Zabezpečení Wi-Fi pro hospodu

LWQ

Re: Zabezpečení Wi-Fi pro hospodu
« Odpověď #15 kdy: 20. 07. 2010, 11:47:01 »
Sakra, zas se nemuzu prihlasit - ta pamet  ;D

Pouzij Mikrotik RouterBoard - napriklad RB433AH. Ma to 3 eth - tedy jedna na WAN, dalsi do sviste pro kabelove pripojeni a treti jako rezerva. Dale 680MHz CPU (je i levnejsi varianta s 300MHz CPU, ale tohle "pobere" vse) a 3 miniPCI pro bezdratove karty, kdy se jde vyradit bud jen jednim sektorem a nebo i vice. Konfigurace je prosta a rychla pomoci WinBoxu pres WINE ci pres sshcko. Je to sice komercni, close-source, ale za to provereny a profesionalni reseni. (nerikam, ze tux ne, ale v siti, kde jsou stovky techto zarizeni nikdo nebude resit tuxe v jeho ruznorodosti ...)

Jde vymyslet i levnejsi variantu. A samo - alix je skvela platforma a s openwrt umi na co si vzpomenes, ale treba i to skriptovani (v jazyku LUA) umi i MK. A zaroven jde na Alixe naplachnout RouterOS od MK, nebot je to x86.

Nejlevnejsi moznost je asi RouterStation od UBNT, na to lejet MIPS Debian ci to openwrt a jedem - ale - budes si s tim hrat, kdyz na MK to nastavis a davno uz popijis tekutou odmenu, kdy na openwrt budes nastavovat ...

http://wifi.aspa.cz/routerboard-k9648/desky-k9649/?razeni=cena1

MOznosti jsou siroke, zdroje jsou ...

JID: lwq@jabbim.cz  8)


Jenda

Re: Zabezpečení Wi-Fi pro hospodu
« Odpověď #16 kdy: 20. 07. 2010, 13:26:35 »
Autentizace přes webový formulář už z principu není bezpečná. Chceš-li bezpečnost, pak RADIUS, nechceš-li, pak to nech otevřené.

V čem je z principu nebezpečná?
No, tak ten princip je v tom, že všechna data létají vzduchem nešifrovaná (samozřejmě se dá šifrovat na aplikační úrovni - třeba SSH tunel domů - ale kdo to bude dělat). Dále AP po autentizaci identifikuje klienta či klientku jenom pomocí MAC (nic jiného nemá k dispozici), takže si zlý člověk může nastavit MAC na cizí a tím se připojit za nějakého nešťastníka či nějakou nešťastnici. A pak jsem narazil na spoustu implementačních chyb - například jsem ještě neviděl implementaci, která by neautentizovanému subjektu blokovala DNS dotazy ven.

ondra.novacisko.cz

Re: Zabezpečení Wi-Fi pro hospodu
« Odpověď #17 kdy: 20. 07. 2010, 15:27:05 »
No, tak ten princip je v tom, že všechna data létají vzduchem nešifrovaná (samozřejmě se dá šifrovat na aplikační úrovni - třeba SSH tunel domů - ale kdo to bude dělat). Dále AP po autentizaci identifikuje klienta či klientku jenom pomocí MAC (nic jiného nemá k dispozici), takže si zlý člověk může nastavit MAC na cizí a tím se připojit za nějakého nešťastníka či nějakou nešťastnici. A pak jsem narazil na spoustu implementačních chyb - například jsem ještě neviděl implementaci, která by neautentizovanému subjektu blokovala DNS dotazy ven.

Jo jistě, ale zrovnatak můžete přihlášení udělat HTTPS a pustit je ven jen přes Proxy. Záleží na tom, co všechno chcete těm lidem povolit. Uvažme, že chcete dát BFUčkům možnost podíivat se v hospodě na facebook, a nikoliv pustit tam torrent klienta.


(BTW: Nevíte, jaká je v prohlížečích podpora stavového kódu 305 Use proxy?)

Re: Zabezpečení Wi-Fi pro hospodu
« Odpověď #18 kdy: 03. 08. 2010, 01:27:08 »
Prosím Vás,
jaký je nejefektivnější (příp. nejlevnější) způsob, jak spojit klasicky router, ktery ma par der na utp kabely a wifi s anténou, která má takový ten koaxiální konektor??
H.

Jenda

Re: Zabezpečení Wi-Fi pro hospodu
« Odpověď #19 kdy: 03. 08. 2010, 06:30:39 »
Jasně, stačí koax z antény nakrimplovat na RJ45 konektor tak, aby střední vodič koaxu byl na třetím pinu zleva RJ45 (při pohledu zespodu) a stínění na obou krajních pinech  ;D.

Ale teď vážně. Musíte tam vrazit počítač, který bude mít dvě síťové karty - jednu na drátový ethernet a druhou bezdrátovou. Pak už se konfigurace liší podle toho, co chcete, aby ta anténa dělala - např. AP, klienta, repeater, monitor, nebo něco jiného.


MilanK

Re: Zabezpečení Wi-Fi pro hospodu
« Odpověď #20 kdy: 03. 08. 2010, 18:19:20 »
zdar chlapi ! rada z jineho pohledu: v hospode nechat WiFi bez hesla, hosty to zbytecne prudi, a v dnesni dobe kazdej hladovej a ziznivej krk dobrej :)
Přesně tak, nechat to otevřené a oddělit od firemní sítě.
důvody:
Obsluha restaurace má svoje problémy a nejsou to ajťáci;
Připojení linuxových nb na různé šifrované sítě je taky pěkná loterie;
Pokud jsou hosté i firemní klientela - obchodní cestující :-), tak je nejvíce vytočí omezené porty (třeba na naši firemní síť se Secure Gateway od Citrixu nepřipojí přes Swisscom veřejné wifi AP - projde jen 80 a 443. Vtipné je to zjistit po té, co zaplatíte 25 CHF za 24 hod "přístupu na internet"...)

Jenda

Re: Zabezpečení Wi-Fi pro hospodu
« Odpověď #21 kdy: 04. 08. 2010, 11:09:41 »
Připojení linuxových nb na různé šifrované sítě je taky pěkná loterie;
Já jsem tedy zatím viděl největší problémy ve Windows. Respektive u nás ve škole se mi jako jedinému podařilo připojit na WiFi s 802.1x ověřováním přes RADIUS.