Cytuj:
Ja od jakiegos czasu mam u siebie w firewalu takie oto wpisy:
Nie mam czasu sprawdzać praktycznie, ale...
Rozumiem, że to rozwiązanie bazuje na sprawdzaniu MAC, wszystko fajnie by było, ale pamiętajmy, że my mówimy (piszemy) głównie o sieciach radiowych. W sieciach LAN kwestia podpinania się na lewo z reguły ma marginalne znaczenie. Administratorzy tych sieci mają większe problemy niż zagrożenie podpięciem się kogoś do sieci. Zaś w przypadku sieci radiowych (opisywał to Hackin9 i ostatnio Chip) sprawa wygląda zupełnie inaczej. Najpierw się nasłuchuje sieć, wyławia się IP oraz MAC, zbiera się pakiety pozwalające na ewentualne rozszyfrowanie WEP, a potem dopiero podmienia się MAC swojej karty i ustawia IP oraz domyślny routing i podłącza do cudzej sieci. Taki skrypt tu nie pomoże. A co pomoże?
1. Cillispot i radius. Sieć pracuje na interfejsie tun0. W momencie uruchomienia tworzona jest klasa userów i po zalogowaniu user jest przypisywany do tej klasy. Wszyscy pozostali mają tylko jedną drogę do IP serwera na port 3990 do logowania. Co to daje? Mozna podsłuchać pakiety, można chyba też złamać szyfrowanie WEP jeśli jest stosowane, gorzej już ze złamaniem hasła dostępu, bo przesłanie tego hasła to krótki moment i na dodatek hasło jest kodowane przy użyciu HTTP Digest. Zatem potencjalny włamywacz nawet włączając sniffer może co najwyżej przechwycić indywidualne dane jakichś userów, ale nie dostanie się do sieci. Jest to rozwiązanie zapewniające prawdziwe bezpieczeństwo sieci, jeśli na dodatek użytkownicy będą stosowali bezpieczną pocztę i sftp, to szanse wycieku haseł sa bliskie zeru. Uważam, ze to jest zdecydowanie najlepsze rozwiązanie i najbezpieczniejsze.
2. Pppoe. Nie lubię tego rozwiązania i nie testowałem osobiście. Wiem, że oznacza ono tworzenie wirtualnego pppoeX dla każdego użytkownika, znane mi są problemy z tym związane i dlatego przygotowanie tego rozwiązania wykluczyłem w przypadku małych sieci.
3. Arpalert, rozwiązanie bez logowania, nie wymagające nic od końcowego użytkownika. Zaletą jest to, że MAC włamującego pojawia się już na etapie nasłuchiwania i już w tym momencie arpalert wysyła go na drzewo. Podsłuchiwanie staje się utrudnione i ewentualne włamanie też.
4. Ip-sentinel. To rozwiązanie należy przetestować, ponieważ zapowiada się jeszcze lepiej niż arpalert. Nie wymaga nic od końcowego użytkownika. Ewentualny włamywacz zostanie rozpoznany natychmiast po pojawieniu się MAC w sieci. Na dodatek nie tylko jest blokowany ale ip-sentinel wysyła mu tak durne informacje, że interfejs sieciowy napastnika całkowicie głupieje. Snifowanie pakietów chyba będzie niemożliwe, bo ip-sentinel wysyła np. fałszywe ip i fałszywe mac. Zabezpieczenie chyba bardzo skuteczne, o ile faktycznie rozgryziemy program. Ja dziś będę testował.
Zaloguj się
Zarejestruj się
FAQ
Szukaj
a przy potwierdzeniu działania u innych ludzi powstała by paczka pod NND. Tym którzy nie mają możliwości ściągnięcia źródeł programu i kompilowania od zera podaję przepis do testowania:
pen vpn
