Wdrozenie systemu zabezpieczen

[wirelessnewbie90]

Witam,

Mam do Was pytanie, mianowicie chcialbym sie dowiedziec jakie metody zabezpieczenia sieci bezprzewodowej byscie wykorzystali w przypadku mini kampusu uczelnianego skladajacego sie z 2-3 budynkow ( wylacznie budynki naukowe ) Myslalem o VLANach dla roznych typow uzytkownikow, Radiousie do uwierzytelniania, IDS moze... Moze ktos z Was juz wdrazal system zabezpieczen bezprzewodowej sieci komputerowej?

[Whizz_BANG]

co najpierw przyszlo na mysl, pomijajac standardy (dlugie hasla, WPA2 itp itd):
- siec ma byc otawrta dla wszystkich - filtracja mac odpada - wiec musisz sobie radzic z uzyszkodnikami - skoro budynki naukowe - firewall niechcianych stron - zapuscisz sniffer i bedziesz pozniej wycinal to co sie nie podoba
- konfiguracja urzadzen tylko po kablu
- VLAN? - tzn masz 2-3 budynki - nie mam pojecia jakie te budynki sa - kilkanascie zarzadalnych switchow i chcesz sie bawic w ciagniecie kabla do kazdego ap?
- skoro budynki naukowe to w nocy chyba nie pracuja - wiec, zeby nikogo nie kusilo to mozna robic turn off/on na pare godzin
- IDS/IPS jak najbardziej mocno wskazany - najlepiej sprzetowy
- calkowite odciecie infrastruktury internetowej, ktora dotyczy wireless od jakichkolwiek serwerow, ktore sa w budynkach
- pododawac ograniczenia na laczach dla uzytkownikow, zeby siec byla nieatrakcyjna

w ogole rozumiem, ze temat QoS, skalownosci i efektywnosci sieci masz juz rozwiazany - bo to jest znacznie ciekawsze

[TQM]

Nie wiem jakiego sprzetu bedziecie uzywac po stronie radiowej itd... ale wiem ze chlopaki z Janet (siec akademicka w UK - odpowiednik NASK) z tego co pamietam uzywaja EAP-TLS do tego. Mozna go spiac z freeradius'em - google podaje nawet ladny opis http://freeradius.org/doc/EAPTLS.pdf

To tak pierwsze co przyszlo mi do glowy (nie wiedzac czym dysponujecie)...

[wirelessnewbie90]

zalozmy ze mozemy tutaj teoretyzowac, a wiec zasoby moga byc dowolne.. po prostu szukam pomocy w teoretycznym wdrozeniu takiego systemu zabezpieczen. Uczelnia moze skladac sie z 2 budynkow, jest tam juz jakas siec, praktycznie niezabezpieczona i teraz interesowalby mnie przeglad rozwiazan jakie mozna by w takim przypadku wdrozyc ( ewentaulnie w jaki sposob - opis slowny )

[Whizz_BANG]

*TQM
dobrze radzi

*wirelessnewbie90
bez sensu... drugi post i dalej nic nie wiadomo - jezeli pierwszy raz robisz takie cos - zycze powodzenia, na metodzie prob i bledow, jezeli jestes dosc ambitny, wiele sie nauczysz - obiecuje Ci to - wez sie za czytanie dokumentacji, datasheetow itp itd - wroc z konkretami;
teraz mniej wiecej robisz cos takiego: przychodzisz do sklepu motoryzacyjnego i mowisz "poprosze olej i uszczelki", sprzedawca sam ma sie domyslec o jaki olej chodzi i do czego potrzebujesz pieprz... uszczelki - czy ma to byc do malucha czy do audi, czy jestes rozrzutny, czy ograniczony finansowo; a Ty dalej swoje - daj Pan olej i uszczelki...

[TQM]

Jeszcze jedno rozwiazanie mi przyszlo do glowy i w sumie wdrozenie tego jest banalnie proste

Tworzysz otwarta siec wifi, nie interesuje Cie kto sie podlacza... tworzysz siec wifi nie posiadajaca zadnego wyjscia do internetu, rozdajesz w niej adresy IP z DHCP ale nie podajesz DNS ani bramy. Nie wazne co podasz, brama nie istnieje wiec i tak nic nie zadziala...

Teraz tak - w tej samej sieci po stronie kablowej stawiasz sobie serwerek na jakims linuxie i instalujesz OpenVPN tak aby sluchal po sronie gdzie masz radiowke. Konfigurujesz firewalla by robil NAT dla klientow uzywajacych VPNa i po sprawie.

Efekt jest taki, ze:
1. Tylko userzy ktorym wydales klucze szyfrujace (i skonfigurowales usluge) moga podpiac sie do VPNa
2. Podpiac do VPNa mozna sie tylko poprzez wifi
3. VPN podaje DNSy i jest domyslna brama na swiat
4. Caly ruch jest szyfrowany, pomimo tego, ze wifi nie ma zadnych zabezpieczen
5. MitM na takim VPNie? Nie spotkalem sie... tam jest pelne PKI do autoryzacji
6. Kazdy inny user wifi nie majacy vpn'a nic nie zdziala - ma dostep do LAN z innymi userami i na tym sprawa sie konczy...
7. Mozesz na wlan dac ze brama na swiat jest ten serwer vpn i na nim dac apache'a z komunikatem ze to siec bez wyjscia na swiat, bla bla bla bla... i przekierowac wszystkie polaczenia przychodzace ze strony wifi na po 80 na localhost ze jak ktos odpali przegladarke bez podniesionego VPNa to zobaczy Twoja informacje.

Zalety:
1. OpenVPN jest dostepny na Windows/Linux/Mac i niektore telefony komorkowe (wiem bo sam uzywam)
2. Mozesz odciac userow tak latwo jak ich dodac (CRL w OpenVPN)
3. Niski koszt - dziala z kazdym sprzetem wifi jaki masz
4. Mozesz nawet zrobic konfiguracje per-user po stronie serwera i np pewnym userom obciac predkosc... ;-)
5. IDS/IPS stawiasz in-line na wyjsciu na swiat z tego serwerka vpn... tam ruch idzie juz po zdeszyfrowaniu... detale gdzie jest robiony routing a gdzie NAT musisz juz sam dopracowac

Wady:
1. OpenVPN zajmie nieco CPU wiec musisz miec odpowiednio mocny serwer, zwlaszcza jesli wpuscisz wiecej uzytkownikow.
2. Nie wiesz dokladnie co sie dzieje po stronie wifi ale w sumie niewiele Cie to obchodzi bo i tak nikt nigdzie sie nie podlaczy - co najwyzej userki beda siebie nawzajem infekowac/atakowac...

Co o tym sadzicie?