Wdrozenie systemu zabezpieczen

[wirelessnewbie90]

Witam,

Mam do Was pytanie, mianowicie chcialbym sie dowiedziec jakie metody zabezpieczenia sieci bezprzewodowej byscie wykorzystali w przypadku mini kampusu uczelnianego skladajacego sie z 2-3 budynkow ( wylacznie budynki naukowe ) Myslalem o VLANach dla roznych typow uzytkownikow, Radiousie do uwierzytelniania, IDS moze... Moze ktos z Was juz wdrazal system zabezpieczen bezprzewodowej sieci komputerowej?

[Whizz_BANG]

co najpierw przyszlo na mysl, pomijajac standardy (dlugie hasla, WPA2 itp itd):
- siec ma byc otawrta dla wszystkich - filtracja mac odpada - wiec musisz sobie radzic z uzyszkodnikami - skoro budynki naukowe - firewall niechcianych stron - zapuscisz sniffer i bedziesz pozniej wycinal to co sie nie podoba
- konfiguracja urzadzen tylko po kablu
- VLAN? - tzn masz 2-3 budynki - nie mam pojecia jakie te budynki sa - kilkanascie zarzadalnych switchow i chcesz sie bawic w ciagniecie kabla do kazdego ap?
- skoro budynki naukowe to w nocy chyba nie pracuja - wiec, zeby nikogo nie kusilo to mozna robic turn off/on na pare godzin
- IDS/IPS jak najbardziej mocno wskazany - najlepiej sprzetowy
- calkowite odciecie infrastruktury internetowej, ktora dotyczy wireless od jakichkolwiek serwerow, ktore sa w budynkach
- pododawac ograniczenia na laczach dla uzytkownikow, zeby siec byla nieatrakcyjna

w ogole rozumiem, ze temat QoS, skalownosci i efektywnosci sieci masz juz rozwiazany - bo to jest znacznie ciekawsze

[TQM]

Nie wiem jakiego sprzetu bedziecie uzywac po stronie radiowej itd... ale wiem ze chlopaki z Janet (siec akademicka w UK - odpowiednik NASK) z tego co pamietam uzywaja EAP-TLS do tego. Mozna go spiac z freeradius'em - google podaje nawet ladny opis http://freeradius.org/doc/EAPTLS.pdf

To tak pierwsze co przyszlo mi do glowy (nie wiedzac czym dysponujecie)...

[wirelessnewbie90]

zalozmy ze mozemy tutaj teoretyzowac, a wiec zasoby moga byc dowolne.. po prostu szukam pomocy w teoretycznym wdrozeniu takiego systemu zabezpieczen. Uczelnia moze skladac sie z 2 budynkow, jest tam juz jakas siec, praktycznie niezabezpieczona i teraz interesowalby mnie przeglad rozwiazan jakie mozna by w takim przypadku wdrozyc ( ewentaulnie w jaki sposob - opis slowny )

[Whizz_BANG]

*TQM
dobrze radzi

*wirelessnewbie90
bez sensu... drugi post i dalej nic nie wiadomo - jezeli pierwszy raz robisz takie cos - zycze powodzenia, na metodzie prob i bledow, jezeli jestes dosc ambitny, wiele sie nauczysz - obiecuje Ci to - wez sie za czytanie dokumentacji, datasheetow itp itd - wroc z konkretami;
teraz mniej wiecej robisz cos takiego: przychodzisz do sklepu motoryzacyjnego i mowisz "poprosze olej i uszczelki", sprzedawca sam ma sie domyslec o jaki olej chodzi i do czego potrzebujesz pieprz... uszczelki - czy ma to byc do malucha czy do audi, czy jestes rozrzutny, czy ograniczony finansowo; a Ty dalej swoje - daj Pan olej i uszczelki...

[TQM]

Jeszcze jedno rozwiazanie mi przyszlo do glowy i w sumie wdrozenie tego jest banalnie proste

Tworzysz otwarta siec wifi, nie interesuje Cie kto sie podlacza... tworzysz siec wifi nie posiadajaca zadnego wyjscia do internetu, rozdajesz w niej adresy IP z DHCP ale nie podajesz DNS ani bramy. Nie wazne co podasz, brama nie istnieje wiec i tak nic nie zadziala...

Teraz tak - w tej samej sieci po stronie kablowej stawiasz sobie serwerek na jakims linuxie i instalujesz OpenVPN tak aby sluchal po sronie gdzie masz radiowke. Konfigurujesz firewalla by robil NAT dla klientow uzywajacych VPNa i po sprawie.

Efekt jest taki, ze:
1. Tylko userzy ktorym wydales klucze szyfrujace (i skonfigurowales usluge) moga podpiac sie do VPNa
2. Podpiac do VPNa mozna sie tylko poprzez wifi
3. VPN podaje DNSy i jest domyslna brama na swiat
4. Caly ruch jest szyfrowany, pomimo tego, ze wifi nie ma zadnych zabezpieczen
5. MitM na takim VPNie? Nie spotkalem sie... tam jest pelne PKI do autoryzacji
6. Kazdy inny user wifi nie majacy vpn'a nic nie zdziala - ma dostep do LAN z innymi userami i na tym sprawa sie konczy...
7. Mozesz na wlan dac ze brama na swiat jest ten serwer vpn i na nim dac apache'a z komunikatem ze to siec bez wyjscia na swiat, bla bla bla bla... i przekierowac wszystkie polaczenia przychodzace ze strony wifi na po 80 na localhost ze jak ktos odpali przegladarke bez podniesionego VPNa to zobaczy Twoja informacje.

Zalety:
1. OpenVPN jest dostepny na Windows/Linux/Mac i niektore telefony komorkowe (wiem bo sam uzywam)
2. Mozesz odciac userow tak latwo jak ich dodac (CRL w OpenVPN)
3. Niski koszt - dziala z kazdym sprzetem wifi jaki masz
4. Mozesz nawet zrobic konfiguracje per-user po stronie serwera i np pewnym userom obciac predkosc... ;-)
5. IDS/IPS stawiasz in-line na wyjsciu na swiat z tego serwerka vpn... tam ruch idzie juz po zdeszyfrowaniu... detale gdzie jest robiony routing a gdzie NAT musisz juz sam dopracowac

Wady:
1. OpenVPN zajmie nieco CPU wiec musisz miec odpowiednio mocny serwer, zwlaszcza jesli wpuscisz wiecej uzytkownikow.
2. Nie wiesz dokladnie co sie dzieje po stronie wifi ale w sumie niewiele Cie to obchodzi bo i tak nikt nigdzie sie nie podlaczy - co najwyzej userki beda siebie nawzajem infekowac/atakowac...

Co o tym sadzicie?

[lojciecdyrektor]

Witam,

tylko czy aby nie będzie to zbyt ryzykowne? Serwer z OpenVPN będzie chyba narażony na atak... Potencjalnie każdy kto się podłączy do sieci będzie miał dostęp do serwera... Oczywiście nie jestem tego pewien tylko gdybam...

Tu chyba rozwiązanie z freeradiusem wydaje się być bardziej sensowne - można go skutecznie odseparować tak, aby tylko AP miał do niego dostęp...

Poza tym nie jestem pewien czy takie rozwiązanie będzie równie wydajne co Radius... Przecież przy zastosowaniu Radiusa też można by zostawić sieć otwartą, aby nie kusić WEP-em...

Chyba, że o czymś nie pomyślałem...

Pozdrawiam

[Whizz_BANG]

tylko czy aby nie będzie to zbyt ryzykowne? Serwer z OpenVPN będzie chyba narażony na atak... Potencjalnie każdy kto się podłączy do sieci będzie miał dostęp do serwera... Oczywiście nie jestem tego pewien tylko gdybam...

i tak trzeba radosnie kontrolowac logi...

nie wiem czy openvpn dobrze sobie poradzi z uzytkownikami - rozwiazania sprzetowe sa na miejscu wtedy;
tworzac takie rozwiazanie trzeba sie liczyc z przerwami w plynnosci dostepu do internetu raz na jakis czas, niby chwilowy, ale denerwujacy (ze wzgledu, ze to radio i nie wszedzie sygnal jest excellent);
z doswiadczenia moge pwoiedziec, ze wszystko jest ladnie do momentu problemow - czyli jak zawsze; rzeczywistosc nie wyglada tak rozowo, nie robilem nic na skale kilkuset uzytkownikow, ale mialem przyjemnosc oblugi kilkudziesieciu uzytkownikow, ktorzy łacza sie do serwera po kablu, w wifi jezeli sygnal bedzie slabszy - mozliwy jest reset sesji, i co wazne system win7 i vista nie jest elastyczny tak jak xp, raz polaczy od razu, a czasem np za 3 razem;
nastepnie problem z haslami - jezeli ktos pomyli sie pare razy i dostaje bana za glupote, moze robic problemy, ze w ogole nie dziala a on wszystko dobrze robi
czas jest najwazniejszy, a szukanie optymalnej konfiguracji hmm jak kto lubi; zreszta nie mam pojecia jaka maszyne trzeba wdrozyc, zeby nie muliła i jezeli juz sie bawic w szyfrowanie vpn - maszyna musi byc mocna - wydaje mi sie, choc moge sie mylic, ze radius jest mniej problemowy

w ogole przyznawanie jakiegokolwiek dostepu poprzez adres mac jest w porzadku - kto bedzie chcial to poda mac, imie, nazwisko i bedzie mogl korzystac z netu - czynnik psychologiczny sie pojawia, zeby nie robic glupot, bo przeciez podalo sie mac i nazwisko, a logi nie wybaczaja - moze to jest troche pracy z poczatku, ale to zaprocentuje w przyszlosci;

[lojciecdyrektor]

i tak trzeba radosnie kontrolowac logi...

A macie może jakieś sprawdzone informacje na temat zamulania łącza przez WPA2 RADIUS (np. na freeradiusie)?

Bo to by było bardzo bezpieczne rozwiązanie...w sumie pozostawianie wolnego radia może się nieciekawie skończyć...

Pozdrawiam

[wirelessnewbie90]

dziekuje za wszystkie dotychczasowe wypowiedzi, moje pytanie jest ogolnie poniewaz nie robilem nigdy takiego projektu. Projekt jest mocno teoretyczny a wiec tak jak mowilem, moge tutaj dopasowac istniejaca infrastrukture do rozwiazan o ktore mi glownie chodzi. To co na razie ustalilem wyglada po krotce tak :

POMYSLY
1. Usytuowanie AP w taki sposób aby zminimalizowany był zasięg poza budynkami
2. zapory w AP i innych komputerach
3. Filtracja MAc stacji podlaczajacych sie
4. Dynamiczne zarzadzanie kluczami
5. Zastosowanie Radiousa -> EAP Cisco Access Control Center

lub EAP-TLS , spiete FREERadiousem

6. Serwer w DMZ / odciecie od netu
7. Wykrywanie nieautoryzowanych AP
8. Wykrywanie połączeń o niższych prędkościach z AP
9. Odłączenie zasilania AP w nocy
10. VPN , jak dokladnie mialoby wygladac polaczenie z radiusem?
11. Podzial na poscieci dla roznych typow
12. Zmiana nazwy SSID na nie-domyslna
13. Sprzetowy IDS/ IPS , jakie polecacie?
14. LDAP z baza uzytkownikow
15. Dynamiczne przydzielanie VLANu , na podstawie informacji przydzielanej przez Radius


DOSTEP GOSCINNY
realizowany w wydzielonym VLANIE
brak adresow prywatnych i NAT

LOGI
czas uwierzytelniania i przydzielenia adres IP
identyfikator osoby uwierzytelnianej (EAP)
adres MAC
IP

ogolnie widze ze ciekawe rzeczy mozna znalezc na stronie eduroam.. jest tam troche zalozen..



@TQM Zakladajac ze zrobilbym to zgodnie z Twoja koncepcja, czy bylbys w stanie troche bardziej rozszerzyc zagadnienia ktore ywkorzystales / ewentualnie jakies przydatne linki.. z gory dzieki

@Whizz_BANG jakich informacji musialbym Ci dostarczyc abys mogl troche wiecej pomoc?