Τα ασύρματα δίκτυα χρησιμοποιούν για την προστασία των δεδομένων που μεταδίδουν το WEP το οποίο έχει φτάσει σε κλειδιά επιπέδων 256 bit. Πολλές υλοποιήσεις ασύρματων δικτύων χρησιμοποιούν ένα σταθερό κλειδί κατά την μετάδοση, το οποίο αφού δεν μεταβάλλεται κατά ορισμένα χρονικά διαστήματα είναι πολύ εύκολο, μόλις το βρει κάποιος (brute force) να αποκτήσει πρόσβαση στο σύστημα.

Βέβαια, τα κλειδιά 256 bit είναι σίγουρα δύσκολο και πολύ χρονοβόρο να "σπάσουν". Από την άλλη, εταιρίες όπως η CISCO προσφέρουν λύσεις οι οποίες αλλάζουν το κλειδί κάθε φορά που ο χρήστης κάνει login με αποτέλεσμα ο hacker να μην έχει στην διάθεσή του όσο χρόνο θέλει για να "σπάσει" το κλειδί.

Επίσης, ακόμη πιο κρίσιμα δεδομένα, μπορούμε να τα προφυλάσουμε από sniffing χρησιμοποιώντας σελίδες με SSL 128 bit, μέσα από το ήδη υπάρχον WEP.

Τέλος, μπορούμε να ελέγχουμε την πρόσβαση του καθενός στο δίκτυο σε επίπεδο MAC Address το οποίο είναι μοναδικό για το hardware που διαθέτει το κάθε μέλος. Το MAC address δεν μπορεί να αλλοιωθεί για να ξεγελάσει το σύστημα.

Μπορούν όμως τα παραπάνω να εφαρμοστούν σε ένα public δίκτυο? Και κυρίως οταν κανείς είναι διατεθειμένος να αφήσει δημόσια την πρόσβαση.
Λύση στο πρόβλημα μπορεί να αποτελέσει και η χρήση application level μηχασμών, πχ encryption σε email, https ή IPSEC.

Συμφωνώ κι εγώ να υπάρχει έλεγχος σε επίπεδο εφαρμογής (υπηρεσίας). Κάποιες πόρτες μπορεί να είναι ανοικτές, όχι όμως όλες για τον κόσμο που δεν είναι μέλη του awmn, ώστε να υπάρχει και κάποιο κίνητρο για τον κόσμο να γίνουν μέλη μας...

ώστε να υπάρχει και κάποιο κίνητρο για τον κόσμο να γίνουν μέλη μας...
Με ποιούς είσαι, με εμάς ή με τους άλλους; :))))

Δεν υπάρχει θέμα προσβάσεως στο ασύρματο δίκτυο γενικώς, αλλά προσβάσεως σε συγκεκριμένες εφαρμογές που από την φύση τους προϋποθέτουν ασφάλεια. Επίσης, δεν έχει νόημα να αποκλείσει κανείς κανέναν από την χρήση του δικτύου, αλλά να μπορεί κανείς να ανατρέξει και να δει αν υπάρχει κατάχρηση του κόμβου που συνεισφέρει κανείς στο δίκτυο. Είναι αυτονόητο αυτό, εφ' όσον ο κόμβος είναι ιδιοκτησία αυτού που τον στήνει και οι χρήστες του κόμβου πρέπει να τηρούν τους κανόνες που θέτει ο κύριος του κόμβου. Εάν αυτοί οι κανόνες είναι σε μεγάλο βαθμό κοινοί σε πολλούς κόμβους, το δίκτυο θα είναι ομοιόμορφο, πιό εύχρηστο και, τελικώς, ασφαλέστερο. Το forum είναι ο φυσικός χώρος όπου θα συζητηθούν εναλλακτικές λύσεις στο θέμα της ασφαλείας συγκεκριμένων εφαρμογών.

Τέλος, μπορούμε να ελέγχουμε την πρόσβαση του καθενός στο δίκτυο σε επίπεδο MAC Address το οποίο είναι μοναδικό για το hardware που διαθέτει το κάθε μέλος. Το MAC address δεν μπορεί να αλλοιωθεί για να ξεγελάσει το σύστημα.

Υπάρχουν κάποιες δεσμευμένες mac addresses που χρησιμοποιούνται σαν
virtual σε διάφορα πρωτόκολλα. Δηλαδή δεν αντικατοπτρίζουν το συγκεκριμένο
hardware.
Επίσης με διάφορες τεχνικές σε routers μπορείς να αλλάξεις mac-address
σε κάποια άλλη επιλογής σου.
Με τους 2 παραπάνω τρόπους μπορείς να έχεις "περίπου" ΟΤΙ mac-address
θές εσύ.
Η μοναδικότητα των mac-adresses ισχύει κατά κύριο λόγο μόνο σε hosts.

chatasos έχεις δίκιο σχετικά με τα σχόλιά σου για το MAC Address. Όντως αυτό μπορεί να αλλοιωθεί όπως μου έχει αναφέρει και ένας φίλος μου πολύ σχετικός με τα δίκτυα υπολογιστών.

Αυτό όμως που μπορούμε να κάνουμε είναι να χρησιμοποιήσουμε συνδυασμό MAC Address και IP (routing...) για να προσφέρουμε κάποια ασφάλεια σε hardware επίπεδο, στη συνέχεια με την χρήση WEP 128bit τουλάχιστον να έχουμε μία ασφάλεια πάνω από το RF Link και τέλος ανάλογα με τις εφαρμογές που θα τρέχουν θα μπορούμε να κάνουμε χρήση SSL, SSH, tunneling, VPNs

Συμφωνώ μαζί σου αλλά θα πρέπει να προσέξετε και το εξής:

Όσο βάζετε πρωτόκολλα πάνω από πρωτόκολλα (encapsulation), τόσο
αυξάνει το μέγεθος του πακέτου που πρέπει να ταξιδέψει.
Αυτό έχει σαν αποτέλεσμα τα πραγματικά data να είναι ελάχιστα σε σχέση με
το overhead που δημιουργείται από τα extra πρωτόκολλα.
Η ασφάλεια είναι από τους σημαντικότερους παράγοντες, ιδίως στα ασύρματα
δίκτυα, αλλά δεν θα πρέπει να θυσιάσετε άλλους παράγοντες για αυτήν.
Πρέπει να βρεθεί ένα μέσο μέτρο που θα καλύπτει αρκετά σε ασφάλεια,
αλλά δεν θα "φορτώνει" και τα ασύρματα links με "άχρηστη" πληροφορία.

Πολύ σωστές οι παρατηρήσεις σου.
Λύσεις υπάρχουν, αλλά είναι μάλλον ακριβές και απαιτούν "ενιαίο" εξοπλισμό από συγκεκριμένη εταιρεία, όπως π.χ. το LEAP authentication σε Radius server της Cisco.

Αντιγράφω από πρόσφατο άρθρο (http://www6.tomshardware.com/newsletter/vol2/27/wlan.html) :

Cisco has made quite a number of improvements to the Aironet series, which, however, can only be used if no components other than those from Cisco are used. The first step towards more WLAN security is mutual, rather than unilateral, authentication. LEAP (Lightweight Extensible Authentication Protocol), which has been developed by Cisco, enables authentication against Cisco's Radius Server (Access Control Server 2000 V2.6).

Cisco uses the shared-key method to generate responses to mutual requests. Irreversible and unidirectional hash keys make attacks from reproduced passwords impossible.

Cisco uses dynamic, user- and session-based WEP keys that can be generated by the system without any additional administrative effort. Each user receives unique session keys for each session that is not shared with any other user. The broadcast WEP key is encrypted with LEAP authentication prior to sending. Only the user with the matching session key can work with the WEP key.

Combined with the Access Control Server 2000 2.6, it is possible to establish guidelines for repeated authentication. Users have to authenticate themselves regularly and are assigned a new session key with each log-in. The initialization vector is modified for every session, preventing hackers from using predefined sequences and creating decryption tables derived from these sequences.

Ultimately, these precautions do not provide absolute protection, since the IV and WEP key encryption mechanism continues to be used unaltered. Constant key changes, however, do reduce vulnerability to hack attacks considerably. Any attacks based on decryption tables are doomed to failure. If keys change so frequently that the recorded packets are no longer sufficient for an evaluation, then the chances for a successful hack attack are practically nill.

LEAP ονομάζει η cisco το δικό της αλγόριθμο του EAP (Extensible Authentication Protocol), το οποίο από ότι γνωρίζω υποστηρίζεται από αρκετούς radius servers.
Μερικοί από αυτούς είναι free, και αν το υποστηρίζουν τότε προφανώς δεν τίθεται θέμα κόστους αλλά χαρακτηριστικών υλοποίησης.

http://www.freeradius.org/features.html

Mπορείς να αναλάβεις να το ψάξεις λίγο το θέμα και να μας κάνεις κάποια πρόταση;
Thanks :)

Ευχαρίστως, όταν βρω λίγο χρόνο παραπάνω θα το ψάξω.

Θα υπάρξει κάποιος linux server για να στηθεί επάνω του ο radius server?

Ευχαρίστως, όταν βρω λίγο χρόνο παραπάνω θα το ψάξω.

Θα υπάρξει κάποιος linux server για να στηθεί επάνω του ο radius server?

Panstath - panXer - cyfex , εσείς τί λέτε ?

Ναι θα υπάρξει linux server..
Δεν είναι πρόβλημα τόσο πρόβλημα το encapsulation μιας και λεω να πάμε σε ipv6 κατευθείαν για τα ενδο-δικτυακά, και η λύση για κλειδιά πάνω στα πακέτα είναι χαζή όταν το broadband είναι το θέμα μας ... ( Τρελά authentification schemes που μπορούμε να υιοθετήσουμε, μπορούμε να έχουμε, το ζήτημα είναι αν θέλουμε...)
Ναι security βασισμένο στις mac δεν είναι τόσο καλό, μιας γενικά έχω δει πολλές πατέντες cloning που έχουν υλοποιήσει κάτι ποτσιρικάδες για να μπαίνει όλη η παρέα στον broadband ISP τους ταυτόχρονα...
Νομίζω στο linux ακόμα και μέσω του ifconfig μπορείς να αλλάξεις την mac, αλλά είχα και κάρτα που σε nt4 είχε software για να αλλάζεις την mac..
Γενικά τα των mac αφήστε τα..
Ας πάμε PAM, Kerberos etc etc..
Θα δούμε, ακόμα δεν έχουμε ούτε ένα link μεταξύ μας..
(προς θεού δεν λέω να το αφήσουμε τελευταίο, αλλά εμβαθύνετε πολύ και θα έπρεπε να κοιτάξουμε λίγο τις παραγγελίες υλικού κ.α.)

Νομίζω ότι πάνω σε αυτό που συζητάμε έχει δωθεί η δέουσα προσοχή ήδη και δείτε
http://www.tldp.org/HOWTO/Authentication-Gateway-HOWTO/
Χρησιμοποιούν και το nocatauth των συναδέλφων μας...
Θα κάνουμε και μεις implement νομίζω κάτι..
Φτιάχνω ένα LFS μόνο και μόνο για αυτο το σκοπό..
Παίδες, σκέφτεται κανεις να κάνει δωρεά κάποιο hardware?
(ενας καλός pentium που τον έχετε στο πατάρι, would be nice)

Δεν είναι τόσο πρόβλημα το encapsulation μιας και λεω να πάμε σε ipv6 κατευθείαν για τα ενδο-δικτυακά


Συγνώμη αλλά, πώς ακριβώς η χρήση του IPv6 λύνει το πρόβλημα του encapsulation;


και η λύση για κλειδιά πάνω στα πακέτα είναι χαζή όταν το broadband είναι το θέμα μας ...


Τί εννοείς κλειδιά πάνω στα πακέτα;

Σχετικά με το θέμα των mac, πιστεύω ότι σε καμία περίπτωση δε λύνουν το πρόβλημα της ασφάλειας. Ίσως μάλιστα αυτή η προσέγγιση να είναι άχρηστη για τα μηχανήματα που προορίζονται για δημόσια χρήση παρά μόνο εάν εφαρμοστεί με παρόμοιο τρόπο όπως στο nocat.net.
Παρόλα αυτά προτείνω αυτή η μέθοδος να χρησιμοποιηθεί στις backbone ζεύξεις ως ένα επιπλέον μέτρο ασφάλειας.

cyfex

Δεν είχα διαβάσει καλά το thread, νόμιζα ότι μίλαγες για ipv6overipv4. Λέω ότι δεν θα χρειαστεί encapsulation στα πακέτα μιας και ο προσανατολισμός μας θα είναι καθαρά ipv6...
Ένα είδος παθητικής κωδικοποίησης είναι η χρήση chunks στα headers των πακέτων, που δεν λέει τίποτα, μιάς και φορτώνουν αδικαιολόγητα το δίκτυο (πλας το ότι με έναν σνίφφερ η παθητική κωδικοποίηση μπορεί να γίνει ενεργητικό σεξ, εις βάρος μας) , και εμείς θέλουμε ένα broadband δίκτυο..
Anyway μπορείς να κάνεις ignore την πρώτη παράγραφο της (προηγούμενης) απάντησης μου, είναι προφανές ότι είναι εκτός...

Δεν είχα διαβάσει καλά το thread, νόμιζα ότι μίλαγες για ipv6overipv4. Λέω ότι δεν θα χρειαστεί encapsulation στα πακέτα μιας και ο προσανατολισμός μας θα είναι καθαρά ipv6...

Μπορείς να το εξηγήσεις λίγο καλύτερα αυτό? Τι σημαίνει ότι δεν θα χρειαστεί
encapsulation? Είτε v4 είτε v6, το ip παραμένει ip και σε πάρα πολλά
πρωτόκολλα γίνεται encapsulated.

Έγώ πάντως δεν συμφωνώ με την ιδέα της υλοποίησης σε ipv6.
To ipv6 βρίσκεται ακόμα σε νηπιακό στάδιο και η υποστήριξή του είναι
μηδαμινή. Τα περισσότερα που προσφέρει είναι ήδη διαθέσιμα χρησιμοποιώντας
άλλες μεθόδους πιο κλασσικές.
Αν ο σκοπός του δικτύου ήταν η υλοποίηση πιλοτικού δικτύου ipv6 (κάτι
που έκανε/κάνει ήδη το gunet) τότε θα ήταν διαφορετικά τα πράγματα.

Δεν είναι ακριβώς το ίδιο..
Δες ftp://ftp.ipv6.org/pub/rfc/rfc2474.txt και άλλα συναφή..
Τώρα για το το πώς γίνεται το encapsulation (tunneling) ipv6 σε ipv4 είναι με τη προσθήκη πακέτων ipv6 μέσα σε ipv4 headers για νε μεταφερθούν μέσα σε δίκτυα βασισμένα στο ipv4.. Αυτό εννοούσα...
Επιμένω στο να είμαστε σε plain ipv6, ίσως υπάρξουν κάποιες δυσκολίες, αλλά η όλη φάση έχει μέσα της το στοιχείο του πειραματισμού, και προς θεού , δεν είναι "νηπιακή" η υποστήριξη του ipv6.. Σε ότι major χρησιμοποιούμε υπάρχει η υποστήριξη του... (από τον bind μέχρι το quake ;))..
Θα λύσει ίσως και κάποιο προβλήματα που θα αντιμετοπίζαμε με masq etc, μιασ και μπορείς να φανταστείς ότι πολλοί από μας ήδη χρησιμοποιούμε σε δικά μας lan μερικά subs, και γιατί να το κάνουμε μπέρδεμα, ενώ μπορούμε ο καθένας να έχει μία πραγματική ip για το κάθε τι...
Θα λύσει παρά θα δημιουργήσει προβήματα...

Δεν είναι ακριβώς το ίδιο..
Δες ftp://ftp.ipv6.org/pub/rfc/rfc2474.txt και άλλα συναφή..
Τώρα για το το πώς γίνεται το encapsulation (tunneling) ipv6 σε ipv4 είναι με τη προσθήκη πακέτων ipv6 μέσα σε ipv4 headers για νε μεταφερθούν μέσα σε δίκτυα βασισμένα στο ipv4.. Αυτό εννοούσα...


Μάλλον τα έχεις μπερδέψει λίγο. Το rfc λέει για το diffserv και δεν βλέπω
τι σχέση μπορεί να έχει με αυτά που συζητάμε (τουλάχιστον άμεσα).
Όσο για το encapsulation, εγώ αναφέρομαι σε ip encapsulated σε άλλα
πρωτόκολλα (tunelling). Αυτό το ip μπορεί να είναι v4 ή v6. Δεν κερδίζεις
κάτι με το να έχεις v6 στην συγκεκριμένη περίπτωση.



Επιμένω στο να είμαστε σε plain ipv6, ίσως υπάρξουν κάποιες δυσκολίες, αλλά η όλη φάση έχει μέσα της το στοιχείο του πειραματισμού, και προς θεού , δεν είναι "νηπιακή" η υποστήριξη του ipv6.. Σε ότι major χρησιμοποιούμε υπάρχει η υποστήριξη του... (από τον bind μέχρι το quake ;))..
Θα λύσει ίσως και κάποιο προβλήματα που θα αντιμετοπίζαμε με masq etc, μιασ και μπορείς να φανταστείς ότι πολλοί από μας ήδη χρησιμοποιούμε σε δικά μας lan μερικά subs, και γιατί να το κάνουμε μπέρδεμα, ενώ μπορούμε ο καθένας να έχει μία πραγματική ip για το κάθε τι...
Θα λύσει παρά θα δημιουργήσει προβήματα...

Το ότι υπάρχει επιλογή για υποστήριξη του ipv6 δεν σημαίνει ότι
χρησιμοποιείται κιόλας. Θέλει πολύ δρόμο ακόμα για να εδραιωθεί.
Δεν ξέρω αν το έχεις δουλέψει κιόλας, αλλά πίστεψέ με, το setup του
είναι πολύ πιο δύσκολο από αυτό του v4. Άλλο να το διαβάζεις και να λες
"εύκολο φαίνεται", και άλλο να προσπαθήσεις να το υλοποιήσεις.
Είμαι σίγουρος ότι αρκετοί από εδώ μέσα δεν γνωρίζουν καλά το v4,
οπότε σκέψου πως θα τους φανεί το v6.

Μα ήθελα να θίξω τί διαφορές υπάρχουν στα headers όπου και βασίζεται το ipv6overipv4 .. Δεδομένου του ότι ξέρεις το ΙP και το πώς γίνεται τα πακέτα του 6 να μεταφέρονται από τα headers του 4, σου λέω πώς είναι τα του 6..Τεσπά, λέω και συναφή, παρακάτω έχει παραπομπές...
Ναι, το χρησιμοποιώ πάντως, και καθαρά για το lan μου, και over4 αν τύχει..


<tunnel action="info" type="v6v4" lifetime="129600">
<server>
<address type="ipv4">206.123.31.114</address>
<address type="ipv6">3ffe:0b80:0002:8d85:0000:0000:0000:0001</address>
</server>
<client>
<address type="ipv4">195.97.103.236</address>
<address type="ipv6">3ffe:0b80:0002:8d85:0000:0000:0000:0002</address>
<address type="dn">Arkoudiaris.tsps1.freenet6.net</address>
<router>
<prefix length="48">3ffe:0b80:0cfa:0000:0000:0000:0000:0000</prefix>
</router>
</client>
</tunnel>

Το μόνο που έχω βάλει με ipv6 sup είναι τον apache, και μια binary έκδοση dhcp clients,που δεν έχω δει καν πως και τι..

Το συγκεκριμένο νομίζω ότι αναφέρεται σε κάποιο draft της IETF περί
tunnel servers και επειδή δεν το γνωρίζω, δεν μπορώ να σχολιάσω.

Πάντως από μένα δεν υπάρχει πρόβλημα σε ότι και αν αποφασίσετε.

btw, γιατί χρησιμοποιείς διαφορετικές ips σε v4 και v6 ?

206.123.31.114 (ipv4) -> ::206.123.31.144 (ipv6)

Τις v6 ips από που τις πήρες? Από ότι γνωρίζω το ripe δεν έχει αρχίσει να
δίνει σε όλους ακόμα....

Ως μή ειδικός, δεν μου πέφτει λόγος, αλλά δείτε σας παρακαλώ τις σκέψεις (http://members.optushome.com.au/redness/--%20Cleaner%20Draft%20--%20Mesh%20IP%20Proposal%2012-5-02.doc) του Brisbane Mesh (http://www.itee.uq.edu.au/~mesh/) για την εφαρμογή του IPv6 ή του IPv4.

Ελπίζω να καταλήξουμε κι εμείς σε κάποιο ανάλογο κείμενο, κάποια στιγμή.

chatasos: ips από το freenet6
dti: Κοίτα, αυτό που λέει είναι ότι θα πρέπει να πάει σε IPv4 το project τους επειδή οι άνθρωποι έχουν συνηθίσει έτσι, ή δεν γνωρίζουν κ.λ.π..
Κρίνει πάραυτα αναγκαίο (ή εξαιρετικά επιθυμητό) να αλλάξουν αφότου έχει υλοποιηθέι το wan σε IPv6 είτε long-term είτε short-term..
Έχει ένα καλό σχέδιο δράσης που μπορούμε με ελάχιστες αλλαγές να ακολουθήσουμε..
Ίσως να υπερβάλλω για το IPv6 , ενδεχομένως μπορούμε να το αφήσουμε IPv4 μιας δεν είμαστε και *τόσο* μεγάλη παρέα ... Θα αφαιρέση πονοκεφάλους σε σύγκριση με το 6, αλλά μελλοντικά ίσως προσθέσει..
Ένα άλλο συν για το 6 είναι ότι θα μπορούσαμε να είχαμε κάποια υποστήριξη από το gunet που έχει εναφέει και ο chatasos...

Δεν είμαι κανένας guru, περιμένουμε όλοι βοήθεια από επαγγελματίες κλπ..Αν δεν κάνω λάθος έχουμε τέτοιους στη παρέα μας(, chatasos είσαι στο teiath αν δεν κάνω λάθος;).. Έχει κανείς κοννέ στο gunet pr.?

Ήμουν στο teiath...

Από το gunet γνωρίζα κάποια που ήταν και καθηγήτρια στο teiath στα
"ειδικά θέματα δικτύων", αλλά έχω ξεκόψει εδώ και καιρό.

btw, δεν είμαι guru ούτε επαγγελματίας!!!!!!!! Απλά τυγχάνει να ασχολούμαι
με τα δίκτυα κάποια χρόνια (από όταν το teiath είχε σύνδεση με την αριάδνη στα
9600).

Loipon, gia to thema security,

Katarxin pisteuw oti prepei na orisoume poies efarmoges tou dyktiou mas tha prepei na ine secure kai poies oxi (p.x. den yparxei noima na exoume authedication kai encryption se mia web page h se ena mp3 pou metaferoume).
Apaks kai ginei auto, kai me vasi tis oses efarmoges mporw na skeutw twra, nomizw oti security xriazete se elaxistes efarmoges (p.x. access se servers) kai mpori poly eukola na efarmosti me ta gnwsta protokola (SSH, secure ftp etc)

Gia to thema IPv6,
H gnwmh mou ine oti den mas xriazete. Symfonw oti ine pio dyskolo na stithi kai den tha kerdisoume kai pola pragmata mias kai mporoume na kalyftoume pros to paron apo to IPv4. ta subnet 192.168.0.0/16 kai 10.0.0.0/16 mporoune na parexoune IPs se 131072 clients kai servers (peripou). Auta ine yperarketa gia tis anages tou dyktiou mas, eh ?