Příspěvky

7576

Sítě / Re:Bezpečnost WPA2-PSK s „veřejným“ heslem

« kdy: 02. 11. 2012, 22:38:45 »

Protože obecně vzato taková závislost neexistuje, znalost autentizačního klíče nemusí mít žádný vliv na schopnost dešifrovat session key.

No obecně ne, ale u WPA-PSK zjevně ano.

Já se přiznám, že jsem se pod dojmem téhle diskuse pokoušel najít nějaké materiály o key exchange v WPA2-PSK, ale nenarazil jsem na nic dostatečně podrobného, abych si mohl udělat vlastní závěr. Z jakého materiálu vycházíte ve svých tvrzeních vy?

Mně osobně přijde fakt dobře (stručně, ale výstižně) napsaný to, co už jsem odkazoval: http://www.logichotspot.com/index/networks-convenience-security-control/on-wap2-personal-security-from-steve-gibson/

Předtím jsem se letmo díval na nějaké specifikace, ale to zas bylo příliš podrobné a nebyl jsem si jist, jestli udělám správný závěr, proto tahle diskuse.

Plný text standardu: http://standards.ieee.org/getieee802/download/802.11i-2004.pdf

7577

Sítě / Re:NetBIOS/WINS a síť dělená na subnety

« kdy: 02. 11. 2012, 18:51:48 »

Na to sluzi prave UPNP, Avahi a dalsi bordel, ci nie?

Otázka je, co z toho Windowsy umí využít a využívají.

7578

Sítě / Re:Netbios/wins + sit delana na subnety

« kdy: 02. 11. 2012, 17:48:58 »

Rozdíl je v tom, jestli se mi chce obíhat všechny zařízení připojené v síti a na nich konfigurovat všechny protokoly které používají broadcast nebo ne. Některé protokoly jsou dokonce tak debilní že se u nich broadcastu vyhnout nejde.

No proto jsem se ptal, o jake broadcasty jde, kdo je produkuje a proč tomu nejde zamezit.

ARP cache není všemocná. Když jsou počítačů v jednom síťovém segmentu tisíce, je to problém.

Ano, to jsem říkal. Vy teda máte na jednom segmentu tisíce počítačů a chcete to řešit vlanama? V situaci, kdy tam máte broadcastery, které neumíte/nechcete umlčet? Tak teda hodně štěstí

Pletete se v tom že se rozparcelováním sítě zvýší počet broadcast paketů. Možná se zvýší v součtu, ale v každém segmentu se počet broadcastů naopak sníží. Takže přestanete broadcasty otravovat spoustu koncových zařízení (tedy průměrný počet přijatých broadcast packetů na každém síťovém sozhraní se sníží) a sníží se zahlcování kapacity toho L2 segmentu - to vše je veskrze pozitivní.

Ano, to jsem taky říkal - počet paketů "putujících sítí" (tj. na fyzické vrstvě) se zvýší. Počet paketů, které dojdou na konkrétní rozhranní, se může snížit.

Čeho se má dosáhnout tím možným snížením počtu paketů, které doputují na některá konkrétní rozhranní?

To este niekto potrebuje NetBios (na nieco)? Na co sa to dnes vlastne pouziva???

Možná ještě na nějaké domácí sítě pro autodiscovery je to potřeba ne? Nebo už ani tam ne?

7579

Sítě / Re:Bezpečnost WPA2-PSK s „veřejným“ heslem

« kdy: 02. 11. 2012, 13:58:49 »

Projel jsem si požadavky a musím říct že navrhované řešení (použít private-pre-shared-key - "psk per client") NENÍ odpovědí.
Pokud totiž člověk vyzradí heslo, tak JEHO komunikaci lze jednoduše dešifrovat.

Když vyzradí svoje heslo, tak je to jeho problém. Jde o to, aby nebylo jedno heslo společné pro všechny.

7580

Sítě / Re:Netbios/wins + sit delana na subnety

« kdy: 02. 11. 2012, 13:27:18 »

Rozumíte vůbec tomu co to znamená broadcast?

Snad trochu jo, díky za optání

Normálních broadcastů - např. takových kterými Windows hledají okolní Windows, pokud nepoužívají WINS. Nebo třeba taky ARP. Rozumíte vůbec tomu co to znamená broadcast? To je prostě packet který se pošle všem sousedům na stejné L2 síti, takže je všechny otravuje (zpracování něco stojí, musí se udělat nejméně na úrovni OS, možná až v aplikaci) a navíc to má i negativní dopad na síťovou propustnost.

Nevím, co to je "normální broadcast"

Co se týče netbios broadcastů, tak jak tady zaznělo, netbios na rozparcelované síti nefunguje, čili je potřeba ho stejně vypnout. Nebylo by jednoduší síť nedělit a jenom vypnout netbios? Byl by v dosaženém efektu nějaký rozdíl?

A co se týče ARP, tak pokud počítačů v síti není nějaké brutální množství a masivně nekomunikují každý s každým, tak množství ARP broadcastů nebude nijak závratné, protože každý počítač bude typicky potřebovat jenom adresu brány a ta se mu uvelebí v arp cache.

Ale hlavně ať je to jak chce, počet broadcast paketů putujících sítí se rozparcelováním zvýší, protože ty samé informace budou běhat pro každou vlanu zvlášť. Snížit se může jenom počet paketů, které přidjou na konkrétní rozhraní - a to ještě jenom za určitých podmínek (viz výš). Zajímal by mě zamýšlený efekt takového kroku.

Pletu se v něčem?

7581

Sítě / Re:Netbios/wins + sit delana na subnety

« kdy: 02. 11. 2012, 11:54:28 »

to bylo cilem, snizit broadcasty v siti tim ze to rozdelime na L2 domeny

Jak přesně by mělo rozdělení na VLANy snížit počet broadcastů? Jakých broadcastů a kde?

7582

Sítě / Re:Bezpečnost WPA2-PSK s „veřejným“ heslem

« kdy: 02. 11. 2012, 09:13:46 »

Jedno z možností jak obejít to, že PSK se stane veřejným tajemnístvím, je použití WPA2 EAP (ale něco na bázi TLS nebo TTLS, kvůli zlomitelnosti MS-CHAP), což asi nechcete pro složitost na straně klienta v nastavení..

Je to tradeoff bezpečnost vs. snadnost použití. Proto zjišťuju, jestli není ještě nějaká střední cesta. Rozhodnutí ještě nepadlo, EAP je pořád možnost.

Druhá možnost, pokud to má být pro klienta co nejjednodušší, je zvolit vhodné AP. Některá umí, že každý klient má své vlastní WPA PSK heslo. Podívejte se na krabičky Mikrotik RouterBoard. Pokud je použijte jako wifi AP, tak se dá nakonfigurovat,že mám jedno SSID, na něj se připojuje X lidí a každý člověk má jiné PSK. Pokud lidí není moc, jak je psáno, tak také vatrianta. Na AP pak vedete seznam MAC adres a jaké heslo přidělíte jaké MAC (/interface wireless access). Dalším plusem, že dané krabičky umí vyřešit i tu záležitost vyšší vrsty ověření formulářem atd (hotspot mód), takže by zvládly i tu část záležitosti.

Bude to postavené na RB751G-2HnD. V původní otázce jsem to nepsal, protože to pro ni nebylo relevantní. Tohle řešení jsem vybral mj. právě proto, že je tam spoustu věcí hezky vyřešeno (právě ta webová autentizace, accounting, monitoring, provisioning, ...). Z hlediska software se mi Mikrotiky hodně líbí a hardware taky myslím není úplně špatný. Poměr cena/výkon je imho super.

Ta různá WPA PSK hesla, to by bylo přesně to, co potřebuju! Tisíceré díky za nasměrování Co mám v dokumentaci Mikrotiku hledat, abych se dozvěděl víc?

7583

Hardware / Re:Pocitacove zalohovacie pasky a mechaniky

« kdy: 02. 11. 2012, 07:32:59 »

Hm, to byste koukal, v cem treba ja dokazu udelat bordel.... :-)

Naše děcka mají ve školce všechny svoje věci označený nějakým obrázkem, třeba jahůdkou. Bacula pásky pojmenovává, takže by uměl operátora vyzvat "Vlož pásku jahůdka". Chce to jenom sehnat správný set dostatečně odlišných obrázkových nálepek.

7584

Odkladiště / Re:Literatura a články o linuxovém jádře

« kdy: 01. 11. 2012, 18:22:08 »

Potrebuji hlavne co nejdetailnejsi popis jadra z pohledu sitove komunikace (tedy kompletni architekturu vcetne filtrovani - netfilter, ...).

Mozna by to chtelo upresnit, o co se ti jedna. Jestli o reseni otazky, co, jak a proc se obecne v OS nejak implementuje, nebo te opravdu jenom zajima, jak je to v Linuxu.

Pokud to druhy, pochybuju, ze k tomu nejaka poradna a aktualni literatura bude - beztak nejlepsi cesta bude si prostudovat zdrojaky...

Pokud spis to prvni, tak k tomu je literatury vic - viz Amazon... Tanenbaum, Stallings, McKusick, ...

7585

Desktop / Re:Cestovní profily linuxového desktopu

« kdy: 31. 10. 2012, 22:50:50 »

To "symlinkování na server" nějak pořád nechápu, ale to je fuk

Asi by to chtělo především pořádně si rozmyslet, čeho vlastně chceš dosáhnout. Pokud jde jenom o laptop pro jednoho uživatele, tak tam není problém jeho účet + případně pár skupin zadat i ručně a soubory synchronizovat rsyncem nebo nějak podobně.

Jinak takhle obecně mě žádná lepší rada nenapadá, dám prostor ostatním...

7586

Desktop / Re:Cestovní profily linuxového desktopu

« kdy: 31. 10. 2012, 20:59:04 »

Mne spíše zajímá, ta druhá část. A to je jak přenést uživatele, skupiny a jejich práva ze serveru na desktop, jestli to řešit symbolickým linkem k daným souborům,

Symlinkem odkud kam?

nebo raději synchronizací souborů? Vím, že i zde záleží na modelu, který chci provozovat, ale jestli jeden, či druhý způsob může při implentaci přinést nějaký nepředvídatelný problém?

Pokud to chceš pro desktop, tak bych dal klasicky LDAP a nevymýšlel kolo. Pokud pro laptop, tak LDAP by šel použít taky, ale je to trošku náročnější na konfirugraci a ladění...

7587

Desktop / Re:Cestovní profily linuxového desktopu

« kdy: 31. 10. 2012, 20:15:27 »

Obvykle je problém s nedostupností serveru u notebooků, protože je uživatel používá nejen v kanceláři, ale třeba i doma. Ne u desktopu, protože by vypadla síť...

U laptopů se samozřejmě musí pečlivěji zvažovat, co dát do houmu

7588

Desktop / Re:Cestovní profily linuxového desktopu

« kdy: 31. 10. 2012, 17:40:56 »

Jo a pak se uživatel bez připojeného síťového disku ani nepodává na web, ani nepřečte poštu.

To je pravda, ale pokud disk připojuje stejnou cestou, kterou se dívá na web, tak je to stejně jedno

7589

Desktop / Re:Cestovní profily linuxového desktopu

« kdy: 31. 10. 2012, 15:55:35 »

Ano, ale někdy je obtížné jim to vysvětlit: nagrabované CD apod. .

Jo, to důvěrně znám: paní XY, pročpak se vám ten profil načítá tak dlouho?

Problém může být taky s Firefoxem a Thunderbirdem, jejichž profily se synchronizují. U Thunderbirdu je to jasné - už jsem kolikrát řešil GiB profily (doporučuji nastavit automatickou údržbu složek, protože lidi promazávají, ale soubory se nezmenšují). U Firefoxu jsem narazil na problém, že databáze zkolabuje (corrupt) a vytvoří se nová. V profilu jich bylo 10 a dávalo to nějaké stovky MiB - zbytečně.

Oboje se dá přesunout do homu. Stačí do "Data aplikací/Mozilla/Firefox/profiles.ini" dát

Kód: [Vybrat]

[General]
StartWithLastProfile=1

[Profile0]
Name=nazevprofilu
IsRelative=0
Path=H:\Mozilla\Firefox\Profiles\nazevprofilu
Default=1

7590

Sítě / Re:Bezpečnost WPA2-PSK s „veřejným“ heslem

« kdy: 31. 10. 2012, 15:01:28 »

Z principu by to mělo probíhat v reálném čase, protože útočník necrackuje, útočník implementuje logiku AP a klienta.

To není z principu. To je z důvodu toho, že klient nemá žádné tajemství, které by nevyžvanil