Wifi belépés

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2015. Feb. 3., K, 16:27:09 CET


Szia,

On 2015-02-03 14:52, pjanos wrote:

>  Tudtok e valami azonosító szervert, olyat, mint a Radius, ami a
> belépni szándékozók MAC addrass -ével azonosítja a belépni
> szándékozót és ha nem ismert akkor elutasítja.

Tobb megoldast is el tudok kepzelni, attol fugg, hogy pontosan milyen 
tipusu zavarasrol van szo (ezt nem fejtetted ki reszletesen).

Amire konkretan a kerdesed vonatkozott, a 802.1x autentikacio.  Nem 
tudom milyen access pontokat hasznalsz de a legolcsobbak is tamogatjak.  
Ehhez szukseges valoban egy radius szerver, peldaul egy linuxos 
freeradius teljesen jo a celra, de ha MS infrastrukturat hasznalsz, 
akkor regen az MS-IAS automatikusan resze volt a server edition 
oprendszereknek, az is egy radius implementacio, teljesen jol 
hasznalhato, integralodik AD-be, tiz ujjad megnyalod utana.  Ha 
komplexebb feltetelrendszert kell meghatarozni akkor alkalmatlan lesz, 
de alap funkciokra teljesen jo.

En nem javaslom a MAC alapu autentikaciot, bar termeszetesen megoldhato, 
konnyu spoofolni, visszaelni vele.  Sot, tovabb megyek, eleve MAC-hez en 
nem is kotnem a hasznalatot, tobb okbol sem.  Persze elkepzelheto, hogy 
valid okaid vannak megis igy tenni, ez a levelbol nem derult ki.

Nem csak a diakok/tanarok cserelodhetnek gyakran az intezmenyben, de meg 
azok eszkozei is.  Telefonok cserelodnek, ahogy elhagyjak oket, ahogy 
karacsonyra tabletet kapnak, csaladban ahogy rotaljak a telefonokat 
(legalabbis nalunk rotalas megy, valaki ujat vesz, a regi telefonja 
lecsereli valaki mas regebbi telefonjat).  Szerintem tul nagy macera es 
kesleltetes allandoan MAC addressekhez igazitani a halozatot, raadasul 
mikor azonositasz vele, nem felhasznalot, csak az eszkozet azonositod.

Amennyiben valamilyen ok miatt nem akarsz 802.1x azonositast, nehany 
helyen en hasznalom a vpn alapu hozzaferest.  Ennek a kialakitasnak 
jellemzoje egy titkositatlan wifi, ami egy izolalt halozathoz enged 
hozzaferest.  Ebben az izolalt halozatban semmi nincs, csak egy vpn 
atjaro es semmilyen mas forgalom nem is tud kijonni a halozatbol, mint 
vpn forgalom egy adott cimhez.

Barki, barmikor szabadon csatlakozhat hozza, es az intezmenyi VPN 
infrastrukturaval tud kapcsolatot felvenni az intezmenyi azonositojanak 
birtokaban.  Ha ez megtortent, onnantol teljes erteku halozati 
hozzaferese van.  VPN-t pedig az utolso kis vacak telefon is beepitve 
tamogat.  Mar 2009ben is, a nokia E51-ben is volt ilyen funkcio.

Ez utobbinak elonye, hogy konnyebb lehet guest hozzaferest kialakitani 
(tetszolegesen bovitheto a vpn nelkuli wireless kapcsolat 
hasznalhatosaga), illetve altalanos informaciokat konnyen kozze lehet 
tenni barki szamara.  Pl termek beosztasai, egyeb hasznos informaciok 
azok szamara is elerhetok wifin akik amugy nem jogosultak a teljes jogu 
hasznalatra.

udv
adam



További információk a(z) Techinfo levelezőlistáról