ale kdo to bude dělat). Dále AP po autentizaci identifikuje klienta či klientku jenom pomocí MAC (nic jiného nemá k dispozici), takže si zlý člověk může nastavit MAC na cizí a tím se připojit za nějakého nešťastníka či nějakou nešťastnici. A pak jsem narazil na spoustu implementačních chyb - například jsem ještě neviděl implementaci, která by neautentizovanému subjektu blokovala DNS dotazy ven.
Jo jistě, ale zrovnatak můžete přihlášení udělat HTTPS a pustit je ven jen přes Proxy. Záleží na tom, co všechno chcete těm lidem povolit. Uvažme, že chcete dát BFUčkům možnost podíivat se v hospodě na facebook, a nikoliv pustit tam torrent klienta.
(BTW: Nevíte, jaká je v prohlížečích podpora stavového kódu 305 Use proxy?)
-
Prosím Vás,
jaký je nejefektivnější (příp. nejlevnější) způsob, jak spojit klasicky router, ktery ma par der na utp kabely a wifi s anténou, která má takový ten koaxiální konektor??
H.
-
Jasně, stačí koax z antény nakrimplovat na RJ45 konektor tak, aby střední vodič koaxu byl na třetím pinu zleva RJ45 (při pohledu zespodu) a stínění na obou krajních pinech ;D.
Ale teď vážně. Musíte tam vrazit počítač, který bude mít dvě síťové karty - jednu na drátový ethernet a druhou bezdrátovou. Pak už se konfigurace liší podle toho, co chcete, aby ta anténa dělala - např. AP, klienta, repeater, monitor, nebo něco jiného.
-
zdar chlapi ! rada z jineho pohledu: v hospode nechat WiFi bez hesla, hosty to zbytecne prudi, a v dnesni dobe kazdej hladovej a ziznivej krk dobrej :)
Přesně tak, nechat to otevřené a oddělit od firemní sítě.
důvody:
Obsluha restaurace má svoje problémy a nejsou to ajťáci;
Připojení linuxových nb na různé šifrované sítě je taky pěkná loterie;
Pokud jsou hosté i firemní klientela - obchodní cestující :-), tak je nejvíce vytočí omezené porty (třeba na naši firemní síť se Secure Gateway od Citrixu nepřipojí přes Swisscom veřejné wifi AP - projde jen 80 a 443. Vtipné je to zjistit po té, co zaplatíte 25 CHF za 24 hod "přístupu na internet"...)
-
Připojení linuxových nb na různé šifrované sítě je taky pěkná loterie;
Já jsem tedy zatím viděl největší problémy ve Windows. Respektive u nás ve škole se mi jako jedinému podařilo připojit na WiFi s 802.1x ověřováním přes RADIUS.