Wifi autentizace

Miroslav Prýmek m.prymek at gmail.com
Wed Oct 31 10:18:20 CET 2012


2012/10/31 Dan Lukes <dan na obluda.cz>:
> On 10/31/12 07:58, Miroslav Prýmek:
> Oni se snad vsichni vsude docista zblaznili. A najednou ...

Tak uz to byva :)

> Tyto dva pozadavky jsou proti sobe. Protoze prvni problem s neprilis
> zdatnymi uzivateli je v prihlasovacich udajich. Kratky a jednoduchy heslo ti
> zanedlouho nekdo prolomi, dlouhy a slozity zase budou mit problemy zadavat.
> A to na nekterejch konfiguracich ho musi zadavat pokazde, protoze pri
> nekterych konfiguracich se neuklada.
>

Mozna jsem nemel psat na "slusne" urovni, ale na "rozumne" nebo
"odpovidajici" urovni. Za rozumnou
uroven bych povazoval treba WPA2 sifrovani + klidne ulozene heslo
(popr. certifikat).
Otazka zni, jak takove urovne dosahnout tak, aby to bylo z hlediska uzivatele co
nejkomfortnejsi, z hlediska spravy co nejmin problematicke a narocne a
aby to bylo provozovatelne
na technologii Mikrotik AP+hloupe paterni switche+FreeBSD server.

> O slusne fungujicim hotovem nastroji nevim, vim o nekom, co si potrebne
> skripty udelal sam. Ono o zas az tak slozite neni. Nejslozitejsi je vymyslet
> kdy ho vlastne chces odhlasit.
>
Kdybych se rozhodl pro tuhle cestu, bylo by mozne se na ty skripty podivat
alespon pro inspiraci?

Odhlaseni neni problem, to se pripadne nemusi delat vubec nebo treba po mesici
bez aktivity (klienti tam jsou a budou dlouhodobe).

> A to samozrejme plati i pro linku, kterou to mas cele pripojene nekam.
> Spatne reseni nechat tou linkou protekat video do uzivatelova torrentu, v
> podstate to ucpat, ale na tvem konci ty pakety, kterym se podari projit
> zahazovat shapingem ...

Tohle neni zas tak kriticke. Stacilo by to zatim resit i jenom
monitoringem a upozornenim
hrisniku :)
A stejne, mel jsem za to, ze shaping funguje tak, ze prvni "velka
data" sice projdou,
ale nepotvrzenim donutim producenta zpomalit. To by v tomhle pripade
bohate stacilo,
protoze klientu je malo a neda se predpokladat, ze by linku nejak
vyrazne zahltili jenom
temi par pocatecnimi pakety, co dovnitr projdou.

> Tak pokud se ti to povede a vyse recene bude platit jeste za dva roky, jsme
> ochoten to klasifikovat jako regulerni zazrak. To budou klienti s horsi
> antenou, kteri v nekterych mistech kde by si to prali nebudou mit signal.
> Takze by bylo treba AP zesilit. Jina zarizeni, s lepsi antenou ale spatnou
> implementaci ovladacu ve stejnem miste uvidi signal vic nez jednoho AP,
> budou mezi nimi poskakovat a protoze kazdy handover znamena vypadek, budou
> efektivne stale ve vypadku, bez schopnosti datoev komunikace (a jeste budou
> zatezovat auettnizacni server).

Tohle realne hrozi. Pokud by se to ukazalo byt problemem, preslo by se
asi (vic) na WDS, kde by
tohle (afaik) problemy zpusobovat nemelo.

> Krome notebooku se zahy objevi nekdo, nejlepe nekterej ze
> sefu, se smart telefonem ci nejakym super cool tabletem, kterej ale bude mit
> velice omezenou mnozinu autentizacnich protokolu, ktere zna.

Tohle (alespon zatim) vubec nehrozi. Spis hrozi ty zastarale laptopy/OS.
(coz je vlastne ale ve finale stejny pripad...)


> Tak hodne stesti ;-)

Tak nevim, jestli je na miste podekovat nebo to brat jako invektivu ;)

M.



More information about the Users-l mailing list