Bezpieczeństwo Wifi

[MrReal]

Czy ktoś znalał sposób na zabezpieczenie WiFi przed włamaniem poprzez kradzież MAC? Podobno WEPa można rozszyfrować w 30 minut.

Czy macie jakieś pomysły na ten temat?

 

Pozdrawiam

[butcher]

Poczytaj cos na temat WEP, WPA, RADIUSA....

 

Jesli chcesz zabezpieczyc sie przed podpinajacymi sie na lewo to:

 

1. Maskarada tylko na wybrane adresy IP

2. Adresy IP przyznawane na podstawie MAC'a (dhcpd).

3. SQUID jako transparent proxy z ograniczeniem dostepu dla IP + MAC

 

Wykrywanie podpietych:

 

Jak dobrze ustawisz DHCP, to bedzie ono rozdawalo IP rowniez dla tych. ktorych do niego nie wpisales. W pliczku dhcpd.leases beda siedziec delikwenci, ktorzy sie podpinali (ich mac, data i inne takie).

 

A jesli chcesz uniknac sytuacji, ze ktos udostepnie net dalej to poczytaj cos na temat TTL=1

 

pozdrawiam

[MrReal]

1. Maskarada tylko na wybrane adresy IP

2. Adresy IP przyznawane na podstawie MAC'a (dhcpd).

3. SQUID jako transparent proxy z ograniczeniem dostepu dla IP + MAC

 

Wykrywanie podpietych:

 

Jak dobrze ustawisz DHCP, to bedzie ono rozdawalo IP rowniez dla tych. ktorych do niego nie wpisales. W pliczku dhcpd.leases beda siedziec delikwenci, ktorzy sie podpinali (ich mac, data i inne takie).

Nie widze jak by to miało pomóc w blokowaniu osób które "ukradły" MAC innym osobom które mają leganie dostęp do netu. A po drugie to wszystko to co wymieniłeś w tych 3 punktach chodzi u mnie na serwerze.

 

A jesli chcesz uniknac sytuacji, ze ktos udostepnie net dalej to poczytaj cos na temat TTL=1

Nie o to chodziło.

 

Ja wymyśliłem coś takiego:

Napisać programik klienta i serwera. Serwer odpalić na kompie tam gdzie jest iptables, a klienta u osoby która łączy się drogą radiową z tym serwerem. Program polega na tym że klient w chwili uruchomienia wysyła do serwera hasło i na tej podstawie serwer uruchamia NATa dla danego adresu IP. Użytkownik może zmieniać sobie hasło np przez WWW. W tym momencie jeśli włamywacz dostanie MACa to i tak nie będzie miał netu bo mimo że na podstawie tego MACa dostanie poprawne IP z DHCP, to firewall go zablokuje bo nie będzie odpowiednich regułek, które pojawią się dopiero gdy nasz serwer dostanie hasło i utworzy odpowiednie wpisy w iptables.

Proste?

Kto by sie podjął napisania takiego programiku?

Na początek nie potrzebne by było żadne szyfrowanie itd, byle działało przesyłanie danych -> czyli stringa.

Do ustawiania hasła można napisać prosty skrypcik w PHP a dane zapamiętywać w pliku txt (być może później w MySQLu)

 

Pozdrawiam

[butcher]

Mozna zablokowac podszywanie sie pod kogos w inny sposob. Stworzyc serwerek DHCP, ktory przydziela na sztywno adresy IP po adresie MAC

 

utworz plik /etc/ethers 
a w nim np: 
192.168.0.2 00:11:22:33:44:55 

 

Potem polecenie arp -f i juz masz adresy IP po MAC

 

Aha jak juz wpiszesz wszystkie potrzebne ci adresy IP to z reszta adresow, czyli dla calej klasy musisz zrobic cos tekiego:

 

192.168.0.x ff:ff:ff:ff:ff:ff

 

A w necie znalazlem jeszcze cos takiego:

plik ethers 
192.168.50.10:00:0D:88:BA:CB:30 
192.168.50.11:00:30:4F:22:C6:A4 
192.168.50.12:00:30:4F:2A:12:18 
itd... 
nastepnie plik odpalany ze startem serwer rc.arp: 
w ktorym to piszemy arp -f 

nstepnie dhcpd.conf : 
host Wojcikd 
{ 
next-server Wojcikd.DejwNet.pl; 
hardware ethernet 00:0D:88:BA:CB:30; 
fixed-address 192.168.50.10; 
} 
host Dejwid 
{ 
next-server Dejwid.DejwNet.pl; 
hardware ethernet 00:30:4F:22:C6:A4; 
fixed-address 192.168.50.11; 
} 
itd 

no i firewall 
NATED_HOSTS="192.168.50.10 192.168.50.11 itd " 
$IPT -t nat -A PREROUTING -i $IF -s 192.168.50.10 -m mac --mac-source 00:0D:88:BA:CB:30 -j ACCEPT 
itd... 
# Blokada reszty IP 
$IPT -t nat -A PREROUTING -i $IF -j DROP 

 

Pozdrawiam