sieć wifi w szkole...

[anpe]

Witam:) Za jakiś czas do szkół ma zawitać program "Cyfrowa szkoła" Jednym z założeń tego programu jest zbudowanie bezprzewodowej sieci wifi, która posłuży minimum 30 laptopom. Sieć ta powinna być oparta na kontrolerze WLAN... Jest to dla mnie nowość, ponieważ do tej pory wystarczał mi jeden AP umieszczony w sali informatycznej. Grzebałem dosyć sporo po internecie szukając rozwiązania. Udało mi się znaleźć tylko drogie rozwiązania Cisco, Netgear, Motorola.... w sumie super sprawa, tylko drogo!

Czytałem także o tańszych rozwiązaniach, jak Mikrotik + kilka Ap. Na jakiej zasadzie mogło by to działać? Szkoła posiada 3 kondygnacje, wystarczy na każdej kondygnacji umieścić 1 AP (sprawdzone). Chciałbym aby sieć miała jedną nazwę SSID i tym samym aby przechodzenie z jednej części szkoły do drugiej nie zrywało połączenia. Jaki model Mikrotika mi to zapewni? Jakiej firmy AP polecacie? Czy da się to razem zgrać? Pozdrawiam i dziękuję za odpowiedź:)

[key]

Jaki model Mikrotika mi to zapewni?

IIRC zaden.

Potrzebujesz buzinesowe rozwiazania z roamingiem. Niestety tutaj uzywane sa priorytatywne protokoly, wiec kompatybilnosc moze byc mocno ograniczona.

[anpe]

a gdybym ograniczył moje wymagania i powiedzmy, że wystarczył by mi tylko taki sam SSID, tworzący jedną sieć? I druga sprawa, żeby przy włączonych 30 laptopach sieć wifi nie padała... Sieć będzie wykorzystywana tylko do korzystania z internetu bez możliwości lokalnego przesyłania danych (Komputery nie muszą się widzieć).

[key]

i powiedzmy, że wystarczył by mi tylko taki sam SSID, tworzący jedną sieć?

Zrobisz syf w eterze i bedziesz mial problemy z niekontrolowanym skokiem miedzy AP. Najprosciej zrobic rozne AP i kazdy uzytkownik wybiera co chce.

I druga sprawa, żeby przy włączonych 30 laptopach sieć wifi nie padała.

Szkielet na kablu, AP odpowiednio rozdzielone kanalami. Polaczenie WiFi dzieli pasmo miedzy uzytkownikow podlaczonych do jednego AP - tutaj nic nie zrobisz.

Komputery nie muszą się widzieć

To akurat wymaga dodatkowych filtrow blokujacych komunikacje na wiekszosci portow poza 443/80.

[wojteks]

To akurat wymaga dodatkowych filtrow blokujacych komunikacje na wiekszosci portow poza 443/80

W dużej części typowych AP (routerów) jest "Wireless Client Isolation" co zapewnia że klienci radiowi się nie widzą a przez to nie mogą między sobą nic przesyłać.

[key]

Wireless Client Isolation"

Tez o tym myslalem, mam jednak male "ale": to dziala tylko miedzy klientami podlaczonymi do jednego AP. Klienci podlaczoni do AP "A" sa widziani jako klienci LAN poprzez AP "B".

[anpe]

czyli generalnie 3 różne podsieci o różnych SSIDach, w sumie też by tak mogło być. Najgorsze jest to, że jeśli by miało być np: 10 AP to w takiej sytuacji każdy by trzeba było konfigurować z osobna, co jest uciążliwe.... Generalnie chyba dobrze jest zainwestować w kontroler WLAN i kilka AP:)

[key]

co jest uciążliwe

To sie raz robi. W czym problem?

[anpe]

w szkole zabezpieczenie za pomocą wpa, wep, itp się nie sprawdza co mądrzejsi łamią hasła nowymi komórami Zabezpieczam sieć wifi za pomocą adresów MAC. Wprowadzanie adresów nowych userów może być kłopotliwe:) Dzięki wszystkim za pomoc

[wojteks]

wpa, wep, itp się nie sprawdza co mądrzejsi łamią hasła nowymi komórami

WEP da się złamać, WPA2-PSK (albo enterprise gdyby był serwer Radius) raczej nie o ile będzie niesłownikowe i nikt go nie zdradzi co na 90% nastąpi szybko.

Pytanie podstawowe kto ma być użytkownikiem tej sieci WiFi?

[key]

Zabezpieczam sieć wifi za pomocą adresów MAC.

Nawet jesli zdecydowales sie na ta strategie, to robisz to na firewall routera brzegowego, a nie na poszczegolnych AP.

Ja bym nic nie zabezpieczal, tylko dal logowanie przy pomocy uzytkownika i hasla (dla kazdego inne) na proxy. Wtedy jednym klinknieciem usuwasz "trefnych"uzytkownikow. Samo podlaczenie sie do sieci nic nikomu nie daje.

Proxy umozliwia Ci tez filtrowania polaczen. Nie zapominaj ze jako ISP jestes odpowiedzialny za to co jest transferowane do/z sieci, a akurat masz stosunkowo mala odpowiedzialna klientelie.

[anpe]

młodzież jest teraz sprytna i to bardzo, WEPa i WPA łamali komórkami bo rzeczywiście hasło było słabe. Gdy było silne i nie umieli go złamać zgłaszali, że przyniosą Laptopa i w tym czasie dzięki cudownemu windowsowi odkrywali hasło itp.... Dopiero filtrowanie po MAC ukróciło proceder, tylko konkretne urządzenia mogły się połączyć. Dając nazwę użytkownika i hasło dałbym kolejne pole do popisu, a tak mam spokój:P pozdrawiam

[key]

Dając nazwę użytkownika i hasło dałbym kolejne pole do popisu,

Mysle ze nie, tutaj masz przypisana odpowiedzialnosc i znasz konkretnego uzytkownika ktory robi syf.

Filtrowanie MAC zdolny dzieciak lamie w ciagu parunastu minut.

[anpe]

w sumie masz świętą rację, ale filtrowania mac jeszcze nie złamali, ponieważ głównie korzystają z komórek, w których nie tak łatwo zmienić maca:) Jaki router polecasz?

[krystianb]

i WPA łamali komórkami bo rzeczywiście hasło było słabe.

Bo jakiś baran ustawił słownikowe, inaczej WPA nie da rady złamać, no chyba że ma się do dyspozycji superkomputer, ale i tu jest problem z wydajnością.

Dopiero filtrowanie po MAC ukróciło proceder, tylko konkretne urządzenia mogły się połączyć.

Ale bzdury piszesz, przy wepie filrt mac nic nie daje, bo słuchać można wszystkiego co leci w etrze, choć przy słownikowym ataku WPA też się chyba najpierw pakiety podsłuchuje.

[ Dodano: 2012-04-11, 23:37 ]

ale filtrowania mac jeszcze nie złamali, ponieważ głównie korzystają z komórek,

Android wspólnie z przyjacielem rootem dużo potrafią.

[anpe]

Tym baranem byłem ja a to dlatego, że chciałem ułatwić życie innym nauczycielom i sobie drogi kolego. Naprawdę filtrowanie adresów Mac pomogło, AP ma wprowadzone tylko adresy mac komputerów szkolnych. Uczniowie mają głównie komórki i ich wiedza o Androidzie nie jest aż tak szeroka.

[key]

Naprawde filtrowanie adresów Mac pomoglo

A moze tylko zamaskowalo problem? Filtrowanie MAC jest do obejscia w parenascie minut, administrator musi sie postarac zeby zobaczyc ze ktos sie wlamal - caly transfer jest ukryty pod MAC "legalnej" maszyny.

AP ma wprowadzone tylko adresy mac komputerów szkolnych

Powtorze sie: AP jest zlym miejscem na tego typu filtry.

Uczniowie maja glównie komórki i ich wiedza o Androidzie nie jest az tak szeroka.

Mysle ze ich nie doceniasz.

[anpe]

To jaką maszynę postawić przed APkami? I jak to dobrze skonfigurować?

[key]

o jaka maszyne postawic przed APkami? I jak to dobrze skonfigurowac?

Wszystko zalezy co chcesz osiagnac.

Jezeli masz pule maszyn, ktore maja dzialac w okreslonej sieci z jednym AP, najprosciej jest dac WAP2 z dobrym haslem - i pozamiatane. Wymaga to jedynie zapewnienia, ze haslo dostaja tylko osoby godne zaufania.

W sieciach gdzie jest wiecej niz jeden AP zaczyna sie to robic troche bardziej skomplikowane. Zeby ulatwic uzytkownikom korzystanie, najczesciej nie stosuje sie zadnego zabezpieczenia podlaczenia do sieci, a uwierzytelnianie robione jest "glebiej" w systemie.

Zabaw mogacych utrudnic intruzom prace z taka siecia jest kilka. Moje pomysly:

1.) Podzial sieci na dwa VLAN: Znane maszyny dostaja adresy z jednej puli (n.p. 192.168.1.x), nieznane z innej (n.p. 192.168.100.x). Wiekszosc domoroslych hackerow laduje w pustej sieci i nie bardzo wie co dalej.

2.) To samo co wyzej, tylko ze wszystkie maszyny laduja w pustej sieci + przejscie do wlasciwej przy pomocy VPN. Nie do zlamania, wymaga jednak instalowania klientow VPN na maszynach. Ta strategie spotykam bardzo czesto w rozwiazaniach biznesowych.

3.) Logowanie do sieci przy pomocy RADIUS

4.) Wyjscie na swiat tylko dla znanych maszyn (Firewal po MAC). Proste i w miare skuteczne - wiekszosc dzieciakow nie wie w jakim kierunku szukac rozwiazania.

5.) Proxy z autoryzacja

6.) ukrycie SSID wlasciwej sieci i router siejacy kilkadziesiat roznych SSID.

Pomysly mozna laczyc

Rozwiazania 2, 3, 5 daja Ci jeszcze jeden dodatkowy plus - transfer w sieci moze byc powiazany z uzytkownikiem. Jest to stosunkowo wazne, gdyz jako osoba odpowiedzialna za polaczenie z netem jestes tez odpowiedzialny za to co dostaje sie do sieci i co z sieci jest pobierane. W wypadku gdyby n.p. prze twoje lacze przeszly zawartosci kriminalne, ty jestes atakowany jako pierwszy.

Problemy typu "bo Wiesiek dal haslo Janince" rozwiazujesz poprzez podpisanie przez uzytkownika dokumentu, w ktorym zostaje powiadomiony, ze on jest odpowiedzialny za wszystko co dzieje sie z laczem postawionym przy pomocy jego hasla. Uswiadomienie ze n.p. sciagniecie piosenki przy pomocy BitTorrent moze zakonczyc sie procesem i kara wysokosci nawet do 50.000 € bardzo pozytywnie wplywa na niechec dzielenia sie polaczeniem.

Mozesz tez dla uczniow postawic jeden AP z kontrolowanym dojsciem do netu (n.p. tylko w okresie przerw, WWW i mail) - zmniejszy to potrzebe wlaman do reszty sieci.

----

Wracajac do pytania o sprzet:
Ja dal bym na router brzegowy (w zaleznosci od budzetu) albo FB 73xx/72xx albo cos na DD-WRT, ale z 8..16 MB Flash. Drugie moze byc tansze. Do tego podlaczyl po kablach switch i wszystko co tylko sie da na kablach (kompy w pracowniach, drukarki, AP), reszta po WiFi.

[Jo_gurt]

5.) Proxy z autoryzacja

To jest IMO najlepsze rozwiązanie. I do tego dość proste w realizacji.

[key]

IMO kombinacja jest najlepsza. Jesli liczysz sie z intruzami to stawiasz im otwarty i dobrze widoczny problem z ktorym moga sie glowkowac, a w tle robisz niewidoczne przekrety.

Ja bym zrobil:

1+2+
_______ 4 w realnej sieci
_______ 5 w wirtualnej sieci z proxy prowadzacym na wewnetrzny serwer

[anpe]

dzięki wielkie za pomoc, będę musiał popróbować