Zabezpečení Wi-Fi pro hospodu

[LWQ]

Sakra, zas se nemuzu prihlasit - ta pamet 

Pouzij Mikrotik RouterBoard - napriklad RB433AH. Ma to 3 eth - tedy jedna na WAN, dalsi do sviste pro kabelove pripojeni a treti jako rezerva. Dale 680MHz CPU (je i levnejsi varianta s 300MHz CPU, ale tohle "pobere" vse) a 3 miniPCI pro bezdratove karty, kdy se jde vyradit bud jen jednim sektorem a nebo i vice. Konfigurace je prosta a rychla pomoci WinBoxu pres WINE ci pres sshcko. Je to sice komercni, close-source, ale za to provereny a profesionalni reseni. (nerikam, ze tux ne, ale v siti, kde jsou stovky techto zarizeni nikdo nebude resit tuxe v jeho ruznorodosti ...)

Jde vymyslet i levnejsi variantu. A samo - alix je skvela platforma a s openwrt umi na co si vzpomenes, ale treba i to skriptovani (v jazyku LUA) umi i MK. A zaroven jde na Alixe naplachnout RouterOS od MK, nebot je to x86.

Nejlevnejsi moznost je asi RouterStation od UBNT, na to lejet MIPS Debian ci to openwrt a jedem - ale - budes si s tim hrat, kdyz na MK to nastavis a davno uz popijis tekutou odmenu, kdy na openwrt budes nastavovat ...

http://wifi.aspa.cz/routerboard-k9648/desky-k9649/?razeni=cena1

MOznosti jsou siroke, zdroje jsou ...

JID: lwq@jabbim.cz 

[Reklama]

[Jenda]

Autentizace přes webový formulář už z principu není bezpečná. Chceš-li bezpečnost, pak RADIUS, nechceš-li, pak to nech otevřené.

V čem je z principu nebezpečná?

No, tak ten princip je v tom, že všechna data létají vzduchem nešifrovaná (samozřejmě se dá šifrovat na aplikační úrovni - třeba SSH tunel domů - ale kdo to bude dělat). Dále AP po autentizaci identifikuje klienta či klientku jenom pomocí MAC (nic jiného nemá k dispozici), takže si zlý člověk může nastavit MAC na cizí a tím se připojit za nějakého nešťastníka či nějakou nešťastnici. A pak jsem narazil na spoustu implementačních chyb - například jsem ještě neviděl implementaci, která by neautentizovanému subjektu blokovala DNS dotazy ven.

[ondra.novacisko.cz]

No, tak ten princip je v tom, že všechna data létají vzduchem nešifrovaná (samozřejmě se dá šifrovat na aplikační úrovni - třeba SSH tunel domů - ale kdo to bude dělat). Dále AP po autentizaci identifikuje klienta či klientku jenom pomocí MAC (nic jiného nemá k dispozici), takže si zlý člověk může nastavit MAC na cizí a tím se připojit za nějakého nešťastníka či nějakou nešťastnici. A pak jsem narazil na spoustu implementačních chyb - například jsem ještě neviděl implementaci, která by neautentizovanému subjektu blokovala DNS dotazy ven.

Jo jistě, ale zrovnatak můžete přihlášení udělat HTTPS a pustit je ven jen přes Proxy. Záleží na tom, co všechno chcete těm lidem povolit. Uvažme, že chcete dát BFUčkům možnost podíivat se v hospodě na facebook, a nikoliv pustit tam torrent klienta.


(BTW: Nevíte, jaká je v prohlížečích podpora stavového kódu 305 Use proxy?)

[Jan Kadera]

Prosím Vás,
jaký je nejefektivnější (příp. nejlevnější) způsob, jak spojit klasicky router, ktery ma par der na utp kabely a wifi s anténou, která má takový ten koaxiální konektor??
H.

[Jenda]

Jasně, stačí koax z antény nakrimplovat na RJ45 konektor tak, aby střední vodič koaxu byl na třetím pinu zleva RJ45 (při pohledu zespodu) a stínění na obou krajních pinech  .

Ale teď vážně. Musíte tam vrazit počítač, který bude mít dvě síťové karty - jednu na drátový ethernet a druhou bezdrátovou. Pak už se konfigurace liší podle toho, co chcete, aby ta anténa dělala - např. AP, klienta, repeater, monitor, nebo něco jiného.

[Reklama]

[MilanK]

zdar chlapi ! rada z jineho pohledu: v hospode nechat WiFi bez hesla, hosty to zbytecne prudi, a v dnesni dobe kazdej hladovej a ziznivej krk dobrej

Přesně tak, nechat to otevřené a oddělit od firemní sítě.
důvody:
Obsluha restaurace má svoje problémy a nejsou to ajťáci;
Připojení linuxových nb na různé šifrované sítě je taky pěkná loterie;
Pokud jsou hosté i firemní klientela - obchodní cestující :-), tak je nejvíce vytočí omezené porty (třeba na naši firemní síť se Secure Gateway od Citrixu nepřipojí přes Swisscom veřejné wifi AP - projde jen 80 a 443. Vtipné je to zjistit po té, co zaplatíte 25 CHF za 24 hod "přístupu na internet"...)

[Jenda]

Připojení linuxových nb na různé šifrované sítě je taky pěkná loterie;

Já jsem tedy zatím viděl největší problémy ve Windows. Respektive u nás ve škole se mi jako jedinému podařilo připojit na WiFi s 802.1x ověřováním přes RADIUS.