Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 12

Temat: Wdrozenie systemu zabezpieczen

  1. #1
    Zarejestrowany
    Nov 2010
    Postów
    3

    Domyślnie Wdrozenie systemu zabezpieczen

    Witam,

    Mam do Was pytanie, mianowicie chcialbym sie dowiedziec jakie metody zabezpieczenia sieci bezprzewodowej byscie wykorzystali w przypadku mini kampusu uczelnianego skladajacego sie z 2-3 budynkow ( wylacznie budynki naukowe ) Myslalem o VLANach dla roznych typow uzytkownikow, Radiousie do uwierzytelniania, IDS moze... Moze ktos z Was juz wdrazal system zabezpieczen bezprzewodowej sieci komputerowej?

  2. #2
    Zarejestrowany
    Aug 2007
    Postów
    104

    Domyślnie

    co najpierw przyszlo na mysl, pomijajac standardy (dlugie hasla, WPA2 itp itd):
    - siec ma byc otawrta dla wszystkich - filtracja mac odpada - wiec musisz sobie radzic z uzyszkodnikami - skoro budynki naukowe - firewall niechcianych stron - zapuscisz sniffer i bedziesz pozniej wycinal to co sie nie podoba
    - konfiguracja urzadzen tylko po kablu
    - VLAN? - tzn masz 2-3 budynki - nie mam pojecia jakie te budynki sa - kilkanascie zarzadalnych switchow i chcesz sie bawic w ciagniecie kabla do kazdego ap?
    - skoro budynki naukowe to w nocy chyba nie pracuja - wiec, zeby nikogo nie kusilo to mozna robic turn off/on na pare godzin
    - IDS/IPS jak najbardziej mocno wskazany - najlepiej sprzetowy
    - calkowite odciecie infrastruktury internetowej, ktora dotyczy wireless od jakichkolwiek serwerow, ktore sa w budynkach
    - pododawac ograniczenia na laczach dla uzytkownikow, zeby siec byla nieatrakcyjna

    w ogole rozumiem, ze temat QoS, skalownosci i efektywnosci sieci masz juz rozwiazany - bo to jest znacznie ciekawsze
    Ostatnio edytowane przez Whizz_BANG : 11-21-2010 - 20:46

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie wiem jakiego sprzetu bedziecie uzywac po stronie radiowej itd... ale wiem ze chlopaki z Janet (siec akademicka w UK - odpowiednik NASK) z tego co pamietam uzywaja EAP-TLS do tego. Mozna go spiac z freeradius'em - google podaje nawet ladny opis http://freeradius.org/doc/EAPTLS.pdf

    To tak pierwsze co przyszlo mi do glowy (nie wiedzac czym dysponujecie)...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Zarejestrowany
    Nov 2010
    Postów
    3

    Domyślnie

    zalozmy ze mozemy tutaj teoretyzowac, a wiec zasoby moga byc dowolne.. po prostu szukam pomocy w teoretycznym wdrozeniu takiego systemu zabezpieczen. Uczelnia moze skladac sie z 2 budynkow, jest tam juz jakas siec, praktycznie niezabezpieczona i teraz interesowalby mnie przeglad rozwiazan jakie mozna by w takim przypadku wdrozyc ( ewentaulnie w jaki sposob - opis slowny )

  5. #5
    Zarejestrowany
    Aug 2007
    Postów
    104

    Domyślnie

    *TQM
    dobrze radzi

    *wirelessnewbie90
    bez sensu... drugi post i dalej nic nie wiadomo - jezeli pierwszy raz robisz takie cos - zycze powodzenia, na metodzie prob i bledow, jezeli jestes dosc ambitny, wiele sie nauczysz - obiecuje Ci to - wez sie za czytanie dokumentacji, datasheetow itp itd - wroc z konkretami;
    teraz mniej wiecej robisz cos takiego: przychodzisz do sklepu motoryzacyjnego i mowisz "poprosze olej i uszczelki", sprzedawca sam ma sie domyslec o jaki olej chodzi i do czego potrzebujesz pieprz... uszczelki - czy ma to byc do malucha czy do audi, czy jestes rozrzutny, czy ograniczony finansowo; a Ty dalej swoje - daj Pan olej i uszczelki...
    Ostatnio edytowane przez Whizz_BANG : 11-22-2010 - 09:45

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jeszcze jedno rozwiazanie mi przyszlo do glowy i w sumie wdrozenie tego jest banalnie proste

    Tworzysz otwarta siec wifi, nie interesuje Cie kto sie podlacza... tworzysz siec wifi nie posiadajaca zadnego wyjscia do internetu, rozdajesz w niej adresy IP z DHCP ale nie podajesz DNS ani bramy. Nie wazne co podasz, brama nie istnieje wiec i tak nic nie zadziala...

    Teraz tak - w tej samej sieci po stronie kablowej stawiasz sobie serwerek na jakims linuxie i instalujesz OpenVPN tak aby sluchal po sronie gdzie masz radiowke. Konfigurujesz firewalla by robil NAT dla klientow uzywajacych VPNa i po sprawie.

    Efekt jest taki, ze:
    1. Tylko userzy ktorym wydales klucze szyfrujace (i skonfigurowales usluge) moga podpiac sie do VPNa
    2. Podpiac do VPNa mozna sie tylko poprzez wifi
    3. VPN podaje DNSy i jest domyslna brama na swiat
    4. Caly ruch jest szyfrowany, pomimo tego, ze wifi nie ma zadnych zabezpieczen
    5. MitM na takim VPNie? Nie spotkalem sie... tam jest pelne PKI do autoryzacji
    6. Kazdy inny user wifi nie majacy vpn'a nic nie zdziala - ma dostep do LAN z innymi userami i na tym sprawa sie konczy...
    7. Mozesz na wlan dac ze brama na swiat jest ten serwer vpn i na nim dac apache'a z komunikatem ze to siec bez wyjscia na swiat, bla bla bla bla... i przekierowac wszystkie polaczenia przychodzace ze strony wifi na po 80 na localhost ze jak ktos odpali przegladarke bez podniesionego VPNa to zobaczy Twoja informacje.

    Zalety:
    1. OpenVPN jest dostepny na Windows/Linux/Mac i niektore telefony komorkowe (wiem bo sam uzywam)
    2. Mozesz odciac userow tak latwo jak ich dodac (CRL w OpenVPN)
    3. Niski koszt - dziala z kazdym sprzetem wifi jaki masz
    4. Mozesz nawet zrobic konfiguracje per-user po stronie serwera i np pewnym userom obciac predkosc... ;-)
    5. IDS/IPS stawiasz in-line na wyjsciu na swiat z tego serwerka vpn... tam ruch idzie juz po zdeszyfrowaniu... detale gdzie jest robiony routing a gdzie NAT musisz juz sam dopracowac

    Wady:
    1. OpenVPN zajmie nieco CPU wiec musisz miec odpowiednio mocny serwer, zwlaszcza jesli wpuscisz wiecej uzytkownikow.
    2. Nie wiesz dokladnie co sie dzieje po stronie wifi ale w sumie niewiele Cie to obchodzi bo i tak nikt nigdzie sie nie podlaczy - co najwyzej userki beda siebie nawzajem infekowac/atakowac...

    Co o tym sadzicie?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Witam,

    tylko czy aby nie będzie to zbyt ryzykowne? Serwer z OpenVPN będzie chyba narażony na atak... Potencjalnie każdy kto się podłączy do sieci będzie miał dostęp do serwera... Oczywiście nie jestem tego pewien tylko gdybam...

    Tu chyba rozwiązanie z freeradiusem wydaje się być bardziej sensowne - można go skutecznie odseparować tak, aby tylko AP miał do niego dostęp...

    Poza tym nie jestem pewien czy takie rozwiązanie będzie równie wydajne co Radius... Przecież przy zastosowaniu Radiusa też można by zostawić sieć otwartą, aby nie kusić WEP-em...

    Chyba, że o czymś nie pomyślałem...

    Pozdrawiam

  8. #8
    Zarejestrowany
    Aug 2007
    Postów
    104

    Domyślnie

    Cytat Napisał lojciecdyrektor
    tylko czy aby nie będzie to zbyt ryzykowne? Serwer z OpenVPN będzie chyba narażony na atak... Potencjalnie każdy kto się podłączy do sieci będzie miał dostęp do serwera... Oczywiście nie jestem tego pewien tylko gdybam...
    i tak trzeba radosnie kontrolowac logi...

    nie wiem czy openvpn dobrze sobie poradzi z uzytkownikami - rozwiazania sprzetowe sa na miejscu wtedy;
    tworzac takie rozwiazanie trzeba sie liczyc z przerwami w plynnosci dostepu do internetu raz na jakis czas, niby chwilowy, ale denerwujacy (ze wzgledu, ze to radio i nie wszedzie sygnal jest excellent);
    z doswiadczenia moge pwoiedziec, ze wszystko jest ladnie do momentu problemow - czyli jak zawsze; rzeczywistosc nie wyglada tak rozowo, nie robilem nic na skale kilkuset uzytkownikow, ale mialem przyjemnosc oblugi kilkudziesieciu uzytkownikow, ktorzy łacza sie do serwera po kablu, w wifi jezeli sygnal bedzie slabszy - mozliwy jest reset sesji, i co wazne system win7 i vista nie jest elastyczny tak jak xp, raz polaczy od razu, a czasem np za 3 razem;
    nastepnie problem z haslami - jezeli ktos pomyli sie pare razy i dostaje bana za glupote, moze robic problemy, ze w ogole nie dziala a on wszystko dobrze robi
    czas jest najwazniejszy, a szukanie optymalnej konfiguracji hmm jak kto lubi; zreszta nie mam pojecia jaka maszyne trzeba wdrozyc, zeby nie muliła i jezeli juz sie bawic w szyfrowanie vpn - maszyna musi byc mocna - wydaje mi sie, choc moge sie mylic, ze radius jest mniej problemowy

    w ogole przyznawanie jakiegokolwiek dostepu poprzez adres mac jest w porzadku - kto bedzie chcial to poda mac, imie, nazwisko i bedzie mogl korzystac z netu - czynnik psychologiczny sie pojawia, zeby nie robic glupot, bo przeciez podalo sie mac i nazwisko, a logi nie wybaczaja - moze to jest troche pracy z poczatku, ale to zaprocentuje w przyszlosci;
    Ostatnio edytowane przez Whizz_BANG : 11-22-2010 - 15:17

  9. #9
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Cytat Napisał Whizz_BANG Zobacz post
    i tak trzeba radosnie kontrolowac logi...


    A macie może jakieś sprawdzone informacje na temat zamulania łącza przez WPA2 RADIUS (np. na freeradiusie)?

    Bo to by było bardzo bezpieczne rozwiązanie...w sumie pozostawianie wolnego radia może się nieciekawie skończyć...

    Pozdrawiam

  10. #10
    Zarejestrowany
    Nov 2010
    Postów
    3

    Domyślnie

    dziekuje za wszystkie dotychczasowe wypowiedzi, moje pytanie jest ogolnie poniewaz nie robilem nigdy takiego projektu. Projekt jest mocno teoretyczny a wiec tak jak mowilem, moge tutaj dopasowac istniejaca infrastrukture do rozwiazan o ktore mi glownie chodzi. To co na razie ustalilem wyglada po krotce tak :

    POMYSLY
    1. Usytuowanie AP w taki sposób aby zminimalizowany był zasięg poza budynkami
    2. zapory w AP i innych komputerach
    3. Filtracja MAc stacji podlaczajacych sie
    4. Dynamiczne zarzadzanie kluczami
    5. Zastosowanie Radiousa -> EAP Cisco Access Control Center

    lub EAP-TLS , spiete FREERadiousem

    6. Serwer w DMZ / odciecie od netu
    7. Wykrywanie nieautoryzowanych AP
    8. Wykrywanie połączeń o niższych prędkościach z AP
    9. Odłączenie zasilania AP w nocy
    10. VPN , jak dokladnie mialoby wygladac polaczenie z radiusem?
    11. Podzial na poscieci dla roznych typow
    12. Zmiana nazwy SSID na nie-domyslna
    13. Sprzetowy IDS/ IPS , jakie polecacie?
    14. LDAP z baza uzytkownikow
    15. Dynamiczne przydzielanie VLANu , na podstawie informacji przydzielanej przez Radius


    DOSTEP GOSCINNY
    realizowany w wydzielonym VLANIE
    brak adresow prywatnych i NAT

    LOGI
    czas uwierzytelniania i przydzielenia adres IP
    identyfikator osoby uwierzytelnianej (EAP)
    adres MAC
    IP

    ogolnie widze ze ciekawe rzeczy mozna znalezc na stronie eduroam.. jest tam troche zalozen..



    @TQM Zakladajac ze zrobilbym to zgodnie z Twoja koncepcja, czy bylbys w stanie troche bardziej rozszerzyc zagadnienia ktore ywkorzystales / ewentualnie jakies przydatne linki.. z gory dzieki

    @Whizz_BANG jakich informacji musialbym Ci dostarczyc abys mogl troche wiecej pomoc?

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj