Γειά σε όλους !

Στην εταιρία που εργάζομαι, έχουμε 6 Windows 2000 και 2003 Servers , ένα Active Directory και γύρω στους 120 χρήστες.

Θα θέλαμε στην αίθουσα συσκέψεων να έχουμε wireless πρόσβαση ωστε πχ σε κάποιο σεμινάριο εκπαίδευσης που κάνουμε στους δικούς μας υπαλλήλους να μην χρειάζεται να φτιάχνουμε όλοκληρο δίκτυο (με ό,τι αυτό συνεπάγεται -> καλώδια, switches κτλ.. και γενικά να γίνεται ένα χάος.. ). Έχουμε 8-9 laptops οπου έχουν wireless δυνατότητες..

Οπότε σκεφτήκαμε να πάρουμε ένα Wireless Access Point ωστε να γίνεται όλη η δουλειά "πιο έυκολα και καθαρά" και επίσης, όταν γίνεται ένα meeting, και έχουμε επισκέπτες, να συνδέονται χωρίς μεγάλη δυσκολία (οι επισκέπτες μερικές φορές χρειάζονται internet για να παρουσιάσουν κάτι ... )

 

Ποιός είναι ο καλύτερος τρόπος να γίνει μία τέτοια υλοποίηση ? IAS Server ? Απλό WPA2 ? τί ??? Μπορείτε σας παρακαλώ να με βοηθήσετε σε αυτό ? Σίγουρα κάτι παραπάνω θα ξέρετε όσοι έχετε ήδη υλοποιήσει αυτό το σενάριο...

 

Ευχαριστώ πολύ !

---

MCTS. (70-640...pending...)


dailyfix.gr
@greenmarinos

Ο πιο σίγουρος και ασφαλής και προφανώς προτεινόμενος τρόπος είναι η χρήση  WPA2 με IAS (Radius) server.

---

Θανάσης Κλαδάκης

και για να συνεχίσω σε αυτό που λέει ο Νάσος και το πάμε ακόμα πιο ασφαλές...

...τα wireless να μένουν ανοιχτά μόνο κατά της διάρκεια των συναντήσεων-παρουσιάσεων και όλες τις υπόλοιπες ώρες να παραμένουν κλειστά....

 

δεν νομίζω να διαφωνεί κανείς σε αυτό;

---

G.K.
BSc in Business Information Systems,
MSc in Information Technology Management,
MCP, MCSA 2003, MCSA 2008, MCTS Virtualization

Μαζί σου ! Σίγουρα, αλλα κάποιες φορές κάτι τυχαίνει για τον x_y λόγο και κάποιος χρειάζεται ΤΩΡΑ το wireless και να μην είναι κάποιος αρμόδιος να το ανοίξει εκείνη τη στιγμή, οπότε είναι κάπως δύσκολο να κλείνει..

---

MCTS. (70-640...pending...)


dailyfix.gr
@greenmarinos

αν το φροντίσεις να βρίσκετε στο χώρο και να πατάνε απλά ένα κουμπάκι...τότε νομίζω ότι είναι πιο εύκολο...

αλλά όπως και να έχει it's your call...

 

από εκεί και πέρα το hacking του WPA είναι παααααρα πολύ δύσκολο, οπότε δεν νομίζω να αντιμετωπίσεις πρόβλημα. Κρύψε και το wireless id και θα είσαι οκ. Αν μπορείς να φτιάξεις και mac address list με αυτά που θες, τότε θα είσαι ακόμα καλύτερα...αλλά αν μπαίνουν και άλλοι περαστικοί από την εταιρία τότε αυτό δεν γίνετε....

---

G.K.
BSc in Business Information Systems,
MSc in Information Technology Management,
MCP, MCSA 2003, MCSA 2008, MCTS Virtualization

Όντως αν μπορείς και έχεις τον χρόνο να βάλεις MAC Address list θα ήταν ακόμη καλύτερα! Εγώ μέχρι και στο σπίτι έχω βάλει MAC address list και κάνω hide το SSID   lol

---

"You know you're a geek when... You try to shoo a fly away from the monitor with your cursor. That just happened to me. It was scary."

Καλύτερα WP2 και μάλιστα με πολύ μεγάλο και δύσκολο passkey. Το σπάσιμο WPA/WPA2 γίνεται με GPUs πλέον οπότε όσο πιο μεγάλο είναι το κλειδί τόσο πιο χρονοβόρο είναι το σπάσιμο. Και επειδή μέρος του κλειδιού είναι και το SSID, αλλάξτε και αυτό σε κάτι μεγάλο και μπερδεμένο. Είναι σίγουρο ότι αυτή τη στιγμή μου μιλάμε μερικές χιλιάδες περίεργοι τύποι στον κόσμο "γεννούν" έτοιμα hash dictionaries για γρήγορες επιθέσεις.

---

Ανδρέας Τσούχλαρης
Global IT Community Association - Paradigm Shift - Follow me!

fenia:

Όντως αν μπορείς και έχεις τον χρόνο να βάλεις MAC Address list θα ήταν ακόμη καλύτερα! Εγώ μέχρι και στο σπίτι έχω βάλει MAC address list και κάνω hide το SSID   lol

Δυστυχώς ούτε το MAC filtering ούτε το κρύψιμο του SSID βοηθούν σε κάτι. Μόνο κανέναν στο μπαλκόνι του που παίζει με τα δίκτυα των γειτόνων με μόνο όπλο τα Windows... Το SSID γίνεται broadcast έτσι κι αλλιώς (διαφορετικά δεν θα μπορούσες να συνδεθείς) και απλά δεν το εμφανίζει το λειτουργικό επειδή είναι "non-visible" και το mac address αλλάζει πλέον με utilities και για τα Windows προσβάσιμα στον καθένα.

---

Ανδρέας Τσούχλαρης
Global IT Community Association - Paradigm Shift - Follow me!

atsouch:

fenia:

Όντως αν μπορείς και έχεις τον χρόνο να βάλεις MAC Address list θα ήταν ακόμη καλύτερα! Εγώ μέχρι και στο σπίτι έχω βάλει MAC address list και κάνω hide το SSID   lol

Δυστυχώς ούτε το MAC filtering ούτε το κρύψιμο του SSID βοηθούν σε κάτι. Μόνο κανέναν στο μπαλκόνι του που παίζει με τα δίκτυα των γειτόνων με μόνο όπλο τα Windows... Το SSID γίνεται broadcast έτσι κι αλλιώς (διαφορετικά δεν θα μπορούσες να συνδεθείς) και απλά δεν το εμφανίζει το λειτουργικό επειδή είναι "non-visible" και το mac address αλλάζει πλέον με utilities και για τα Windows προσβάσιμα στον καθένα.

Ναι σύμφωνοι, για αυτό άλλωστε και υπάρχουν τα γνωστά netstumbler, kismet...Κλπ κλπ και άλλα χειρότερα που δεν θα αναφέρω... Αλλά δεν νομίζω κάποιος να μπει σε τέτοιο κόπο για το δικό μου wireless network. Και αν μπεί στο σπίτι, τι να πω... αντε να κάνει copy το Greys Anatomy ...  lol

Πάντως τώρα σοβαρά, εμένα όταν μου ζήτησε το αφεντικό μου στην Αγγλία να βάλουμε wireless στο κτίριο..... συγκεκριμένα είπε γεμάτος ενθουσιασμό! " I think we should spend 100-200 pounds (!έλεος!) and buy a good wireless router and then everyone in the office can have access in the meeting room from their laptops!"


Εγώ απλά του έφτιαξα μια λίστα για να δει αναλυτικά πόσο θα του κόστιζε αυτό που πρότεινα ... (radius srv, smart cards....etc)...  αφού ήπιε 3 Pints να συνέλθει το μεσημέρι μου ζήτησε να κατεβάσω την τιμή στις 200 λίρες.... Εν τέλει πέρασα καλώδια στο meeting room και έβαλα και ένα hubaki κάτω από το τραπέζι που του κόστισε  €30, έφτιαξα και τα καλώδια όμορφα να μην κρέμονται από εδώ και απο εκεί και να μη σκοντάφτει κανείς και έιμασταν όλοι ευχαριστημένοι!

---

"You know you're a geek when... You try to shoo a fly away from the monitor with your cursor. That just happened to me. It was scary."

Σίγουρα κάποιοι θα έχουν πιο πρακτική εμπειρεία πάνω στο θέμα αλλά μήπως γινόμαστε λίγο υπερβολικοι Δηλαδή λέμε ότι έχουμε ένα γραφειάκι κάπου και θέλουμε να βάλουμε wireless για εύκολη σύνδεση επισκεπτών... ΑΝ βάλουμε μια προστασία τύπου WPA ,ένα καλό μακρυνάρι password ,κρυψουμε το SSID καλώς ή κακώς απαιτείται ιδιαίτερα μεγάλο χρονικό διάστημα για να σπάσει. Παραθέτω μια εικόνα που βρήκα με ταχύτητα σπασίματος http://www.tomshardware.com/gallery/ewsa,0101-176390-0----jpg-.html Με βάση οτι οι επισκέπτες κουβαλάνε κατά βάση 1 λαπτοπακι με μετα βίας την υπολογιστική ισχύ των 2 τελευταίων "συμμετοχόντων" μήπως θα πάρει αφύσικα πολύ για οποιαδήποτε να "μπει" Η ιδέα οτι κάποιος κουβαλάει 1 Tesla μαζί του είναι λίγο too much προκειμένου να ασχοληθεί με το πως θα "μπει στο δίκτυο σου". Μια φορά που πήγα να δώ μέσω Windows αν σπάει το WEP επρεπε να το αφήσω για μέρες προκειμένου να μαζέψει τα πακέτα για αποκωδικοποίηση.Και λίγο δυσκολο υποτίθεται επαγγελματίες επισκέπτες να κουβαλάνε Linuxακια laptop και αντί να κάνουν την δουλειά τους να προσπαθούν να σπάσουν το σύστημα. Κάπου πρέπει και αυτοι να παρουσιάσουν οτι "κατι" κανανε στην ώρα που ήταν στο γραφειακι....... Τεσπα οπως λένε just my two cents

α. Ποιός είπε ότι μιλάμε για τους επισκέπτες; Το ότι δεν πιάνουμε σήμα εμείς με το μηχάνημά μας ακόμη και απο διπλανά γραφεία δεν σημαίνει ότι το σήμα δεν υπάρχει. Μια καλύτερη κεραία χρειάζεται που σιγοιυρα δεν έχουν τα Notebooks που κουβαλάμε εμείς...

β. Σε συνάντηση του autoexec.gr ενά από τα παιδιά ανέφερε ότι βρέθηκε σε εταιρεία μέσα σε αεραγωγό (νομίζω ή κάτι τέτοιο) ένα access point συνδεδμένο στο εσωτερικό δίκτυο. Μήπως τα πράγματα αρχίζουν να γίνονται πιο μπερδεμένα απότι ήταν παλιότερα; Δεν είμαι paranoid με την ασφάλεια αλλά αν μια εταιρεία έχει στοιχεία τα οποία δεν θα ανέβαζε ποτέ σε public folders στο ιντερνετ τότε . Και σχετικά με την ασφάλεια στο σπίτι: μήπως το domain password μου (και το passkey για τα access points μας) είναι αποθηκευμένο στο notebook που αυτή την στιγμή χρησιμοποιώ από το σπίτι; Και εγώ δεν ανησυχώ για τις φωτογραφίες των παιδιών μου αλλά η πρόσβαση σε κάποιο PC όλο και κάτι θα αποφέρει τελικά... 

γ. Οι χρόνοι στο πινακάκι της Elcomsoft δείχνουν απλά πόσο γρηγορότερα γίνονται οι υπολογισμοί απλά με μια κάρτα γραφικών χωρίς να αλλάξει η τεχνολογία που έχουμε (x32 με μια HD4870 σε σχέση με έναν E4500). Όπως έγραψα, ένα μεγάλο passkey είναι η λύση (μέχρι να μάθουμε ότι βρέθηκε κάποια τρύπα στο σύστημα...). Το κακό είναι ότι ένα cracker δεν θα κάτσει να δοκιμάσει ένα ένα τα passwords - έχει έτοιμα precomputed hash tables (που θέλουν ισχυρά μηχανάκια και μέρες) και απλά τα δοκιμάζει κατευθείαν πάνω στα πακέτα που εκπέμπονται.

δ. Για το wep θεώρησε ότι είναι σαν να μην υπάρχει προστασία (μόνο για να σταματήσεις κάποιον άσχετο που θα "εκλεβε" bandwidth από την dsl σου). 64-bit WEP cracking σε 10 secs και 128-bit σε 2 λετπά! Πέρσι με ένα athlon notebook στα 1,6... http://www.awmn.net/forum/viewtopic.php?f=42&t=37484   

---

Ανδρέας Τσούχλαρης
Global IT Community Association - Paradigm Shift - Follow me!

Επειδή ανέφερες την περίπτωση με το σήμα υπάρχει και το θέμα πόσο σήμα διαρρέει έξω απο το γραφείο και προς τα ποιά μεριά.Με απλές ιδιοκατασκευές (βλέπε windsurfer ) μπορείς να "συμμαζέψεις" το σήμα προς την κατεύθυνση που επιθυμείς και παράλληλα να το περιορίσεις προς τις άλλες κατευθύνσεις.Δυστυχώς δεν μπορώ να βρω την σελίδα οπου ένας τύπος γύρισε ανάποδα το Windsurfer και φυσικά υπήρχε μια εξαιρετικά πτώση σήματος.Αυτά βέβαια σύμφωνα με το σενάριο του γραφείου.
Όντως εντυπωσιακό αυτό με το WEP .....

Να θυμίσω μόνο τι απέφερε η βόλτα δύο δικών μας παιδιών μετά το περσινό security forum μετά απο μια μικρή βόλτα στους δρόμους του Πειραιά , με αξεσουάρ το laptop τους και κάποια special εργαλεία που πήραν απο το event.

Απειρα προσωπικά στοιχεία, λογαριασμοί τραπέζης, ταυτότητες, συμβόλαια...

Οπότε είπαμε WPA2 και radius για εταιρία και σκέτο wpa2 για το σπίτι.

---

Θανάσης Κλαδάκης

H υλοποίηση όμως του Radius, παίρνει WPA2 ? Τουλάχιστον στο lab μου, είδα οτι έχει μέχρι κ WPA/AES..

am I missing something ? κάποιο update όσων αφορά τον Radius ?

---

MCTS. (70-640...pending...)


dailyfix.gr
@greenmarinos

παίδες...όντας χρήστης linux και έχοντας κάνει πάμπολες προσπάθειες στις Interoperability δοκιμές μου...

έχω να πω το εξής...

το σπάσιμο ακόμα και του WEP είναι δύσκολο...στο Link Που είναι στο awmn ο τύπος έχει κάνει capture σχεδόν 45000 ivs...αυτό σε 2 λεπτά δεν γίνετε. εκτός και αν 2 λεπτά σπάσιμο θεωρεί τις πληροφορίες που πήρε μέσα σε 3 λεπτά από το airodump ή ότι χρησιμοποίησε το airodump στις 18:37 και το sceenshoot είναι στις 18:46! (ή στην τελική εφόσον έτρεξε όλα αυτά και μάζεψε τα 45000 ivs του πήρε δύο λεπτά για να βγάλει το κλειδί με το aircrack...χαίρω πολύ Blackman)

στον χώρο που είναι το γραφείο μου είναι σε 'ταράτσα' και από εδώ 'πιάνω' πολλά ασύρματα δίκτυα κάθε τύπου...για τον χαβαλέ και μόνο έχω βάλει laptops να σπάσουν διάφορα από αυτά και σε λίγες περιπτώσεις κατάφερα να μαζέψω λίγες χιλιάδες ivs μέσα σε διάστημα πάνω από μίας ώρας, στις υπόλοιπες απλά έχανε την επικοινωνία λόγο κακού σήματος

ακόμα και στην κίνηση που δημιουργεί κάποιος προς το AP δεν είναι αφικτό να έχεις 45000Ivs στο πιο 'δραστήριο' routerάκι. Δεν λέω ότι δεν σπάει. Φυσικά και σπάει και αν το δείτε στην πράξη είναι εύκολο, αλλά αυτό που θέλει είναι χρόνος για να μαζέψει τα απαραίτητα πακέτα.

Η αλήθεια είναι ότι όπου είχα διαβάσει για το συγκεκριμένο το εμφανίζουν ότι είναι κάτι που κάνει και ο Μπαρμπακίτσος με τα κοτόπουλα της γειτονιάς. Δεν θέλει τρελές γνώσεις (αφού άλλωστε στο διαδύκτιο θα βρείτε το πως γίνετε βήμα βήμα), αλλά δεν είναι και μπαμ μπαμ κατάσταση (troubleshooting αν κάτι δεν πάει καλά). Φυσικά όλα τα παραπάνω τα λέω από προσωπική εμπειρία.

Σε συζητήσεις που είχα κάνει με παιδιά που έχουν ασχοληθεί και λένε ότι το έχουν σπάσει γρήγορα έπεσαν σε περίπτωση που το AP που έσπασαν είχαν πολύ απλό keyword (μία απλή λέξη συνήθως) ή πολύ μικρό keyword.

Νομίζω ότι με χρήση μεγάλου και πολύπλοκου κλειδιού με χρήση WPA/WPA2 δεν υπάρχει κανένα πρόβλημα. Αν και με αυτά που έχω δει...γιου νέβερ νόου

 

πάντως για να έχετε και άποψη, όσοι θέλετε να χρησιμοποιήσετε το συγκεκριμένο εργαλείο για δοκιμές, πάρτε και τα σχετικά links

http://www.aircrack-ng.org/doku.php?id=simple_wep_crack

http://www.aircrack-ng.org/doku.php?id=cracking_wpa

όπως και ο φίλος μας μπορεί να το δοκιμάσει στο δικό του ασύρματο...και αν θέλει κάτι άμεσο...να κατεβάσει την live έκδοση του Backtrack 3 για τις δοκιμές του (Backtrack 4 beta is on the loose).

---

G.K.
BSc in Business Information Systems,
MSc in Information Technology Management,
MCP, MCSA 2003, MCSA 2008, MCTS Virtualization