Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Вт Фев 06 2007 15:31 Заголовок сообщения: Безопасность WI FI |
|
|
Началось все невинно , главной бухгалтерше подарили ноутбук. Как и полагается по статусу, большой и навороченный. Среди прочего есть контроллер WI FI, а это в понимании главбуха просто супер, т.к. можно работать и в столовой и из кабинета и пр.
В связи с чем мне дали указание срочно организовать WI FI покрытие территории.
Для этого куплены такие маршрутизаторы, точки доступа
http://www.mototelecom.ru/?cat=products&id=22572
А дальше начались вопросы:
У нас есть сеть 192.168.0.х, с AD и прочими приблудами. Насколько я понимаю, включать так просто беспроводной доступ в сеть дело опасное (с точки зрения безопасности)
http://citforum.ru/nets/wireless/crack/
И хотя WEP я, естественно, включу, но хотелось как то себя обезопасить.
1. Где можно толково почитать про методы защиты беспроводных сетей WEP, WPA etc, что бы узнать, что это такое, буду благодарен за ссылки?
2. Хочу на точке доступа LAN выделить в особую подсеть, например 192.168.1.х , а WAN уже в нашу сеть, например 192.160.0.1, соответственно закрыв на маршрутизаторе все, кроме IP (MAC) ноута главбуха.
3. Надо ли организовывать VPN канал для безопасности между нашим серваком и ноутом.
4. Что еще можно придумать и надо ли что-то думать для обеспечения собственной безопасности.
C Wi FI не работал, поэтому вопросы может и наивные.
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Фев 06 2007 20:23 Заголовок сообщения: |
|
|
Да нет, здраво все. Только п.2, где про MAC - это для детей. Приличный парни снифернут трафик, а потом прикинутся IP и MAC-адресом главбуха.
Делай отдельный сегмент. Своди в него провода с WiFi-роутеров и VPN-сервер. Хочешь в сеть офиса? Милости просим в VPN. |
|
Вернуться к началу |
|
|
bvvtver
Зарегистрирован: 31.01.2007 Сообщения: 122 Откуда: MSK
|
Добавлено: Вт Фев 06 2007 20:53 Заголовок сообщения: |
|
|
and3008 писал(а): | Да нет, здраво все. Только п.2, где про MAC - это для детей. Приличный парни снифернут трафик, а потом прикинутся IP и MAC-адресом главбуха.
Делай отдельный сегмент. Своди в него провода с WiFi-роутеров и VPN-сервер. Хочешь в сеть офиса? Милости просим в VPN. |
Можно уточнить... имеет ли реальный смысл подсеть, VPN??? Просто при аналогичной задаче ограничился настройкой WPA2, пустив беспроводных в рабочую подсеть. Ключ выбрал сложный, Mac-фильтр вкл. Есть ли брешь? Где? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Фев 07 2007 01:17 Заголовок сообщения: |
|
|
Не стоит, наверно объяснять, что две двери с сложными замками более серъезно, чем одна дверь с одним, пусть очень сложным замком?
Почему? Потому что в первом случае надо сломать сперва одну дверь (WPA), а потом еще и VPN. А во втором случае достаточно изломать только WPA.
В первом случае вы на VPN-сервере может логирование включить и в случае взлома хотя бы понять "что ж это было", а во втором случае убаюкивайте себя мыслью, что WPA2 - это супер, WPA2 не ломается.
Думайте сами, решайте сами. У меня доступ из WiFi в локальный сегмент только через VPN. Юзверю при коннекте надо не 5-10, а 15-20 кнопок нажать (пароль в Windows+пароль на VPN). Ну "ооочень сложно", дальше некуда, с учетом того, что они это делают один раз при входе в сеть. |
|
Вернуться к началу |
|
|
bvvtver
Зарегистрирован: 31.01.2007 Сообщения: 122 Откуда: MSK
|
Добавлено: Ср Фев 07 2007 03:00 Заголовок сообщения: |
|
|
Цитата: | Не стоит, наверно объяснять, что две двери с сложными замками более серъезно, чем одна дверь с одним, пусть очень сложным замком? |
Это понятно! Все же хочу отметить, imho естественно, что вероятно не всегда есть необходимость развертывать подсеть и VPN. Это предполагает разделение на основе разных уровней безопасности в этих сегментах, для обеспечения дополнительной аутентификации трафика между ними. При этом мы считаем беспроводной сегмент менее защищенным (!) везде ли это так? Ко всем ли сетевым розеткам контролируемый доступ? Я почти уверен, что во многих конторах с достаточным колич. пользователей не все так гладко и злоумышленнику гораздо проще воткнуть патчкорд чем ломать WPA2. Собственно это и есть первый замок. От аутентификации внутри сети никто не отказывается, домен, раб. группа и пр.
Есть еще один момент. За последний год в нашей конторе колич. пользователей WI-FI увеличилось с 1% до 7% от общего числа. Тенденция. Боюсь, что через пару лет в "тамбуре" окажется большинство. |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Ср Фев 07 2007 10:50 Заголовок сообщения: |
|
|
Спасибо, понял куда плыть.
Это еще актуально
Цитата: | 1. Где можно толково почитать про методы защиты беспроводных сетей WEP, WPA etc, что бы узнать, что это такое, буду благодарен за ссылки? |
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Ср Фев 07 2007 11:04 Заголовок сообщения: |
|
|
to bvvtver
Цитата: | что вероятно не всегда есть необходимость развертывать подсеть и VPN |
Цитата: | имеет ли реальный смысл подсеть, VPN??? Просто при аналогичной задаче ограничился настройкой WPA2, пустив беспроводных в рабочую подсеть. Ключ выбрал сложный, Mac-фильтр вкл. Есть ли брешь? Где? |
1. Есть
2. Имеет
Cлова and3008 для Вас немного разверну _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
bvvtver
Зарегистрирован: 31.01.2007 Сообщения: 122 Откуда: MSK
|
Добавлено: Ср Фев 07 2007 11:30 Заголовок сообщения: |
|
|
Цитата: | Это еще актуально |
Неплохая статья здесь
http://www.microsoft.com/rus/technet/security/midsizebusiness/topics/serversecurity/wirelessaccessconfig.mspx
Кстати отсюда
"Новейшие стандарты защиты беспроводных сетей, а именно WPA и WPA2, устранили серьезные недостатки стандарта WEP и сделали, таким образом, ненужными способы обхода этих недостатков, такие как использование протокола IPsec или технологии VPN. Использовать статический или динамический алгоритм WEP теперь не рекомендуется ни в какой форме, ..."
Последний раз редактировалось: bvvtver (Ср Фев 07 2007 11:42), всего редактировалось 2 раз(а) |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Ср Фев 07 2007 11:34 Заголовок сообщения: |
|
|
Спасибо.
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Фев 08 2007 23:08 Заголовок сообщения: |
|
|
Разработать разработали, однако помяните мое слово, приедет великая шишка со сраным ноутбуком с WAP-only и будете вы понижать защиту своей чудной сети. Зачем? VPN не так и трудно развернуть.
Дело ваше. Мое мнение такое, что беспроводная связь в основной своей массе пока небезопасна. Производители делают усилия, чтобы устранить недостатки, но на то, чтобы насытить рынок совершенными Wi-Fi устройствами по приемлемой цене уйдет время. Думаю годика два надо обождать. |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Фев 09 2007 09:40 Заголовок сообщения: |
|
|
Да нет, я то как раз за принцип "лучше перебдеть, чем недобдеть"
Потому и фишка с mac адресом хоть и детская пресыпка, но не помешает, хотя бы на то, что займет у злоумышленника лишние полчаса, за которые я, возможно, успею как-то среагировать.
Спасибо.
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
bvvtver
Зарегистрирован: 31.01.2007 Сообщения: 122 Откуда: MSK
|
Добавлено: Пт Фев 09 2007 12:21 Заголовок сообщения: |
|
|
and3008 писал(а): | Разработать разработали, однако помяните мое слово, приедет великая шишка со сраным ноутбуком с WAP-only и будете вы понижать защиту своей чудной сети. Зачем? VPN не так и трудно развернуть. |
Т.е. предлагается, WEP+VPN+отдельная подсеть... Тогда беспроводная сеть с ноутами топов - защищена только WEP. Если целью злоумышленника является инфа на компах у беспроводных, то ему не придется VPN ломать. Я к тому веду, что тенденция к увеличению WI-FI клиентов и высокая ценность инфы на компах топов, приводят к необходимости защищать беспроводную сеть, а не проводную от беспроводной. Я уже писал, что доступ к проводной сети порой может быть гораздо проще, тогда вообще непонятно, какую сеть от какой нужно оградить Считаю, что барьером должен стать WPA, а лучше WPA2. Шишку с WEP придется проапгрейдить для ее же безопасности. |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Фев 09 2007 12:42 Заголовок сообщения: |
|
|
А вариант WPA+VPN не прокатит? _________________ Errare humanum est |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Фев 09 2007 15:57 Заголовок сообщения: |
|
|
Я рассуждаю с позиции что проводная сеть ценнее, чем беспроводная.
Если у вас все наоборот, но вероятно вы правы. Парадигма безопасности будет отличаться от моего предложения.
Однако будьте реалистами. Стырить инфу у топа через WiFi дорого. Есть 3 млн. способов более простых и надежных, чем хакинг. |
|
Вернуться к началу |
|
|
bvvtver
Зарегистрирован: 31.01.2007 Сообщения: 122 Откуда: MSK
|
Добавлено: Пт Фев 09 2007 19:53 Заголовок сообщения: |
|
|
Цитата: | А вариант WPA+VPN не прокатит? |
Тут я опять в оппозицию с вопросом зачем здесь VPN. Обе технологии одного порядка безопасности. Делать эшелонированную защиту? Смысл? VPN и отдельная подсеть имеет смысл при WEP шифровании беспроводной сети. Этим затыкаем брешь WEP. В WPA этой бреши нет.
Цитата: | Я рассуждаю с позиции что проводная сеть ценнее, чем беспроводная.
Если у вас все наоборот, но вероятно вы правы. Парадигма безопасности будет отличаться от моего предложения. |
Да. Я имею ситуацию равнозначности сетей. |
|
Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005 Сообщения: 454
|
Добавлено: Вс Фев 11 2007 09:56 Заголовок сообщения: |
|
|
а я разок вообще столкнулся с такой ситуацией....
нетстамлером нашёл сетку, покатался выявил где ярче светит...
подключение вообще без всякого шифрования... губа раскаталать.. азарт... а дальше -
просканил диапазоны IP - HTTP сервак с SSL каналом на линухе, авторизация и VLAN (я не вижу соседних беспроводных клиентов)
ну подолбился я ещё немного всё бестолку без пароля и логина никуда.
И людям подключаться удобно, ловит почти сеть автоматом, и просто так доступа к ресурсам не получишь _________________ С уважением Dimasm |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Фев 12 2007 09:46 Заголовок сообщения: |
|
|
Разъясню еще свои проблемы
Сервак у меня один, по железу не ахти, и загруз у него почти полный
AD, DNS, DHCP, файлсервер, сервер печати, IIS с внутренним сайтом, ISA работающая в каскаде, репликация с другим контроллером домена в соседнем сайте, может чего еще забыл!
Поднимать еще и IAS с RADIUS сервером и центром сертификации мне не особо хотелось, по причине загруженности.
На самой точке доступа есть возможность использовать WPA в режиме без дополнительного RADIUS (если я конечно все правильно понял в мануале
), поэтому хотел организовать доступ к WIFI подсетки с помощью WPA в этом режиме, а проход во внутреннюю сетку только по VPN.
Очень возможно, что я ошибаюсь в своих размышлениях, поправтье, плиз
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
bvvtver
Зарегистрирован: 31.01.2007 Сообщения: 122 Откуда: MSK
|
Добавлено: Пн Фев 12 2007 17:53 Заголовок сообщения: |
|
|
grf писал(а): | На самой точке доступа есть возможность использовать WPA в режиме без дополнительного RADIUS |
Все верно. WPA-PSK. Можно и WPA2 поюзать. ТОлько, есть проблема с его поддержкой. Для winXP апдейт сделали (причем ставить вручную, он необязательный http://www.microsoft.com/downloads/details.aspx?FamilyID=662bb74d-e7c1-48d6-95ee-1459234f4483&DisplayLang=ru ), для win2000 вроде нет (могу ошибаться), так что надежда на софт от разработчика девайса. Кстати, твоя точка WPA2 держит.
Про VPN я уже все сказал. |
|
Вернуться к началу |
|
|
|