Zabezpečení WiFi sítě s autorizací přes WWW

flack

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #15 kdy: 22. 04. 2015, 15:42:29 »
Taktiez nieco potrebne by som potreboval "nasadit" ,ale zatial som sa k testovaniu nedokopal.

Ako uz to niekto povedal potrebujes Captive Portal/Walled Garden. Ja by som to potreboval nasadit na "edgerouter" bezi to na debiane takze by nemal byt problem.

-Ako Captive portal chcem pouzit coovachilli http://coova.org/CoovaChilli
-Freeradius vytvori pppoe spojenie a to je sifrovane, podla toho co viem si potom schopny tam definovat meno, heslo, ipadresu, limity?
-ako backend pre freeradius nejaku DB. napr. MySQL

Malo by sa to chovat potom tak ze ked sa pripojis do siete otvoris web-browser privita ta "login" stranka, prihlasis sa s platnym menom/heslom

Ale ci to presne funguje takto netusim. Zatial sa motam len okolo teorie. Kazdopadne na tuto kombinaciu by ma potesilo keby sa ozval niekto kto uz skusenost ma.


mhepp

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #16 kdy: 22. 04. 2015, 19:17:48 »
Ahoj,

otevřená síť je o něco lepší než špatně zabezpečená -- máš jistotu, že jí nemůžeš věřit. V podstatě skoro jakékoliv řešení, které jsi schopen doma nasadit není dobré a půjde nějak obejít. Řešením by bylo tunelovat veškeré spojení přes VPN, ale má to jednu nevýhodu -- Tebou použité pptp je díky použitému MSCHAPv2 odposlechnutelné. Nepředpokládám, že budeš chtít investovat do certifikátu od důvěryhodné CA a že si budeš pamatovat otisk své CA. Potom se můžeš dočkat MITM útoku, ani nebudeš vědět.

Reálné řešení bych viděl v tom, že bys měl dvě nezávislé a oddělené WiFi. Jednu šifrovanou pro běžná zařízení a druhou, otevřenou, pro ten kriplkrám. Mimochodem, docela by mne zajímalo jakéže je to zařízení, které nezvládá WPA2? Viděl bych to na něco cca 10 let starého a určitě něco hodně speciálního, protože většina zařízení z této doby, která nezvládají WPA2, ani nezvládají 802.1g.

Jenda

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #17 kdy: 22. 04. 2015, 19:37:58 »
Jediný, co potřebuju zajistit je, aby se nikdo nemohl přes moje AP připojit k internetu. Veškeré známe metody lze obejít, jako třeba MAC filter (opět vyzkoušeno).
Jmenuje se to captive portal a taky to používá MAC adresu, je to tedy podobně účinné jako MAC filtr. Ostatně jak jinak bys chtěl na open wifi rozlišovat zařízení?

Vůbec mě nenapadá, jak bych to programoval.
Většinou se do iptables přidá redirect portu 80 na přihlašovací stránku, kde je skript, který po kontrole jména a hesla tento redirect (pro danou IP/MAC) odstraní.

kolemjdoucí

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #18 kdy: 23. 04. 2015, 15:33:40 »
Používám na telefonu opera mini.
Furt mi bylo divné, proč nemohu v mcdonalds serfovat.
Až jednou jsem použil nějaký jiný prohlížeč a hle, byl jsem přesměrován na lokální web, kde jsem musel kliknout na button "internet" nebo tak něco.
Potom už mi to šlo i v opera mini.
Pro mne by toto řešení doma bylo neskutečný opruz.

MarSarK

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #19 kdy: 23. 04. 2015, 16:14:42 »
Zařízení, které mívají problém třeba i s WPA jsou různé ruční čtečky čarových kódů, skladové terminály a takovéto specialitky - běží tam staleté Windows CE atd. Řeší se to tak, že se pro ně udělá speciální SSID s třeba s WEP, ověřováním MAC adresy té specialitky ještě jsou zařazeny do speciální VLAN ze které nemohou jinam než k nějakému koncentrátoru se kterým komunikují. Pro běžný uživatelský access se pak udělá SSID s 802.1x.

Jinak (pokud se nepletu) třeba stařičká Cisco AP1120 kromě WEPu neumí nic, ale v součinnosti s radius serverem docela obstojně šifrují.