Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Trådløs sikkerhet på en skole

Makky

Av Makky
i Internett og nettverk

Anbefalte innlegg

Makky

Makky

Skrevet
Skrevet

Jobber som lærling på en vgs skole, og vi kjører litt over 200 trådløse klienter.

Vi kjører hovedsaklig med tre forskjellige basesatsjoner, DLink DWL-900 og Linksys WAP11 og WAP54G.

 

Akkurat nå kjører vi alt åpent og det har blitt observert biler med folk som har laptop og "surfer", noe som rektor og vi ikke liker.

 

Så vi har lyst å sikre dette. Men hvilke muligheter finnes for å sikre så store trådløse nettverk?

 

wep-nøkkel er ikke bra siden det er lett å knekke.

 

Å filtrere på mac-adresse vet jeg ikke om går ann. For alle mac-adressene må være tilstedet på alle basestasjonene og kan man registrere over 200 adresser på hver base? Og det er mulig å komme forbi denne "sperra" også.

 

Det vi har tenkt på er at etter at en klient har fått konakt med en base, skal det dukke opp et login vindu hvor hver elev og lærer må logge inn for å få tilgang til nettet (dette vil da være i tillegg til å logge seg på domenet).

 

 

Finnes det noen andre løsninger, kom med dem så vi får sett på det.

 

Ble kanskje litt rotete men spør hvis det er noe som er uklart eller trenger mer info.

 

Takk!

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
_Finch_

_Finch_

Skrevet
Skrevet (endret)

Det er ikke det han spør om, hva med å sette en sterkere wep nøkkel eller wpa?, for å klar gjøre hva vpn er (virtual private network)Tillater to eller flere private nettverk forbundet over et offentlig nettverk. I en vpn oppkobling blir det laget en tunnel som du kan sette opp med kryptering, man bruker modem med vpn oppkobling til å logge seg på fks. bedrifts nettverk.

 

men, hva med å sette opp en Enterprise root Certificates Authority server til å gi ut sertifikater og bruke smart card authorisering

Endret av _Finch_
Lenke til kommentar
Jon H

Jon H

Skrevet
Skrevet
Jobber som lærling på en vgs skole, og vi kjører litt over 200 trådløse klienter.

Vi kjører hovedsaklig med tre forskjellige basesatsjoner, DLink DWL-900 og Linksys WAP11 og WAP54G.

OT: Er de nevnte aksesspunkt stabile nok til å håndtere så mange brukere? Hvor mange aksesspunkt har dere totalt?

 

Jobber selv på en skole, der vi har 15-16 bærbare med trådløse kort. Er det noen som har anbefaling på aksesspunkt for vårt bruk?

Lenke til kommentar
SuperFly

SuperFly

Skrevet
Skrevet

Du sier det går an å knekke wep key'er og omgå mac filtring. Det er klart det går, _alt_ kan knekkes og omgås, men desto mere sikkerhets tiltak en har desto mindre intresangt er det for vanlige "wardrivere" å koble seg opp (kansje mer intresant/utfordrende for mer hardcore folk).

 

Ville satt på wep og mac filter, finnes sikkert import / export av mac listene i basesatajonene så du trenger kun sette opp "en" liste.

 

Ikke broadcast ESS ID

Sett opp RADIUS

 

Alt dette kan som sagt knekkes, men er mye bedre en ingenting.

 

På toppen av dette kan du sette opp VPN, noe du absolutt bør gjøre.

Lenke til kommentar
Makky

Makky

Skrevet
  • Forfatter
Skrevet (endret)
Jobber som lærling på en vgs skole, og vi kjører litt over 200 trådløse klienter.

Vi kjører hovedsaklig med tre forskjellige basesatsjoner, DLink DWL-900 og Linksys WAP11 og WAP54G.

OT: Er de nevnte aksesspunkt stabile nok til å håndtere så mange brukere? Hvor mange aksesspunkt har dere totalt?

 

Jobber selv på en skole, der vi har 15-16 bærbare med trådløse kort. Er det noen som har anbefaling på aksesspunkt for vårt bruk?

 

Vi har 25 basestasjoner.

 

Vi har brukt DLink og må si at vi ikke er fornøyd.

Mye av de trådløse probleme våre forsvant når vi byttet ut noen av DLinkene med linksys.

 

Vi skulle gjerne ha byttet til Linksys fullt, men det har vi ikke penger til.

 

Vi har et mye strørre trøkk en det du kommer til å få, så DLink kan være et billig alternativ. Hvor mange baser du trenger avhenger av hvordan bygget er og om alle de bærbare er samlet på et sted.

 

Min anbefaling er hvis du kan, å gå for Linksys!

Endret av Makky
Lenke til kommentar
phnx85

phnx85

Skrevet
Skrevet (endret)

Det du kan gjøre er å sette opp en proxy-server. Slik vi har det på skolen jeg jobber så er det ikke kryptering (bor på en liten plass, så det drives ikke med war-drive), men hvis folk kobler seg på det trådløse nettverket så kommer de ikke på internett fordi vi kjører en proxy-server. Nå er jeg usikker på hvor vanskelig det er å sniffe opp en adressen til en proxy-server, men hvis du kobinerer flere sikkerhets-tiltak så lager du mer arbeid for folk som vil snylte båndbredde.

 

For de som lurer: Ja jeg har tenkt å skru på kryptering av det trådløse nettverket, men det er ikke første prioritert akkurat nå :p

 

Edit: Som du ser så er de fleste enig om at flere sikkerhets tiltak gjør at de "fleste" ikke orker å hacke seg inn, bare hardcore war-drivere som orker.

Endret av phoen|x
Lenke til kommentar
Makky

Makky

Skrevet
  • Forfatter
Skrevet
Løsningen på dette kan fort være en proxy, når man kobler seg opp mot nettet blir man redirectet til en side som du må autentisere deg mot. Så tillater proxyen deg gjennom og til internet. Tror dette kan gjøres uten for mye tull med squid.

Dette er noe vi ble litt intressert i.

Vet du om noen gode sider om emnet?

 

Serverne våre kjører hovedsaklig linux

Lenke til kommentar
jokohoma

jokohoma

Skrevet
Skrevet

Ved HiA i Kristiansand har de oxo WLAN. Her har de løst samme problemet vha VPN. Når du prøver å koble deg på nettet får du kun tilgang til HiAs sider. Skal du videre ut i verden må du autentisere deg ved å logge inn med VPN.

 

Har selv benyttet dette tilbudet å det fungerer utmerket.

 

HiA er sikkert behjelpelig med erfaringer...

Lenke til kommentar
Jon H

Jon H

Skrevet
Skrevet
Vi har 25 basestasjoner.

 

Vi har brukt DLink og må si at vi ikke er fornøyd.

Mye av de trådløse probleme våre forsvant når vi byttet ut noen av DLinkene med linksys.

 

Vi skulle gjerne ha byttet til Linksys fullt, men det har vi ikke penger til.

 

Vi har et mye strørre trøkk en det du kommer til å få, så DLink kan være et billig alternativ. Hvor mange baser du trenger avhenger av hvordan bygget er og om alle de bærbare er samlet på et sted.

 

Min anbefaling er hvis du kan, å gå for Linksys!

Vi har prøvd med et D-Link aksesspunkt. Det fungerte dårlig. Veldig ustabillt. D-Link DWL2000AP+ :thumbdown:

Lenke til kommentar
Makky

Makky

Skrevet
  • Forfatter
Skrevet
Ved HiA i Kristiansand har de oxo WLAN. Her har de løst samme problemet vha VPN. Når du prøver å koble deg på nettet får du kun tilgang til HiAs sider. Skal du videre ut i verden må du autentisere deg ved å logge inn med VPN.

 

Har selv benyttet dette tilbudet å det fungerer utmerket.

 

HiA er sikkert behjelpelig med erfaringer...

Du mener vel omvendt? At skal man inn på locale resurser må man autentiseres, hvis man kun skal videre ut i verden kommer man rett igjennom til Internett

Lenke til kommentar
opresterud

opresterud

Skrevet
Skrevet

WLAN med autentisering finnes det mange steder. F.eks. på Gardermoen så får du kun tilgang til en innloggings-side, hvor du så må inn med brukernavn og passord for å få tilgang til nettet.

 

Samme system finnes det på flere hoteller rundt om kring.

 

Tror det er en-eller-annen proxy løsning som brukes, men nå er jeg over på ett område jeg kan alt for lite om...

Lenke til kommentar
jokohoma

jokohoma

Skrevet
Skrevet
Ved HiA i Kristiansand har de oxo WLAN. Her har de løst samme problemet vha VPN. Når du prøver å koble deg på nettet får du kun tilgang til HiAs sider. Skal du videre ut i verden må du autentisere deg ved å logge inn med VPN.

 

Har selv benyttet dette tilbudet å det fungerer utmerket.

 

HiA er sikkert behjelpelig med erfaringer...

Du mener vel omvendt? At skal man inn på locale resurser må man autentiseres, hvis man kun skal videre ut i verden kommer man rett igjennom til Internett

Okey,var kanskje litt upresis...

 

Uten VPN:

Tilgang kun til www.hia.no. Her har du tilgang til timeplaner etc.

Nedlasting av VPN-klient er oxo mulig herfra.

 

Med VPN:

Etter å ha logget på VPN (mot skolens brukerdatabase) vil man få tilgang til "lokale" brukerområder, samt internett.

På denne måten sikrer de seg at nettet deres ikke benyttes av uvedkomne.

 

Scenarioet gjelder selvfølgelig for studenter som tar med seg privat laptop på skolen. Studentene har jo automatisk en brukerkonto på skolens nett. Det er jo derfor naturlig å benytte denne når man skal gi tilgang til internett.

 

Klarere?

Lenke til kommentar
delling81

delling81

Skrevet
Skrevet

Problemet med VPN er kostnader, det er dyrt, og ofte vanskelig å konfigurere. Med en proxyløsning kan du bare dytte brukerne som skal inn på nett over på en side som er tillatt for alle, der man kan se hva man gjøre for de forskjellige nettleserne slik at de autentiserer seg mot proxy.

 

Dette er nok ganske enkelt å gjøre i squid, selv om jeg aldri har gjort det, skal først sette opp en slik ting om 2 uker :p

 

http://www.squid-cache.org/

er hjemmesiden, det er sikkert en ganske elementær ting å sette opp, for squid støtter socks 4 og 5 pluss et par andre, så å finne noe som browserne takler skulle ikke være et problem.

Men har ikke gjort dette enda, det ble bare nevnt i en forelesning som en bedre metode en WEP, som man knekker etter en time med sniffing uansett. De kommer en bedre krypteringsstandard senere, men kommer uansett til å bli et problem med så mange AP.

Lenke til kommentar
Makky

Makky

Skrevet
  • Forfatter
Skrevet
Problemet med VPN er kostnader, det er dyrt, og ofte vanskelig å konfigurere. Med en proxyløsning kan du bare dytte brukerne som skal inn på nett over på en side som er tillatt for alle, der man kan se hva man gjøre for de forskjellige nettleserne slik at de autentiserer seg mot proxy.

 

Dette er nok ganske enkelt å gjøre i squid, selv om jeg aldri har gjort det, skal først sette opp en slik ting om 2 uker :p

 

http://www.squid-cache.org/

er hjemmesiden, det er sikkert en ganske elementær ting å sette opp, for squid støtter socks 4 og 5 pluss et par andre, så å finne noe som browserne takler skulle ikke være et problem.

Men har ikke gjort dette enda, det ble bare nevnt i en forelesning som en bedre metode en WEP, som man knekker etter en time med sniffing uansett. De kommer en bedre krypteringsstandard senere, men kommer uansett til å bli et problem med så mange AP.

Dette er hva vi er ute etter!

 

Er det noen som har erfaring fra dette?

Og har relevant info/sider?

 

 

 

Du sier du har planer om å sette opp dette, hvor mange brukere/stort er det trådløse nettverket du skal jobbe med?

Lenke til kommentar
mascot

mascot

Skrevet
Skrevet

Ta en kikk på NoCat (www.nocat.net). Dette gir brukerpålogging og masse sikkerhetsmuligheter. Systemet er Open Source og basert på linux. Her kan dere eventuellt endre alt dere ønsker for å tilpasse det 100% til deres systemer.

 

Tester ut dette selv, og har fungert perfekt for meg i over et halvt år.

Lenke til kommentar
Makky

Makky

Skrevet
  • Forfatter
Skrevet
Ta en kikk på NoCat (www.nocat.net). Dette gir brukerpålogging og masse sikkerhetsmuligheter. Systemet er Open Source og basert på linux. Her kan dere eventuellt endre alt dere ønsker for å tilpasse det 100% til deres systemer.

 

Tester ut dette selv, og har fungert perfekt for meg i over et halvt år.

skal ta en kikk på det.

 

takker!

Lenke til kommentar
Pansergnom

Pansergnom

Skrevet
Skrevet

folk som kjører forbi skal vel ikke få snusen i nettverket når ssid broadcasting er av? Eller finner wlan sniffere nettverket uansett? Jeg har blokket ICMP ping til min router da dette "bedrer" sikkerheten for wlanet... jeg vet ikke hvordan, men den blokket vel ping til wlan porten elns...? :roll:

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...