Načerno připojení klienti - co s nimi?

[hapi]

jakto že heslo do routeros rozlouskneš? to bych chtěl vidět.

[hapi]

spíš mi šlo o to rozlousknout jaký heslo. Přístup do wifiny nebo do routeru?

[Walkeer]

víš tady je problém v tom, že vlastně nikdo nikdy neměl asi potřebu na vaší síť zaútočit, jelikož můžeš tam mít třeba 100 klíčů a stejně se dají obejít úplně jinou cestou, prostě dostat se do sítě jinou cestou, mě to fakt přijde úplně směšný, právě proto píšu že je to zabezpečení na OKO, například heslo do routeruos ti rozlouskne každý (stačí návštěva na sajtu) a klíče získá za pár sec, WPA2 není samospásné ale s použitím jiných metod zabezpečení je to dobrá kombinace, vždy nastává otázka na jak dlouho

To je stejne, jako kdybys rekl, ze banky jsou u nas chabe zabezpecene, staci zajit do sejfu a vzit si tam co chcec. Jasne, pri fyzickem pristupu k zarizeni to je realne, toho ale neni uplne snadne docilit, ze? Me uplne staci, ze tu WPA2 proste z venku nikdo nerozlouskne.

[okoun]

no tak pokud máš svoje sajty ohraničený plotem ze žiletek tak to bude problém, ale jinak se tam dostane asi každý v klídku a násilím ti odemkne skřínku s HW....

[okoun]

spíš mi šlo o to rozlousknout jaký heslo. Přístup do wifiny nebo do routeru?

do routeru OS, například sériákem

[hapi]

hmm tak jako pochybuju že můžeš použít brutal attack a jinak asi myslíš nabootovat do routerboardu jinej os, přepsat passwd a získat tak přístup ale nezískáš heslo. Navíc si toho asi někdo všimne ne když bude zařízko 5 minut down.

[soooc]

hmm tak jako pochybuju že můžeš použít brutal attack a jinak asi myslíš nabootovat do routerboardu jinej os, přepsat passwd a získat tak přístup ale nezískáš heslo. Navíc si toho asi někdo všimne ne když bude zařízko 5 minut down.

Tak jestli nekde pouzivas jeste stare ovislinky 5460 nebo 1120 - z nich se da pres JTAG vytahnout WPA ci WEP klic - je v nich ulozeny v plain textu a jtag neni chraneny heslem

[hapi]

to jsou zase extremy

[Walkeer]

no tak pokud máš svoje sajty ohraničený plotem ze žiletek tak to bude problém, ale jinak se tam dostane asi každý v klídku a násilím ti odemkne skřínku s HW....

Ano, to se mi stava 10x do mesice....krome toho to je trestny cin a to si kazdy dvakrat rozmysli...prunik do cizi site je sice take TC, ale riziko dopadeni je precijen vyrazne mensi a jde to delat z tepla domova/auta.

[okoun]

tak především se tu bavíme o blbostech protože do sítě se ti nemá nikdo vlastně proč nabourávat a když se ti tam někdo nabourá, tak je to nějaký studentík který zkouší jestli to jde

[10kabel]

Tak to pozor jací studentíci se dají na nabourávání. Poblíž cca 100 metrů od jednoho AP máme ubytovnu Městské Policie. Nedivte se opravdu evidujeme několik desítek pokusů se nabourat do AP. S ubytovnou byla dokonce potíž v tom, že kdysi jeden z našich techniků tam připojil jednoho obyvatele přímo s Notebookem a nedával si pozor při zadání hesla jaké bylo překvápko po půl roce provoz jak někde v NIXu na core samozřejmě, že heslo putovalo dál ovšem jak to jsme tu fakt všichni čuměli jak puci. Udělala se opatření a hnedle jeden z měštáků volá z čísla služebny (pro jistotu a zpětnou vazbu ) jako jak to je možný, že mu nejde net, že si to zaplatil. Nám samozřejmě neplatil a důslednějším výslechem strážníka naším technikem bylo zjištěno, že dotyčný strážník si koupil heslo od předchozího strážníka. Samozřejmě chyba byla technika, že si nevšiml, že mu čumí povedenej strážník přes rameno. Spíš je to pro dokreslení situace, že kradou i policajti jsou přece jen také lidi, že.
No a bezpečnost. Všude od té doby WPA-PSK2 od doby kdy se prodávala naše hesla WPA-PSK2 do sítě na nejmenovaném servru mají klienti nově i zákaz přístupu do klientských zařízení. Prostě máme na klientech vlastní hesla která klient nedostane. WPA-PSK2 samozřejmě změna. Kabelářům to zpříjemňujeme také a to platí i přes bezdrát, IP nastavujem v DHCP staticky pouze aktivním klientům, Pool pro DHCP nastavíme pro 5 adres samozřejmě přesměrovaných do dashboardu a QoS všechny adresy mají 32 kbps, aby když by chtěli losovat IPčka tak stejně prdlajs jde to vylepšit o přidání všech neaktivních IP adres do dashboardu. Pak vylosují maximálně klienta a ten stejně začne za chvíli řvát kvůli kolizi IP. Pokud to zjistíte dáte mu jinou IP a jeho IP nastavíte na dashboard a zloděj Vám po třech pokusech volá, že se jako omylem připojil jeho "kámoš" asi na souseda a má tam jako ten dashboard. A nejde mu vymazat ani z cookies jako co má dělat . Nic kupte si nový počítač je naše odpověď. Pak ho uklidníme, že to není tak horký stačí na klávesnici zmáčknout F5 nebo refresh a může jet dál. Z 98% to končí tak, že mu vysvětlíme, že krást se nemá. Nacpeme mu tarif tak za 500 Kč se smlouvou na 24 měsíců jako smluvní pokutu za černý odběr a jede se dál za živé na dřevo nebo účet aspoň ty dva roky.

[tomas.eu]

U nás su traja ISP a stoho dvaja to riesia pridelenim pevnej IP na MAC a zda sa ze to zmysel.a ten treti ma v tom bordel asi ako nikto bud si cez PPPOE (ale funguje aj to pokial pockaš pripojita to samo) alebo na klasickej DHCP bez akejkolvek filtracie a navyše ma FUP.
Myslim si že akykolvek lokalny ISP pri stavbe siete by si mal najst par stoviek na zabezpečenie switcha alebo wifi.Inak by nemalo zmysel v tom podnikat,druhy si zaplatia konektivitu a jeden či par jedincov budu tahat na čierno odpojit ich natrvalo,filtrovat mac alebo neako inak.

[helapc]

A jak řešíte když Vám to legální zákazník za NATuje a pošle dál? Omezíte TTL?

[Rudolf Dvořák]

A jak řešíte když Vám to legální zákazník za NATuje a pošle dál? Omezíte TTL?

Tak zakaznik si muze s konektom delat co chce ne? Pokud ne tak proc?

[Walkeer]

Tak to pozor jací studentíci se dají na nabourávání. Poblíž cca 100 metrů od jednoho AP máme ubytovnu Městské Policie. Nedivte se opravdu evidujeme několik desítek pokusů se nabourat do AP. S ubytovnou byla dokonce potíž v tom, že kdysi jeden z našich techniků tam připojil jednoho obyvatele přímo s Notebookem a nedával si pozor při zadání hesla jaké bylo překvápko po půl roce provoz jak někde v NIXu na core samozřejmě, že heslo putovalo dál ovšem jak to jsme tu fakt všichni čuměli jak puci. Udělala se opatření a hnedle jeden z měštáků volá z čísla služebny (pro jistotu a zpětnou vazbu ) jako jak to je možný, že mu nejde net, že si to zaplatil. Nám samozřejmě neplatil a důslednějším výslechem strážníka naším technikem bylo zjištěno, že dotyčný strážník si koupil heslo od předchozího strážníka. Samozřejmě chyba byla technika, že si nevšiml, že mu čumí povedenej strážník přes rameno. Spíš je to pro dokreslení situace, že kradou i policajti jsou přece jen také lidi, že.
No a bezpečnost. Všude od té doby WPA-PSK2 od doby kdy se prodávala naše hesla WPA-PSK2 do sítě na nejmenovaném servru mají klienti nově i zákaz přístupu do klientských zařízení. Prostě máme na klientech vlastní hesla která klient nedostane. WPA-PSK2 samozřejmě změna. Kabelářům to zpříjemňujeme také a to platí i přes bezdrát, IP nastavujem v DHCP staticky pouze aktivním klientům, Pool pro DHCP nastavíme pro 5 adres samozřejmě přesměrovaných do dashboardu a QoS všechny adresy mají 32 kbps, aby když by chtěli losovat IPčka tak stejně prdlajs jde to vylepšit o přidání všech neaktivních IP adres do dashboardu. Pak vylosují maximálně klienta a ten stejně začne za chvíli řvát kvůli kolizi IP. Pokud to zjistíte dáte mu jinou IP a jeho IP nastavíte na dashboard a zloděj Vám po třech pokusech volá, že se jako omylem připojil jeho "kámoš" asi na souseda a má tam jako ten dashboard. A nejde mu vymazat ani z cookies jako co má dělat . Nic kupte si nový počítač je naše odpověď. Pak ho uklidníme, že to není tak horký stačí na klávesnici zmáčknout F5 nebo refresh a může jet dál. Z 98% to končí tak, že mu vysvětlíme, že krást se nemá. Nacpeme mu tarif tak za 500 Kč se smlouvou na 24 měsíců jako smluvní pokutu za černý odběr a jede se dál za živé na dřevo nebo účet aspoň ty dva roky.

To je tak, kdyz se pouzivaj kratky, zapamatovatelny a samozrejme snadno rozslouskutelny hesla. 63 znakove nahodne vygenerovane passphrase si asi sotva nekdo zapamatuje do klietskych zarizeni samozrejme klienti pristup nemaji, to je jasne.