שאלה לגבי פתיחת רשת אלחוטית

[Moty_p]

יש לי שרת 2008 עם רשת שמחוברת למחשבים שלי ולאינטרנט

על ה 2008 מותקן AD, WINS, DHCP, DNS, IIS

אני רוצה ליצור רשת אלחוטית בעזרת כרטיס רשת כדי לאפשר לניידים להתחבר לרשת שלי

אני יודע שרשת אלחוטית היא פרוצה, אם אפשר לחסום את הפריצות באיזה שהיא דרך? כי ראיתי

שבתי חולים בארץ כמו ברזילי ואפילו תל השומר עושה שימוש בניידים עם רשת אלחוטית בעזרת התקנים של סיסקו כל 10 מטר

איך אפשר לפתוח רשת אלחוטית מאובטחת?

[Vatos-Locos]

קשה לעזור לך כל עוד אתה לא מתאר את הרשת שלך ולא את הצרכים שלך.

אין לי מושג אם אתה עובד בארגון או שהכל זה סביבה ביתית, עד איזה רמה של אבטחה אתה צריך, האם יש משהו ספציפי (חומר רגיש) שאתה צריך להגן עליו?

אתה תצטרך אקסס-פוינט חיצוני בכל מקרה, אין לך מה לעשות הוט-ספוט עם כרטיס רשת כי עוצמת השידור תיהיה מגוחכת.

אם זה שירותים ביתיים פשוטים - קנה אקסס פוינט או ראוטר אלחוטי, תגדיר את ההצפנה/קידוד ל-wpa2 ואתה מסודר.

אם זה ארגון ואתה צריך הגנה טובה, קנה פיירוואל נורמלי שישב בין הסרברים לשאר הרשת ותגדיר רולים ידניים שרק מי שצריך תיהיה לו גישה רק למה שהוא צריך.

בקשר להתקנים של סיסקו שראית בארגונים אחרים, זה סתם אקסס פוינטים מנוהלים, אני בספק אם רמת האבטחה שלהם כ"כ שונה מסתם ראוטר ביתי רגיל.

[Moty_p]

לפני דקה ראיתי איך פורצים WPA2.. פשוט מגוחח

רמת האבטחה שאני צריך היא גבוהה מאוד. המידע מאוד רגיש בשבילי

נכון בשלב זה לא יהיה הכפת לי מעוצמת השידור כי זה גם ככה לצורך לימוד.

המטרה היא לחבר ניידים לרשת האינטרנט שלי + המשאבים שלי, קבלת IP משרת ה DCHP ושאר הירקות

החיבור לרשת שלי יבוצע על ידי בלבד.

"קנה פיירוואל נורמלי שישב בין הסרברים לשאר הרשת ותגדיר רולים ידניים שרק מי שצריך תיהיה לו גישה"

מה הכוונה פה? ליצור DMZ בין ה Access Point לשרת או מה?

עריכה:

ראיתי בחוות השרתים של בזק

רשת אלחוטית שאתה יכול להתחבר עליה חופשי, הבעיה שאתה מחבר לשם

זה לא משנה לאיזה אתר אתה גולש זה מפנה אותך לעמוד ששם אתה צריך לכתוב שם משתמש וסיסמה כדי שזה יביא לך אפשרות כניסה

נראה לי קצת יותר מאובטח לא?

[DOGMA]

במה בדיוק יעזור לך FW? אם אתה רוצה שיתחברו בWIFI לדומיין אתה צריך לפתוח את כל הפורטים שאתה לא רוצה לפתוח לרשת שהיא רשת perimeter, רמת האבטחה שלך חשובה? אל תעשה WIFI. במקומות נורמאליים מאבטחים WIFI עם AAA כלשהו ו-802.1X ומדובר על רשתות WIFI שלא קשורות למשאבי הארגון.

אני בספק אם פתרון WIFI שאפילו מתחיל להיות מאובטח קרוב לתקציב שלך, ובטח שלא דברים מסביב כמו NAC נורמאלית, ומערכת AAA תומכת נורמאלית, ולא שרת RADIUS של MS לא נחשב, לוקח בדיוק 5 דקות להשיג הרשאות מלאות על DC ממוצא(במצב טוב של עדכונים - נגיד חודשים אחורה), ואתה רוצה עוד לחשוף את משאבי הרשת שלך עם WIFI?

יש סיבה למה בארגונים עם מדיניות אבטחה סבירה אין WIFI, בארגון נורמאלי לא רק שאין WIFI אלא גם ממשים אכיפה ברשת הפנימית לבדוק שאין WIFI עובד על הניידים בזמן הם מחוברים לרשת החברה(PCI היום דורש את זה, אבל ארגונים נורמאליים היו עושים את זה עוד לפני).

לאפטופים זה אחד הדברים האוהבים על כל האקר משועמם או מרגל תעשייתי, 9 מתוך 10 לאפטופים שמגיעים למשרד מגיעים עם WIFI דלוק, העובד המטומטם מכניס אותם לדוקינג ולא מבין שברגע זה הוא יצר נתב בין העולם החיצוני לרשת החברה.

הדבר הקרוב ביותר שאני יכול לחשוב עליו שלא יעלה 50-60 אלף דולר צפונה זה הרמת טאנל VPN מוצפן כלשהו על גבי ה-WIFI אבל גם זה רחוק מלהיות חסין..

[Moty_p]

אפשר לקבל הסבר על: מערכת AAA ושרת RADIUS?

חוץ מזה איך לפטופ יכול לשמש כנטב? כברירת מחדל זה לא מתחבר לכל רשת פתוח שיש (אלה אם הוקדר אחרת)

ובנוסף הכרטיסי הרשת לא מוקדרים כבריג' (גשר רשת)

חוץ מזה אמרתי שאני עושה את זה כדי ללמוד איך בכלל אפשר לעשות את זה... לא כדי לעשות בזה שימוש....

[DOGMA]

אפשר לקבל הסבר על: מערכת AAA ושרת RADIUS?

חוץ מזה איך לפטופ יכול לשמש כנטב? כברירת מחדל זה לא מתחבר לכל רשת פתוח שיש (אלה אם הוקדר אחרת)

ובנוסף הכרטיסי הרשת לא מוקדרים כבריג' (גשר רשת)

חוץ מזה אמרתי שאני עושה את זה כדי ללמוד איך בכלל אפשר לעשות את זה... לא כדי לעשות בזה שימוש....

לא צריך bridge ולא נעליים, route add מספיק

AAA זה מערכת שמפרידה סמכויות בין זיהוי, אישור, ורישום, RADIUS זה פרוטוקול שמשמש מערכות AAA.