Zabezpečení WiFi sítě s autorizací přes WWW

ondra.novacisko.cz

Zabezpečení WiFi sítě s autorizací přes WWW
« kdy: 27. 02. 2010, 16:29:53 »
Zdravím.

Mám v baráku instalovanou wifi. Nechci používat šifrování wep, wpa, ani nic takového z několika důvodů
1) některá zařízení nepodporují wpa
2) wep není problém rychle cracknout (vyzkoušeno)
3) šifrování vnitřní komunikace stejně postrádá smysl. Interně používám ssh, internet je od routeru dál nešifrovaný (taky po wifi)

Jediný, co potřebuju zajistit je, aby se nikdo nemohl přes moje AP připojit k internetu. Veškeré známe metody lze obejít, jako třeba MAC filter (opět vyzkoušeno). Zatím jsem zvolil přihlašování na VPN, konkrétně PPTP. To funguje dobře, tedy internetové spojení dostanu až v okamžiku, kdy se na PPTPd autorizuju přihlašovacím jménem a heslem. Přišlo mi to jednodušší, než instalovat OpenVPN, protože né každé zařízení OpenVPN umí (PPTP Windows mobile zvládnou).

Jenže se stejně objevil problém, že mám telefon, který umí wifi a web, ale už nezvládne žádnou formu VPN. Takže přes něj se na internet prostě nedostanu. Obdržím vždycky jen uvítací stránku na serveru.

A otázka: Na některých serverech jsem viděl, že mají jednoduchý způsob autorizace pomocí webového formuláře. Při napsání jakékoliv adresy do prohlížeče jsem byl nejprve přesměrován na přihlašovací stránku. Po vyplnění jména a hesla jsem ihned měl přístup na internet, dokud jsem se neodpojil. Dokud to nebylo vyplněný, komunikace nebyla možná ani po standardním TCP/IP (čili není to proxy). Po autorizaci se otevřela veškerá komunikace ven.

Nevíte, kde bych našel něco podobného implementováno pro linuxový server? Vůbec mě nenapadá, jak bych to programoval.
« Poslední změna: 20. 03. 2010, 09:06:33 od Petr Krčmář »



Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
« Odpověď #2 kdy: 28. 02. 2010, 11:05:39 »
Tohle řešení je taky poměrně snadno prostřelitelné, stačí odposlouchávat síť a počkat si na letící heslo. Faktem ale je, že to používá třeba hodně hotelů pro přístup hostů.

ondra.novacisko.cz

Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
« Odpověď #3 kdy: 28. 02. 2010, 11:32:49 »
A to i v případě, že se použije https?

Pokud vím, právě to prvotní přesměrování jde na https, tedy když napíšu www.seznam.cz, tak dostanu redirect treba na https://localdomain/login?returnTo=http://www.seznam.cz a po vyplnění formuláře se to vrátí na seznam.

Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
« Odpověď #4 kdy: 28. 02. 2010, 11:34:57 »
HTTPS by to samozřejmě řešilo a pak je to v pořádku. Já jsem to ale zatím vždycky viděl na HTTP.


PCnity

  • *****
  • 685
    • Zobrazit profil
    • E-mail
Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
« Odpověď #5 kdy: 19. 03. 2010, 18:00:35 »
Taketo riesnie mala aj jedna kaviaren v BA. Ale sranda bola ze to vlastne len pridalo IP:MAC adresu do nejakeho zoznamu povolenych.

Pretoze po 3 min sniffingu som bol na nete bez jedineho problemu.

spigy

Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
« Odpověď #6 kdy: 19. 03. 2010, 19:37:52 »
Taketo riesnie mala aj jedna kaviaren v BA. Ale sranda bola ze to vlastne len pridalo IP:MAC adresu do nejakeho zoznamu povolenych.

Pretoze po 3 min sniffingu som bol na nete bez jedineho problemu.

asi viem o ktorej kaviarni hovoris :)
ano, tam je to riesene tym sposobom, ze po prihlaseni sa len povoli dana mac adresa

overene naklonovanim mac adresy

PCnity

  • *****
  • 685
    • Zobrazit profil
    • E-mail
Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
« Odpověď #7 kdy: 19. 03. 2010, 19:46:54 »
Len taky brainstorming...

Co ine by sme mohli povolit/zakat po prihlasovani cez https?
Riesenie s povolenim zoznamov IP:MAC je jednoduche ale strasne lahko obiditelne...

Nech ako kolvek rozmyslam... Nic ma nenapada.

Asi by som to realizoval systemom PPPoE + velmi shapenuta linka public :) ale aj tak moze byt viazana pkombinaciou IP, MAC.

Cize zariadenia ktore si s vyssimy druhymi zabezpeceni neporadia by sa aspon s nejakou smiesnou rychlostou na net dostali. Navyse ked uz nieco nevie VPN, asi to nepotrebuje silnu linku :)

Daniel Čech

Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
« Odpověď #8 kdy: 19. 03. 2010, 20:06:28 »
Řešením, které hledáš by měl být Radius server, ale nikdy jsem to nezkoušel nastavit, ačkoli mně to taky dost zajímalo.

MarSarK

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #9 kdy: 22. 04. 2015, 12:40:08 »
Správným řešením je implementace 802.1x a Radius serveru - konfigurace s DB backendem je relativně snadná. Uživatelé a jejich atributy (jako třeba VLAN) atd. jsou pak načítány třeba z MySQL.

Dzavy

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #10 kdy: 22. 04. 2015, 13:05:35 »
To by me zajimalo co za vrak dneska neumi WPA?

A jinak teda Radius, ale pokud to neumi WPA, tezko to bude umet Radius. Captive portal opravdu funguje vetsinou na principu iptables...

i.cz

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #11 kdy: 22. 04. 2015, 13:24:01 »
Na mikrotiku je moznost pouzit hotspot pres https a cookie v prohlizeci. Pokud se zavre prohlizec, dropnou se i otevrena spojeni.
Uzivatele pak staci mit lokalne primo na MK..

Ondrej

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #12 kdy: 22. 04. 2015, 15:18:08 »
Podle mě se snažíte nahradit standardní řešení (WEP, WPA) nestandardním řešením (captive portal). V obou případech musíte znát heslo, ale s captive portalem si navíc přiděláte problémy - třeba se stahováním mailů (bez přihlášení přes tu captive stránku si mail client nic nestáhne) apod. Jinak šifrovat domácí síť má smysl, jinak své okolí přímo vyzýváte, aby vám někdo odchytával komunikaci. I kdyby to dělal jen pro srandu, je to minimálně nepříjemný průnik do soukromí. Samozřejmě i šifrování prolomíte, ale je tam alespoň nějaká bariéra.

Lol Phirae

Re:Zabezpečení WiFi sítě s autorizací přes WWW
« Odpověď #13 kdy: 22. 04. 2015, 15:30:16 »
To by me zajimalo co za vrak dneska neumi WPA?

Taky nechápu. Místo vymýšlení krávovin vyhoď totální šrot.

Lol Phirae

Re: Zabezpečení wifi sítě s autorizací přes WWW rozhraní
« Odpověď #14 kdy: 22. 04. 2015, 15:32:43 »
Pokud vím, právě to prvotní přesměrování jde na https, tedy když napíšu www.seznam.cz, tak dostanu redirect treba na https://localdomain/login?returnTo=http://www.seznam.cz a po vyplnění formuláře se to vrátí na seznam.

Ne, dostaneš chybovou hlášku prohlížeče jako kráva, že certifikát nesouhlasí a útočník ti vykrade účet, vychlastá pivo v ledničce, zprzní dceru a prodá ji ručníkářům. Tím celá myšlenka s HTTPS končí. Pokud není prvotní request nešifrovaný, tak to je nepoužitelné, pokud tam nehodláš lézt neustále ručně.