Witam. Wiec zaczne od tego ze jestem wlasnie w trakcie rozwijania mojej sieci kablowej Na platforme wifi wybralem wlasnie mikrotika.. Wiec tak rysunek 1 przedstawia pierwotna konfiguracje sieci
http://212.75.96.59/ ja widac nic trudnego,
nastepnie rysunek 2 przedstawia rozwoj, i odnosnie tego pare pytanek,
czy dalo by sie zrobic tak aby MT2 przejal role freebsd ? Aby calkowicie zlikwidowac maszyny FREEBSD ? Prosilbym o pomoc w konfiguracji takiej sieci, Co gdzie musze zainstalowac, dodam ze chcialbym aby mt2 mial takze serwer pppoe + radius . Prosze o pomoc,, z gory dziekuje

" />witam

sprawa wygląda że na uczelni mam do zrobienia projekt sieci wifi z uwierzytelniania poprzez serwer Radiusa. robie pierwszy raz coś takiego więc proszę o wyrozumiałość i w miarę konkretne rady ponieważ dostęp do ap i sieci mam raz w tygodniu na laborce.

Serwerem będzie Fedora 5 a Freeradiusem, ap to Orinoco ap-600
chciałbym żeby przy podłączeniu się klienta do sieci następowało logowanie do sieci.

Radiusa skonfigurowałem według http://wiki.freeradius.org/EAP/MD5_HOWTO czyli najprościej jak się dało, testując radtestem, ntradpingiem niby działa
tutaj pierwsze pytanie, jaką metodą najlepiej wykorzystać bo md5 chyba najlepsze nie jest?

przejdźmy teraz do konfiguracja ap z czym niestety na razie największy problem, w sekcji RADIUS mam do ustawienia dwa serwery Radius Accounting i Radius Authentication, i troche nie rozumiem czym one się różnią i czym w moim przypadku oba mają być ustawione?

teraz dalej po ustawieniu serwerów z zabezpieczeniach trzeba ustawić rodzaj zabezpieczeń WPA, WEP, 802.1X i w tym już kompletnie się gubię, wiec tu kolejne pytania jak to skonfigurować

ostatnio ustawilem właczyłem serwery Radius Accounting i Radius Authentication z WEP, pojawiło sie logowoanie do sieci, radius znajdował uzytkownika lecz w logach pisało ze hasło nie zostało przesłane mimo ze jest podawałem

proszę o jakąś pomoc w tej sprawie bo nie mam pomysły jak sobie z tym poradzić

Prelekcja na temat WiFi


Kiedys zadeklarowalem sie ze moge poprowadzic prelekcje na temat wifi w linuxe. Nadal podtrzymuje swoja oferte. Ostatnio Tomek Karbownicki napisal do mnie emaila czy w nalblizszym czasie nie dalo by sie mojego tematu w jakis sposob zrealizowac. Z tresci emaila wynikalo ze jeszcze ktos ma sie ze mna skontaktowac w celu omowienia tematyki. Jak do tej pory nikt sie do mnie nie zgłosił...ja ciagle czekam :-) OK ale to nie jest istotne w tej chwili.
Chcialbym poprosic bywalcow tego forum, ekspertow linuxowych i innych wyjadaczy o wyrazenie swojej opinii na temat zakresu materialu ktory ewentualnie przedstawie na swojej prezentacji. Ale za nim napisze cos wiecej chce znac wasze zdanie w jeszcze jednej istotnej kwestii. DO KOGO MA BYC SKIEROWANA TA PRELEKCJA ? Do dosc waskiej grupki osob ktore znaja sie na linuxe, a nawet jesli nie sa mocni w konkretnie tej tematyce to potrafia dobrze wyszukiwac informacje (czytaj uzywaja google.com) i i tak sobie poradza z problemami bez wysluchania mojej prelekcji. Czy moze moja/nasza prezentacja ma byc skierowana do przecietnego uzytkownika, nie tylko linuxarza ktory nie ma czasu zaglębiac sie w tajniki konfiguracji jemu nie potrzebnych rzeczy ?. Jesli wybierzemy wlasnie takie podejscie do sprawy to omawianie konfiguracji mostow bezprzewodowych, accespointow i serwerow RADIUS postawionych na linuxe lekko mija sie z celem. To sa sprawy ktore beda interesowaly tylko te osoby ktore mogą miec z tym styczność, a jak sadze taka jedna prelekcja jakos specjalnie ich nie oświeci w tym zakresie. Z drugiej jednak strony prelekcja nie moze ograniczac sie do omowienia polecenia iwlist i iwconfig :-). Nie chce tez aby to wygladalo jak standardowy wyklad na temat wifi, ktory gdzie bym nie byl zaczynal sie od omowienia standardow 802.11...juz mam tego dosc. Moim zdaniem, jesli wyklad ma byc skierowany do szerszej grupy uzytkownikow komputerow, to musi byc dla nich prosty, zrozumialy i ciekawy. A tego sie nie osiagnie omawiajac pliki konfiguracyjne linuxa.
Moja propozycja wyglada nastepujaco:
- pare slow na temat standardow 802.11 :-)
- konfiguracja kart wifi w liuxe (ndiswrapper itp)
- obsluga iwlista i iwconfiga
- ewentualnie postawienie APka na linuxe...ciekawe jak ja to zrobie nie majac pod reka zadnej karty wifi na pcmcia :-)
- omowienie metod zabezpieczen sieci wifi - listy ACL, WEP, WPA, TKIP radiusy itp
- pokaz jak prosto 'wlamac ?' sie do sieci z lista ACL, z WEPem, no i ewentualnie WPA
Nie chce aby to wyglądało jak tutorial dla małp, kliknij tu, potem tam itp, wsztstko będzie z dokładnym wyjaśnieniem dla czego to można tak zrobić i czemu akurat tak a nie inaczej.
- pokaz co mozna zrobic gdy uzyskamy dostep do sieci (nie tylko WiFi)
mozna pokazac tym ktorzy nie sa tego swiadomi jak prosto mozna przechwicic login i pass w czasie nieszyfrowanego logowania do serwera poczty itp,
mozna pokazac jak przejac ruch sieciowy miedzy AP a klientem modyfikujac go w taki sposob aby np klientowi zamiast www.mbank.com.pl pojawila sie jakas inna stronka
atak man in the middle na poziomie warstwy fizycznej/lacza danych ??? - obecnie testuje jego skuteczność w domu i różnie z tym bywa, wiec jest to dosc niepewny punkt

nie chce tu wymyslac juz jakis rzeczy bo w chwili obecnej nie mam zadnej karty wifi na pcmcia, a jak wiemy doskonale w tym przypadku wiele zalezy od rodzaju karty. Mysle ze to co tu napisalem bedzie mozna bez wiekszych problemow zrealizowac na kazdym sprzecie. Czekam na wieści na temat drugiej osoby ktora ma to ze mna poprowadzic. Mysle ze ona tez doda swoje 3grosze do tej wstępnej agendy i cos ciekawego z tego wyjdzie.

Ahh na pewno znajda sie osoby ktore stwierdza "o hakier sie znalazl i teraz chce sie popisac co to on sie z tych internetowych tutoriali nauczyl :-)". Prosze was, darujcie sobie takie stwierdzenia. Dzisiaj doslownie kazdy moze sie czegos takiego nauczyc, jest tyle tutoriali ze nawet skonczony wspanialy, gdy tylko będzie robil wsztstko zgodnie z opisem zlamie nawet WPA. Takimi zdolnościami to można zaimponować koledze z piaskownicy. Ja mam średnie pojęcie o sieciach i jeszcze mniejsze o liniuxe. Są jednak osoby które znają się mniej niż ja i wlaśnie dla nich ma byc skierowana ta prezentacja. Chcę zeby taki gość po obejrzeniu prelekcji zastanowił się 2 razy nad tym czy w swoim Outloku nie włączyć połączeń szyfrowanych, czy logując sie na allegro, czy na poczte poprzez www nie zaznaczyć tej tak rzadko uzywanej opcji "bezpieczne polaczenie SSL". Chce zeby ludzie przestali mieć złudzenie, że hakier to ich nigdy nie dopadnie bo nie ma zadnych powodów aby to zrobic. Fakt, prawdziwy 'black hat' nie tyka sie plotek, ale w dzisiejszych czasach byle dzieciak moze nauczyc sie takich 'trikow', a one umozliwia mu niczym nieograniczona destrukcje.

" />
">Ok ale niech ktos opisze w skrocie przykladowy sposob zabezpieczenia sieci tak zeby nie dalo sie wejsc na innym macku na lewo ?? i sie podszyc pod kogis innego jesli juz ktos jest w tej sieci ?? Prosze kto potrafi w skrocie podac mi taki sposob?? No prosze ?? jeden a konkretny sposob zamist gadac ze jest milon sposobow i nie ma idealnego bo to wiadomo. A ja chce konktertny przyklad zabezpieczenia sprawdzonego przez kogos w praktyce ;)

No w koncu gosc ktory chce konkretow. Portal przechywtujacy w zaleznosci od "modelu" moze wymagac od uzytkownika hasla i loginu poprzez HTTPS a nastepnie dzieki np. pop-upowi i odpowiedniemu skryptowi Javy caly czas podtrzymywac polaczenie, poki USER sie nie wyloguje. Oczywiscie to nie jest cudowny sposob, ale.. no wlasnie calkiem ciekawy szczegolnie jesli sie robi np. platne hot-spoty dla tych ktorzy maja standardowego notebooka z karta WiFI - nie wazne czy maja obsluge szyfrowania czy nie. To jest najprostsza wersja autoryzacji. Oczywiscie o bezpieczenstwu nie moze byc mowy - ale to lookania po stronach wystarczy.

Druga metoda jest juz zestawianie polaczen KLIENT -> SERWER za pomoca roznych protokolow tunelujacych lub uwierzytelniajacych (do punktu urzadzen dostepowych) takich jak np. Radius. Z tym ze z 802.11x to jest tak, ze po pierwsze ciezko go wdrozyc, duzo kart radiowych nie jest z tym standardem kompatybilnych a duza czesc ludzi nieposiada systemu operacyjnego wspolpracujacego z 802.11x. No i to oczywiscie robi problem. Jesli chodzi o jakos zabezpieczenia i mozliwosci radiusa to naprawde dla mnie - to totalna rzeÂźnia. System jest skomplikowany i trudny do obejscia - ale trudny do wdrozenia - Radius w wiekszosci wypadkow jest platy - choc zdarzaja sie darmowe alternatywy jak FreeRadius.

Kolejnym bardzo owocujacycm standardem ale na razie nie wykorzystywanym - chyba ze w sieciach korporacyjnych jest IPSec. tutaj sposob uwierzytelnianai jest troche inny -> np. definiowani sa np. uzytkownicy mobilini itd. System posiada naprawde wiele, wiele nowinek i ma byc tez podstawa protokolu IPv6. Ale... jak zwykle zaimplementowany jest co najwyzej w Windows XP. Win2K musi miec odpowiednie patche.. a Win98 i starsze.. podziekujemy.. W Linuxie IPSec dziala.. we FreeBSD.. ale jak juz mowilem ciezko to wdrazac jak niektorzy maja taki a taki system operacyjny.

Nastepnym i bardzo popularnym systemem jest PPPoE (Point To Point over Ethernet) - zasada dzialania jest bardzo ciekawa i bardzo przypomina np. dzwonienie modemem, ale tak to mniej wiecej dziala. Podpinasz sie do sieci Ethernet a Twoj komputer stara sie znalezc serwer PPPoE i sie na nim zalogowac - pobierajac tym samym ustawienia itd. Patent w sumie ciekawy bo pozwalajacy szyfrowac polaczenia (opcjonalnie - ale stanowczo zalecane - choc w praktyce w cale nie trudne do zlamania) i uwierzytelniac uzytkownika za pomoca roznych systemow. Dziala to dosc ciekawie i co najwazniejsze jest kompatybilne nawet z Windows95 i pozniejszymi a takze Linuxem - klania sie PPPd i inne elementy Linucha. Co do wdrozenia to jest to dosc pracochlonne - bo wymaga sklejania samemu jadra, nakladania patchy i innych rzeczy. W kazdym badz razie troche z tym jest problemow - no chyba ze zaprzegniemy mikrotika - tam to robi sie rach, ciach.. i po klopocie.

Jeszcze jednym rozwiazaniem jest PPTP -> Point to Point Tunneling Protocol. Dziala to dosc podobnie jak PPPoE z tym ze.. tutaj musimy juz miec na sucho skonfigurowana siec TCP/IP i w niej dopiero laczymy sie z serwerem. PPTP ma ta zalete ze jest tak samo zaimplementowany w prawie wszystkich uzywanych dzis Windowsach - od 98 po Viste . Poza tym korzystajac np. M0n0walla jego konfiguracja jest.. bardzo latwa. Mozna oczywiscie konfigurowac linuxowego POPTOP'a i osiagnie sie tak samo, ale.. kto co lubi. A teraz wady. Przede wszystkim PPTP mozna stosunkowo latwo zlamac wylapujac pakiety.. pod warunkiem ze nie uzywa sie prostego szyfrowania lub o zgrozo przesyla sie niezaszyfrowane dane. Tutaj mozna wymusic uzywanie szyfrowana 128bitowego i kazdemu rozdac 14 znakowe loginy i hasla. Proba zlamania moze okazac sie na tyle czaschlonna ze - ciezko bedzie to zlamac. Podobnie sprawa sie ma w przypadku PPPoE - gdzie uwierzytelnianie opiera sie tez na protokolach tzw. kiepskich w porownaniu do SSL'a i innych.

Jeszcze jednym i juz ostatnim.. jest OpenVPN.. ale ten jest na razie jak na moj gust malo rozwiniety. Poza tym dziala tylko w srodowiskach Win2000 i wyzej. Ale pod Linuxem sprawuje sie swietnie. Wiec warto z tego korzystac jesli np. chcemy tworzyc odpowiednie wirtualne mostkowania sieci.

Uff... no i to chyba wszystko. Jak ktos ma jeszcze bardziej rozbuowana wiedze na temat poszczegolnych niech smialo pisze.. czyzbym wyczerpal temat"??