No primo to tu kradez MAC neresi, ale neprimo ano.
Z toho co si tu napsal dochazim k tomu, ze dotycny mozna krade MAC za ucelem skodit, ale stale je tam videt i umysl cerpat internet. Protoze jak si rikal tak kdyz mu inet nechas, ale priskrtis tak odskoci jinam. Tudiz musi brat net ucelove a tim padem musi poznat ze ubrala rychlost.
V reseni pomoci VPN vidim tu jednoduchost a hlavne to, ze se nedostane na inet coz povazuju za cil jeho chovani. Takze zacne skakat jako zbesilej po vsech moznejch i nemoznejch MAC, ale hlavne ani na jedny nevydrzi dlouho protoze tam nebude mit internet. takze nakonec zrezignuje. A dale kdyz bude odposlouchavat provoz tak tam z velky casti uvidi jen to ze mu tam litaji GRE packety mezi uzivateli a AP coz mu bude tak nejak na pikacu. Pak zalezi jak hodne si to propracujes, ale vidim realne i to, ze AP pak bude sice pomoci DHCP prirazovat IP ale DNS server a vychozi branu uz vubec nemusi priradit. Nevim ale pripada mi to rychly, jednoduchy a hlavne hodne ucinny.
Ted trochu odbocim, ale u nas jsou nekteri novi uzivatele nesvi kdyz pri pristupu nic "nevytaceji" jako na dial upu. Nejak nemuzou pochopit ze jejich PC je na internetu jiz od startu a stele maji snahu se nekam pripojovat. A VPN by jim tohle "pripojovani" nahrazovala. V 98 to dokonce vypada uplne stejne jak dial up vytaceni. Ale tohle je jen pro usmev.
Dale se tim da krasne oddelit intranet od internetu. Nekdo nezaplati prispevek na internet ? Tak se mu zablokuje jednoduse ucet na VPN a hotovo,ale do intranetu bude stale moct. Tedy pokud pomoci VPN budes resit jen internet.
Akorat treba u toho monowalu mne stve to omezeni na 16 portu VPN. Ale zase se da prez SVG graf koukat na vsech 16 portu jednotlive. (o monowallu se tu rozepisuji pro to, ze jsem linux lama a win sou na branu uplne na prd)
Urcite by to, ale nevyresilo kradez AP za ucelem ziskani sitoveho mostu mezi dvema "utocniky".
Treba na HW ap D Link 700 staci znat jen WEP a SSID. A to AP pak maka jako most i kdyz utocnik pouzije uplne jiny IP adresni rozsah nez ma ta vlastni 700. A dokonce to ta 700 posle klidne i do kabelu a je ji to jedno.
Napadlo mne zabezpeceni resit i treba necim jednoduchym ale co by nikdo necekal, ze bude v siti pouzito.
Treba takovej FLEX 32 na packet radio. Ten se nainstaluje ke klientovy a pomoci nej se vytvori virtualni sitovka. FLEX 32 pak vsechno vezme zabali do AX25 a posle do AXIP linky. Takze se to vlastne zabali do AX25 a to AX25 se zase zabali do TCP IP proste pozorovatel z veku v tom bude mit totalni chaoz
Cely se to da pak pekne smerovat prez packet NODy (treba X NET) ktery pobezi normalne na linux AP a posilat do brany ktera to zas prevede na klasicky TCP IP a na ktery se daji i krasne delat pristupova opravneni.
Ale tohle je uz spis fantasmagorie.
FLEX 32 je snad totiz vazanej jen na pouziti v AMA Packet Radiu a hlavne by clovek musel trochu proniknout do taju PR. Ale nerikam ze je to neschudna cesta. Navic Linuxy maji snad podporu PR rovnou v sobe. Nebo alespon mely starsi jadra.
I konfigurace neni tak slozita. Onehda sem prez PR takhle testoval pristup na internet. Ale byl to vazne jen test protoze CB PR umi jen 1200 bd . A taky nevim jakou rychlost by zvladlo jadro ve Flexnetu a na X NETovych NODech. Rozchodit to vsak slo docela jednoduse i kdyz v te dobe sem o TCP IP a routovani nemel ani tuchy.
No to bylo jen odboceni.
Proste mu vem duvod bourat tu sit. Dle toho co si tu psal si fakt myslim ze jde po inetu i kdyz by ho mohl mit za 300,-
Nekteri lide jsou schopny umlatit cloveka pro 20,- takze se nedivim ze mu mozna pripada i tech 300,- hoodne moc.
To sebrani duvodu se fakt da vyresit snadno prez tu VPN.
No a kdyz by i pak tohle prolomil (netusim jak) tak se fakt sejit a tvrde hledat a pak "znicit krtka"
Nic jineho by stejne nepomohlo.
Není potřeba VPN, co zprovoznit hlášení do domény? Prostě každý uživatel bude mít na serveru účet a server ho bude ověřovat. Pokud ho neověří, tak nebude připuštěn :-)
No tuhle cestu jsme uz taky zkousely. Mozna sme to brali za spatny konec, ale byly s tim vecne problemy. Dopadlo to tak ze do domeny se hlasim jen ja
Je proble i v nastaveni domeny u klientu. Zase opakuji ze sme to mozna delali blbe, ale musel se vzdy vytvorit novy profil. Takze tezkosti s prevodem aplikaci, dat z dokumentu a treba i blbyho pozadi. Jde to ale je to zdlouhave. Navic vzdy se pri tom neco podelalo a prace ani ne na 15 min se zmenila na 2 h boj s Win.
Dale pokud blbla komunikace se serverem tak se dotycny nemohl dostat ani do PC. Takze se pak musel delat novy lokalni profil a cely to vedlo k tomu ze lidi pak meli chaoz v profilech. Domena na metalickych sitich jo, ale na WIFI? Ja uz bych do ni nikdy nesel
No ale ja nerikam ze to nejde s tou domenou. Jen rikam, ze uzivatele jsou jen uzivatele. Takze na 80 % cekat ze maji film nebo fotky na plose. a i kdyz jim reknes ze takhle ne tak to stejne za chvili zase tak udelaji. Dale to kopirovani nastaveni ze staryho profilu. To byl prave ten problem. Vetsinou se tim nejakej program ci aplikace ze*raly a pak tam clovek musel sedet jak posuk a badat a badat. (vzdy to byla nakonec blbost)
Dale pokud padl server tak se neslo logicky prihlasit. Ale ani do vlastniho PC. Navic W 95 a W 98 jsou s domenou o nicom. A co linux? Ten uz asi vubec.
A hlavne. Je tam pak potreba server. Server s WIN. A to asi ne e.
Z hlediska radiusu. No prosim taky bych to povazoval za reseni, ale zase. Beru to dle sebe. Povazuju se za lamu v sitarine. I kdyz sem se jiz mnohokrat presvedcil, ze jsou jeste daleko horsi pripadi a stejne jsou schopni tvrdit ze jsou pocitacovi odbornici.
Pro mne je tedy docela dost nerealne rozchodit nejaky Radius, ale nepopiram ze je to treba jen psychicky blok. Dle mne je radius neco velmi sloziteho. Pri pokusech to vubec rozjet sem vzdy narazil. Pak sem se poohledl po VPN i kdyz sem k ni byl taky skepticky. Rozjel sem ji pod monowallem i na win serveru a makala na 1. pokus.
Takze beru to tak, ze VPN je to nejlehci a zaroven hodne ucinny reseni jak tenhle problem vyresit. Mam na mysli VPN hned na AP a ne ji tahat zbytecne nekam po vnitrni siti daleko.
Radius je asi taky ucinne reseni, ktere asi resi moznost zneuziti AP jako mostu, ale uz sou na to dle mne potreba nejaky znalosti a z hlediska meho je to zatim dost zbytecne slozite reseni (mohu se plest)
Domena. Nevim, ale o tomhle bych fakt neuvazoval.. Co vim tak domena je win reseni, takze dost jednoucelovy a dost zavisly na spojeni. Na dobrym spojeni. To uz bych radsi udolal ten radius.
A jeste jedna vec. Do ted sem nejak nepostrehl na cem to AP bezi. Jestli je SW nebo HW a pod.
Ta diskuze je dokonce rozdvojena a resi se tu co by pomohlo, ale stale nevidim, ze by nekdo jednu z nabizenych moznosti VPN, RADIUS, DOMENA korektne pouzil a rekl by ne nejde to. Narusitel to prolomil. A vazne VPN je dle mne trivialni reseni, ktery se da i u uzivatel nastavit pomoci navodu po telefonu.
Proboha preci nemuzete po uzivatelych chtit, aby kvuli internetu menili nastaveni svych pocitacu tak zasadnim zpusobem?!
Ja bych zkusil co nejlepe identifikovat narusitele, podat stiznost na CTU a trestni oznameni pro podvod, neopravnene uzivani cizi veci a poskozovani cizi veci. Asi mu nic neudelaji, ale myslim ze jedna nasteva od polici pro podani vysvetleni narusitele (typuji uhrovaty klucik s kompem od tatinka) dost vyvede zmiry, v idelanim pripade mu rodice zabavi pocitac.
No tak uznavam ze sme s tou domenou asi delali neco blbe. Ucty sme delali na serveru. Ale zase i kdyz sem zadal ze se heslo nikdy nezmeni tak nekterym se proste zmenilo. Nevim fakt na mne ta domena nezapusobila dobre. I kdyz ji zase mame v praci a tam maka super. Jde o to ze domena nepusobila dobrym dojmem ani na uzivatele. A ucit je neco? Sorry, ale nekdy to nejde. Co si treba muzes myslet o cloveku ktery ma WIFI a jeste v zaloze stary dial-up a tvrdi jak perfektne se vyzna v PC. No a pak posle SMS tohoto zneni. Pane Du*** nejde internet a odesilani posty. A prez telefon taky ne. Pak je jasny ze se nevyzna v nicem a hleda pomoc u mne. Samozrejmne to bylo o tom, ze mnel rozje*any cely PC a ne "internet". A takovymu cloveku tam dej domenu. To ne.
Jak rikam VPN neni vsespasny reseni, ale je jednoduchy i pro uzivatele. A o tom to je. Ani jim tam v podstate nic nezmenis. Jen vytvoris VPN ktery wokna berou jako vytacene pripojeni. A to uz vsichni uzivatele preci znaji. Z 90% jsou to byvali dial-up uzivatele. jen je potreba jim tam pro jistotu dat automaticky reconnect a je to. Klepnou na explorer a obevi se jim tabulka s vytacenim. Bud daji Pripojit nebo to budou mit automaticky.
Je pravda ze uplne nejucinnejsi je vyhledat a rozbit hubu, ale to neresi problem do budoucna. VPN alespon tak nejak bere duvod proc nabourat sit. A zaroven dava docela jednoduchy nastroj k tomu jak jednoduse ridit pristup vlastnich uzivatel.
a, bych to nedelal kdyby to nestalo za to
b, to je fajn ale myslim ze tim zatizim sit primo umerne tomu kolik uzivatelu bude na domenu lezt ...
c, jo to je asi dobre reseni nicmene nemyslim si ze by nemohlo byt ukradeni pristupu provedeno zkopirovanim od existujiciho uzivatele primo od nej na cd ci disketu ...
d, to si tady u nas poklepou policajti na hlavu a rekno me to jsi asi upadl ne ?? bo to tak mozna v praglu ...
__________________
..:: Nas-Net.org ::..
- programming
- build-up and management networks
- development
- freenet, education
Me tu taky nekdo killnul Dlinka.
Tak jsem poresil:
dal jsem tam jinou technologii.... Proxim Symphony.
Tu jsem mel zapujcenou asi 2 tydny.
Pak jsem opet prepl na Dlinka a uz me to nekillnul.
Ten Flex32 s Xnetem je chodivej do 10Mbps.
Testovano s VANESSOU (Svycarsko..neco jako RMNC).
No WPA by ti hacknout nemel nebot nestihne odsnifovat potrebny pakety. Jestli i pres to do te site znovu pronikne je to nejspise nekdo zevnitr. Kuprikladu mas li pripojenou nejakou firmu tak treba nejakej jeji aktivni zamestnanec coz by pak stacilo rozeslat nejake chytre varovne emaily a mozna se zalekne.
A kdyz uz jsi psal ze ti hacknul i 256 bit klic tak ten clovek opravdu asi nebude takova lama jak se zda. Nebot by mnel mit celkem dobrou znalost "tucnaka" a celkove zasadni znalosti sitovych struktur a warchalkingu (asi jsem to slovo spatne napsal).
Znam ve svem okoli spoustu lidi ktere radim mezi pocitacove vzdelance a nekteri se pocitaci i zivi ale pojem jako je MAC adresa ci WPA , WEP klic jim nic nerikaji a to maj treba ve svym vchode udelane vlastni spojeni pres wifi.
Predpokladam ze ten clovek si cte i toto forum a tise se smeje ostatnim...
proste pozorovatel z veku v tom bude mit totalni chaoz 
. A taky nevim jakou rychlost by zvladlo jadro ve Flexnetu a na X NETovych NODech. Rozchodit to vsak slo docela jednoduse i kdyz v te dobe sem o TCP IP a routovani nemel ani tuchy.
03.03.2005 v 11:30
Pak je jasny ze se nevyzna v nicem a hleda pomoc u mne. Samozrejmne to bylo o tom, ze mnel rozje*any cely PC a ne "internet". A takovymu cloveku tam dej domenu. To ne.
