[Techinfo] sulix + wifi

Csaba Tiba tibacsaba at gmail.com
2016. Nov. 9., Sze, 01:02:24 CET


Kedves Ádám!

A szakmai részével nem vitatkozom és valóban az adott iskola dönt majd a
megfelelő pénzügyi háttér és eszközök alapján, hogy mit hogyan old meg, de:
Hotspotoknál is van lehetőség az azonosításra és mindenféle biztonsági
szabály betartására is, több kollégiumban vagy szállodákban is működő
lehetőség. Az eszközök adottak, ezek valamelyik ..wrt-s megoldással
felokosíthatóak lehetnek (nem adta meg a típusát) és akkor sokkal több
dolgot is elér a biztonságos üzemeltetéshez mint az eredeti gyári
szoftveren. Amit tovább tud fokozni a szerveren futó egyéb alkalmazásokkal
is amit te is leírtál.
ddwrt alatt a tűzfalszabályokkal is el lehet játszani.
Vagy a tp-linkes eszközön (bár konkrét típust nem tudtunk meg) beállítható
a dhcp snooping? Komolyabb cuccokban benne van, de neki nem biztos hogy
megoldást jelent, ha nincs cisco-s eszköze hozzá vagy nem egy komolyabb
tp-linkes cucc tulaja.
 Mondjuk egy egyszerűbb elfekvő asztaliból pc-ből lehetne egy linuxos
szervert összedobni ami a monitorozásban és még sok másban segíthetne.
Igazán tényleg kevés infó és háttért tudnunk ahhoz hogy konkrétabb
segítséget jelentsen számára bármelyik hozzászólásunk, El tudjuk terelgetni
egy adott irányba és a habitus és pénz fog dönteni a kivitelezésben.
Azzal főz ami van.

Üdvözlettel
Csaba

2016. november 8. 22:40 írta, <ka at mayten.sch.bme.hu>:

> On 2016-11-08 17:27, Csaba Tiba wrote:
>
>> eszközét és idokorlátos is lehet. Nincs teljes tiltás, és a
>> diáknak is jó. Minden korlátozás csak arra jó hogy csakazértis
>>
>
> De az eredeti feladat eppen a tiltas volt :) lehet, hogy pedagogiailag ugy
> gondolod, hogy a gyereket nem kell hergelni korlatozasokkal, de ha egyszer
> nem ez a feladat...  en is peldaul szivesebben jarnam az orszagokat,
> maratonokat futva, de ha egyszer a feladat nem ez, akkor nem ezt csinalom.
>
> és kontra véleménnyel. A ciscos megoldás biztos tökéletes és
>> kizárja a mac klónozását vagy az ip ütközést de csak a kedvet
>> hozza meg a wifi feltöréshez.
>>
>
> Egyreszt nem latom, mi a rossz abban, ha onjelolt hekkerek nekiallnak
> probalkozni egy rendszerrel.  Mi a legrosszabb ami tortenhet?
> Internet-hozzafereshez jut, meg egy adag tapasztalathoz.  Ezzel
> parhuzamosan a rendszergazda pedig tapasztalathoz.  Szakmai szemmel nezve
> ez egy win-win szituacio.
>
> Masreszt, mint azt mar emlitettem tobbszor: egy tokeletes megoldas sincs,
> optimalis megoldas van.
>
> Az eredeti levelre:
>
> Lényeg amennyi kiskaput be lehet zárni azt bezárnám, hogy csak megadott
>> idoben
>> és megadott szabályok mellett használhassák a wifit...
>>
>
> A dolgot amugy megfoghatod proaktivan es reaktivan is, attol fuggoen, hogy
> milyen teruleten akarsz tapasztalatokat szerezni (mar, ha akarsz
> egyatalan).  Ha nem akarsz egyatalan, akkor ez sima ugy: ismertek a
> jatekszabalyok, ismertek a technikai korlatok, innentol ez nevelesi
> feladat, nem muszaki.
>
> Ha inkabb monitoring, IDS, security teruleten mozogsz otthonosabban, akkor
> fogd meg a dolgot a reaktiv vegerol.  Ha inkabb halozatos temaban vagy
> otthon, akkor fogd meg a dolgot a proaktiv vegerol.
>
> Reaktiv megoldas, hogy a forgalmat attereled egy kituntetett halozati
> eszkozon vagy szerveren.  Ez lehet proxy, IDS, egy naplozo szerver, barmi.
> Aki abban szerepel, az ugye megszegte a szabalyokat.  Innentol kezdve a
> fokuszod azon lesz, hogy ez a monitoring minel tokeletesebb legyen.  El
> lehet melyulni ilyenkor OS fingerprinting, deep packet analysis, IDS, ICF,
> proxy, valamint wifi alapu helymeghatarozas kerdeseiben.  Esetleg
> bevezethetsz a szabalyt megszegok reszere egy, a szabalyszeges fokaval
> aranyosan, valos idoben csokkeno savszelesseg korlatot.  Ebben meg latnek
> is amugy raciot.  Ezek mind szakmai dolgok es habitusodtol fuggoen
> profitalhatsz a megszerzett tapasztalatokbol a karriered meg hatralevo
> resze soran.
>
> A proaktiv megoldas nyilvan a megelozes, lehetetlenne teves.  Engem
> mondjuk ez a resze jobban mozgatna meg, de nem vagyunk egyformak.  Ebben a
> kontextusban olyan dolgokon tudsz merengeni, mint port security,
> autentikacio, vmps, 802.1x, arp spoofing, dhcp snooping, NAC, TrustSec,
> profiling.  Egy csomo kifejezes amikre keresve szamtalan szakirodalomba
> botlasz.
>
> Nem, nem azt mondom, hogy most azonnal rohanj es vasarolj professzionalis
> AP megoldast, kontrollert, akarmit, hanem azt, hogy olvasd es ertsd meg a
> koncepciot, majd vizsgald meg, ezek kozul mi az amit meg tudsz valositani a
> sajat kornyezetedben.  Onmagaban arrol konyveket irtak mar, hogy milyen
> elonyokel es hatranyokkal jar a felhasznalo azonositasa vagy a felhasznalo
> eszkozenek azonositasa.
>
> De ha kimozdulunk az adatkapcsolati retegbol, a halozati retegben is
> szamtalan olyan technika talalhato, amivel egy adott szegmensen belul tudod
> tartani a nem kivanatos forgalmat, a nap egy adott reszeben.
> Automatizaltan.  Ehhez nyilvan a halozatodat kell jobban ismerni.
>
> Gondolom mondanom sem kell, hogy engem szemely szerint hullara nem erdekel
> az, hogy milyen szabalyokat kik akarnak betartatni, illetve az, hogy milyen
> celbol.  Engem sokkal jobban foglalkoztat annak a muszaki megvalositasa,
> hogy egy adott igenyt (a gyerekek netezeset, vagy annak megallitasat)
> mikent tudja egy halozati infrastruktura kiszolgalni.  Igy szamomra nem
> akceptalhato az a hozzaallas, hogy adjunk nekik netet, akkor majd nem kell
> nekik annyira.  Ebben a muszaki kihivas egyertelmuen nulla.
>
> udv
> adam
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20161109/5cbd124b/attachment.html>


További információk a(z) Techinfo levelezőlistáról