[Techinfo] sulix + wifi

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2016. Nov. 8., K, 22:40:05 CET


On 2016-11-08 17:27, Csaba Tiba wrote:
> eszközét és idokorlátos is lehet. Nincs teljes tiltás, és a
> diáknak is jó. Minden korlátozás csak arra jó hogy csakazértis

De az eredeti feladat eppen a tiltas volt :) lehet, hogy pedagogiailag 
ugy gondolod, hogy a gyereket nem kell hergelni korlatozasokkal, de ha 
egyszer nem ez a feladat...  en is peldaul szivesebben jarnam az 
orszagokat, maratonokat futva, de ha egyszer a feladat nem ez, akkor nem 
ezt csinalom.

> és kontra véleménnyel. A ciscos megoldás biztos tökéletes és
> kizárja a mac klónozását vagy az ip ütközést de csak a kedvet
> hozza meg a wifi feltöréshez.

Egyreszt nem latom, mi a rossz abban, ha onjelolt hekkerek nekiallnak 
probalkozni egy rendszerrel.  Mi a legrosszabb ami tortenhet?  
Internet-hozzafereshez jut, meg egy adag tapasztalathoz.  Ezzel 
parhuzamosan a rendszergazda pedig tapasztalathoz.  Szakmai szemmel 
nezve ez egy win-win szituacio.

Masreszt, mint azt mar emlitettem tobbszor: egy tokeletes megoldas 
sincs, optimalis megoldas van.

Az eredeti levelre:

> Lényeg amennyi kiskaput be lehet zárni azt bezárnám, hogy csak megadott 
> idoben
> és megadott szabályok mellett használhassák a wifit...

A dolgot amugy megfoghatod proaktivan es reaktivan is, attol fuggoen, 
hogy milyen teruleten akarsz tapasztalatokat szerezni (mar, ha akarsz 
egyatalan).  Ha nem akarsz egyatalan, akkor ez sima ugy: ismertek a 
jatekszabalyok, ismertek a technikai korlatok, innentol ez nevelesi 
feladat, nem muszaki.

Ha inkabb monitoring, IDS, security teruleten mozogsz otthonosabban, 
akkor fogd meg a dolgot a reaktiv vegerol.  Ha inkabb halozatos temaban 
vagy otthon, akkor fogd meg a dolgot a proaktiv vegerol.

Reaktiv megoldas, hogy a forgalmat attereled egy kituntetett halozati 
eszkozon vagy szerveren.  Ez lehet proxy, IDS, egy naplozo szerver, 
barmi.  Aki abban szerepel, az ugye megszegte a szabalyokat.  Innentol 
kezdve a fokuszod azon lesz, hogy ez a monitoring minel tokeletesebb 
legyen.  El lehet melyulni ilyenkor OS fingerprinting, deep packet 
analysis, IDS, ICF, proxy, valamint wifi alapu helymeghatarozas 
kerdeseiben.  Esetleg bevezethetsz a szabalyt megszegok reszere egy, a 
szabalyszeges fokaval aranyosan, valos idoben csokkeno savszelesseg 
korlatot.  Ebben meg latnek is amugy raciot.  Ezek mind szakmai dolgok 
es habitusodtol fuggoen profitalhatsz a megszerzett tapasztalatokbol a 
karriered meg hatralevo resze soran.

A proaktiv megoldas nyilvan a megelozes, lehetetlenne teves.  Engem 
mondjuk ez a resze jobban mozgatna meg, de nem vagyunk egyformak.  Ebben 
a kontextusban olyan dolgokon tudsz merengeni, mint port security, 
autentikacio, vmps, 802.1x, arp spoofing, dhcp snooping, NAC, TrustSec, 
profiling.  Egy csomo kifejezes amikre keresve szamtalan szakirodalomba 
botlasz.

Nem, nem azt mondom, hogy most azonnal rohanj es vasarolj 
professzionalis AP megoldast, kontrollert, akarmit, hanem azt, hogy 
olvasd es ertsd meg a koncepciot, majd vizsgald meg, ezek kozul mi az 
amit meg tudsz valositani a sajat kornyezetedben.  Onmagaban arrol 
konyveket irtak mar, hogy milyen elonyokel es hatranyokkal jar a 
felhasznalo azonositasa vagy a felhasznalo eszkozenek azonositasa.

De ha kimozdulunk az adatkapcsolati retegbol, a halozati retegben is 
szamtalan olyan technika talalhato, amivel egy adott szegmensen belul 
tudod tartani a nem kivanatos forgalmat, a nap egy adott reszeben.  
Automatizaltan.  Ehhez nyilvan a halozatodat kell jobban ismerni.

Gondolom mondanom sem kell, hogy engem szemely szerint hullara nem 
erdekel az, hogy milyen szabalyokat kik akarnak betartatni, illetve az, 
hogy milyen celbol.  Engem sokkal jobban foglalkoztat annak a muszaki 
megvalositasa, hogy egy adott igenyt (a gyerekek netezeset, vagy annak 
megallitasat) mikent tudja egy halozati infrastruktura kiszolgalni.  Igy 
szamomra nem akceptalhato az a hozzaallas, hogy adjunk nekik netet, 
akkor majd nem kell nekik annyira.  Ebben a muszaki kihivas egyertelmuen 
nulla.

udv
adam



További információk a(z) Techinfo levelezőlistáról