Szukam Softu

[B!sH0p]

Czy jest jakis Serwer Radius pod system windows xp ?

[McBolo]

radius to nie serwer tylko protokol autentyfikacji

moze on byc implementowany do roznych uslug sieciowych, wiec raczej musisz szukac w oprogramowaniach serwerowych obslugujacych protokol Remote Authentication Dial-In User Service.
zaleznie od tego co chcesz osiagnac, np gdy chcesz autentyfikowac uzytkownikow swojej sieci lokalnej korzystajacych z internetu to potrzebujesz jakiegos routera softwareowego (bramy) obslugujacego RADIUS'a

[B!sH0p]

oki zgadzam sie ze radius to nie serwer tylko protokół. Tak jak napisałeś mam zamiar autentyfikowac uzytkownikow swojej sieci lokalnej mówiac dokładnie sieci Wi-fi. Niestety mój sprzetowy ruter nie ma obsługi RADIUS'a. W sieci lan dziala serwer ftp i www postawiony na windowsie, i własnie czy jest mozliwość użycia tego kompa do autentyfikowania użytkowników sieci. Zdaje sobie sprawe ze Linux by załatwił sprawe ale niestety moja wiedza na temat linuxa jest zbyt skąpa.

[McBolo]

w tym omencie sam sobie odpowiedziales

twoj router nie ma obslugi radiusa - wiec nie bedizesz mogl sie autoryzowac przy polaczeniu z nim - a internet (brama internetu) dziala niezaleznie od postawionego serwera wewnatrz sieci - jest mozliwosc korzystania z zewnetrznych form autoryzacji, ale to jest spotykane np w routerach cosco, a domyslam sie, ze tkaim sprzetem nie dysponujesz

jedyne co mozesz zrobic to obejsc to troche i korzystac z routera sprzetowego tylko jako z AP - podlaczajac go bezposrednio do serwera na windowsie i tam uzywac software'owego routera z autoryzacja czyli

user 1 ------
user 2 ------ AP(wylaczony routing) ---- switch --- serwer Win32(jako router+RADIUS)
user 3 ------

[B!sH0p]

Ok moj ruter to Zyxel i nie ma RADIUS'a niestety. Ale powiedz mi jak rozwiązac sprawe jeżeli mamy doczynienia z siecia Lan bez podłączenia do internetu, zadnej bramy a chcemy chronic siec. Serwer RADIUS'a ma za zadanie autoryzowac userów przy podłączeniu do sieci np Wi-fi. Jak rozwiązac ten problem czy jest taka możliwość aby cos w sieci autoryzowało userów przy podłączeniu do sieci poprzez AP

[Sato]

kazdy APek posiada autoryzacje WEP... wiec nie bedziesz potrzebowal wychodzi poza te urzadzenia...
plus: łatwe w ustawieniu
minus: uciazliwa dystrybucja kluczy, oraz jezeli siec wymaga wiekszej poufnosci to zabezpiecznie to nie zatrzyma naporu upartego wlamywacza...

a co do Radiusa, to nie wystarczy ze ustawisz serwer pod win czy linuksem... urzadzenia dostepowe (APeki) musza miec mozliwosci "rozmawiania" z takicm serwerem... wiec upewnij sie najpierw czy urzadzenia ktore posiadasz maja taka wlasciwosc...

co to poszukiwania samego softu... poszperaj w googlach, koniecznie przejzyj grupy dyskusyjne, odwiedz stroniki o wi-fi (np. http://www.cyberbajt.pl)... i moze znajdziejsz jakas darmowa implementacje Radiusa pod winde... aczkolwiek predzej spodziewaj sie komercyjnych rozwiazan, niz freeware...

[B!sH0p]

Zgadza sie jednak wep nie jest tym rozwiazanem ktorego szukam. Po pierwsze jest to bardzo slabe rozwiazanie i do tego kłopotliwe w dystrybucji kluczy. Co do Ap maja mozliwość rozmaiania z serwerem RADIUS'a . Mialem nadzieje ze może ktoś z Użytkowników forum podsunie mi gotowy sprawdzony u siebie pomysł.

[McBolo]

no to jezeli chcecie chronic swoja siec to jest prosty sposob

VPN chroniony IPSec

na serwerze w windows wchodzisz w polaczenia sieciowe > nowe polaczenie > zaawansowane > akceptuj polaczenia przychodzace > i akceptujesz polaczenia na dana karte sieciowa

tworzysz na windowsie wirtualna siec o masce innej niz wasz LAN prawdziwy, tak, zeby nikt nie mial dostepu (dodatkowo pozwolic dostepu do sieci tylko z interfejsu nasluchujacego - bedzie on mial swoj wirtualny IP)
i tak za pomoca autoryzacji windows znajdujecie sie w sieci , do ktorej nikt nie ma dostepu, oprocz zautoryzowanych uzytkownikow.

pozostaje jeszcze zablokowanie LANu na stacjach roboczych klientow WI-FI, ale to juz wtedy osobny problem samego uzytkownika w sieci.

(dodatkowo istnieje mozliwosc rozprowadzania internetu tylko wtym VPN'ie)

jak bedizesz mial probelmy ze skonfigurowaniem VPN to pw me

[B!sH0p]

Dobra myśl jednak nie o to chodzi. Główny problem to sieć wi-fi. Do sieci wi-fi podłączone są firmowe komputery gdyz nie było możliwości podłączenia ich skrętką. Moim zamiarem nie jest ochronić sieć komputerów podłączonych kablem a ochrona sposobu autoryzacji przez AP, i z tym mam spory problem. Prawie wszystkie kompy maja udostępnione zasoby tak aby było można je pozyskać z dowolnego miejsca w sieci Lan. Serwer RADIUS'a pozwolił by na stanowczo większe zabezpieczenie komputerów pracujących poprzez wi-fi. Tak jak pisal Sato WEP jest dosyć słabe i kłopotliwe. Myślałem o zrobieniu drugiego natu ale to tez spowoduje odizolowanie komputerów w sieci a nie o to tu chodzi. Co zrobic w takim wypadku ?

[McBolo]

kupic lepszy router


niestety innych pomyslow juz nie mam - powodzenia w walce

[B!sH0p]

Ale tu nie chodzi o ruter i możliwość uzyskania dostępu do netu poprzez brame. Tu chodzi o zabezpieczenie logowania do AP, ruter to inna sprawa. Samo logowanie i wpuszczenie usera przez AP wydanie mu klucza autoryzacji. Jeżeli nie spełni wymogów AP go nie wpuści do sieci Lan nie mówie o sieci Wan.

[r00t]

Ale tu nie chodzi o ruter i możliwość uzyskania dostępu do netu poprzez brame. Tu chodzi o zabezpieczenie logowania do AP, ruter to inna sprawa. Samo logowanie i wpuszczenie usera przez AP wydanie mu klucza autoryzacji. Jeżeli nie spełni wymogów AP go nie wpuści do sieci Lan nie mówie o sieci Wan.

po co aż tak kombinować z radiusem czy czyms innym...... jeżeli chodzi o sieć LAN tylko to trzeba porządnie skonfigurować domenę WINDOWS i tyle. A nich ktos się dostanie do sieci - fizycznie. Jak się do niej nie zaloguje to nic nie zrobi. Nie zaloguje w sensie do domeny Windows.

A jeżeli twój AP ma możliwość "gadania" z Radiusem to ja nie widzę problemu. Win 2003 Serwer chyba ma serwer radiusa już w sobie... tylko trzeba kupić Windowsa a on trochę kosztuje.

[Generał]

Radius nie rozwiąże Twojego problemu. Będzie on tylko zastępczo (zamiast tabeli MAC adresów na AP) autentyfikował połączenie i ich wpuszczał na AP (zakładając, że AP wspiera Radiusa).

Najtańszym rozwiązaniem jest mocny WEP (128 lub 256 bitowy). Są teoretycy twierdzący, że da się każdy klucz złamać, zapominają jednak, że czas potrzebny do nasłuchu transmisji jest liczony w godzinach, wystarczy więc zmieniać klucz raz na kilka godzin transmisji (niektóre karty i AP same to robią) i problem częściowo rozwiązany.
Do rozszyfrowania klucza WEP potrzebne są dwie rzeczy.
1. trzeba zgromadzić wystarczająca liczbę ramek za słabym wektorem inicjalizującym,
2. należy przeprowadzić zakończony powodzeniem atak na zebrane ramki.
Istotną rolę odgrywa też ilość transmitowanych ramek (co przekłada się na przepustowość łącza), im łącze bardziej wysycone, tym będzie potrzebny krótszy czas na zebranie ramek do analizy.
Z analizy doświadczeń wiodących firm w Polsce (Cyberbajt, Proxim), należy uznać, że przy wysyceniu łącza w 60% i max przepustowości 11Mb potrzebny czas na zebranie wystarczającego materiału do przeprowadzenia skutecznego ataku to jakieś 5-6 godzin nasłuchu. Nie znam laptopa, który wytrzyma tak długo na karcie Wi-Fi.

Jeszcze kilka uwag technicznych.
1. Stosuj anteny ściśle kierunkowe i dobrane mocą tak, aby były widoczne na jak najmniejszym obszarze.
2. Wyłącz rozgłaszanie SSID swojej sieci.
3. Jeśli się da włącz szyfrowanie WPA (o czym zdaję się pisał Sato), jest znacznie bardziej zaawansowanie od WEP.
4. Zmień nazwę swojej sieci na nic nie znaczący ciąg znaków (jeśli nie wyłączysz SSID).

[B!sH0p]

Z tego co wiem RADIUS załatwi mój problem. RADIUS staje sie standardem wszystkie nowe AP maja możliwość rozmawianie z RADIUSEM a i juz pokazuja sie sprzętowe rutery w cenie około 700 pln z wbudowanym serwerem radiusa. Co do filtracji MAC na Ap oczywiście jest ona włączona. Zgadzam sie ze najtansze rozwiązanie to WEP no i dobra myśl r00ta o domenie windows lub PPPoE, PPtP, IPsec. Jednak WEP to bardzo słabe rozwiązanie 5 godzin laptop w samochodzi z ups-em lub ciagłe zmienianie kluczy. Nie upieram sie tylko przy RADIUSIE gdyz oczywiście są inne metody nie popadam tez w szał włamań jednak wydaje mi sie ze serwer RADIUS'a jest bardzo dobrym i bezpiecznym rozwiązaniem połączonym z filtracja MAC, ukrywaniem SSID i dziwna jego nazwą, block-forward na intefejsie 802.11x.

[Sato]

Najtańszym rozwiązaniem jest mocny WEP (128 lub 256 bitowy)

jedno ale... spada wydajnosc urzadzen... jeseli zalezy komus na szybkosci, to WEP odpada...