Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

sprawdzenie sieci bezprzewodowej - względy dostępu "za&

tman-pl 01 Jun 2009 08:44 2508 5
  • #1
    tman-pl
    Level 13  
    witam,

    Jak mogę sprawdzić bezpieczeństwo sieci bezprzewodowej?

    w istniejącej sieci kablowej (192.168.1.XXX) dodałem router bezprzewodowy (192.168.1.222) (linksys WRT160N) tworzący swoją sieć (192.168.2.1) (w ustawieniach routera w sekcji "Internet setup").

    Sieć bezprzewodowa jest niezabezpieczona (ogólnodostępny AP).
    W routerze bezprzewodowym (linksys) włączona jest dodatkowo opcja "AP Isolation" - w/g helpdesku linksysa komputery w sieci (bezprzewodowej) nie widzą się wzajemnie (czy podniesie to poziom bezpieczeństwa z mojego punktu widzenia nie wydaje mi sie, konsultant zalecał włączenie tej opcji).



    Dla bezpieczeństwa adres routera bezprzewodowego w sieci 192.168.1.XXX jest ustawiony jako DMZ (na routerze kablowym).

    chciałbym sprawdzić bezpieczeństwo sieci lokalnej (przewodowej, 192,168.1.XXX) w aspekcie dostępu do niej z sieci bezprzewodowej (192.168.2.XXX).

    czyli innymi słowy chciałbym włamać się do własnej sieci lub stwierdzić brak takich możliwości.

    Wiem, że pytanie jest nieco kontrowersyjne (bo równie dobrze mógłbym być userem bezprzewodowym próbującym uzyskać nieautoryzowany dostęp do sieci kablowej) - uprzedzam ew. odpowiedzi tego typu (mam pełen dostęp do obu sieci i routerów).

    pozdrawiam,

    Tomasz
  • #2
    MarekPPN
    Level 35  
    Masz może gdzieś tam zakładkę DHCP Clients?
  • #3
    piterus99
    Level 43  
    Czyli chcesz osiagnac odizolowanie sieci 192.168.1.x od sieci 192.168.2.x, gdzie ta pierwsza jest wazniejsza? Jesli tak, to popelniles blad.

    Komputery schowane za routerem maja swobodny dostep do komputerow z puli 1.x, dlatego ze to sie tam ladnie routuje wszystko.
    Rozwiazanie? "Zamienic" sieci - przewodowa zrob jako "podsiec" w sieci 192.168.2.x, dodatkowo nie wlaczaj jakis DMZ i innych rzeczy, poniewaz w tym momencie kazdy user z lapciakiem moze Ci sie wpakowac w zasoby zwyklym skanerem portow (sprawdzajac ktory host ma otwarte zasoby) i potem przez \\IP.

    Net -> Hotspot -> Komputery z ukrytej sieci.

    W takiej konfiguracji ktos laczacy sie do routera "hotspot" moze isc tylko w lewo, nie spinguje komputerow z chronionej sieci, ostatnim miejscem do ktorego sie bedzie mogl dostac jest odpowiednio skonfigurowany router komputerow kablowych(w praktyce po prostu ukryty panel sterowania od strony WANu)

    Mam nadzieje, ze to cos pomoze.
  • #4
    tman-pl
    Level 13  
    Tak, priorytetem jest uniemożliwienie dostępu do sieci 1.x z sieci 2.x

    chyba trochę rozumiem, myślałem tylko - że poza router nie da się wyjść (czyli kierunek "w prawo", ale to chyba rzeczywiście nierealne, bo siedząc za routerem nie mógłbym spingować niczego z WANu).

    jeszcze to muszę przemyśleć, ale jak rozumiem sugestia to takie przepięcie kabli (praktycznie) aby sygnał internetowy "wpięty" był w router bezprzewodowy, a router kablowy wpięty w bezprzewodowy?

    I jeszcze - żeby sprawdzić "sprawność" DMZ (to nie ma prawa działać?) należy spingować coś w sieci 192.168.1.x (np. komputer) będąc w sieci 192.168.2.x?

    i wracając do sugestii ten kierunek "Net -> Hotspot -> Komputery z ukrytej sieci" wyznaczony jest przez fizyczną architekturę sieci a nie kolejność podsieci (zamiana 192.168.1.x na 192.168.2.x i analogicznie zamiana 192.168.2.x na 192.168.1.x nie załatwi sprawy?)

    dziękuję za odpowiedź.
  • Helpful post
    #5
    piterus99
    Level 43  
    To moze od konca - Tak, chodzi o fizyczne przepięcie kabli i poustawianie tego, "numerki" nie mają tu znaczenia.

    DMZ w ogóle w to nie mieszaj, nie jest tutaj potrzebne i ma być wyłączone.
    Pamietaj tylko, zeby sie podsieci na routerach nie powtarzaly - bo wyjdzie sajgon;]

    Pozdrawiam i zapraszam do dalszych pytan:)
  • #6
    tman-pl
    Level 13  
    Ze względu na to, że przepięcie kabli może być nieco "trudne" (na szybko" wydaje mis ie, że konieczne byłoby położenie co najmniej jednego kabla (do bezprzewodowego - żeby połączyć go - oprócz WANU także z lanem istniejącym) - są inne metody na zabezpieczenie sieci lokalnej?

    Może np wyłączenie wszystkich portów poza 80, 82 (chyba - myślę o https) i ew. jeszcze kilku "ważnych" (np do poczty) - to punkt dostępowy, 99% to i tak będzie www

    ?

    Dzięki za info

    BTW konsultant linksysa przez telefon głowę dawał, że takie rozwiązanie, szczególnie w połączeniu z DMZ jest super bezpieczne...

    NIESTETY okazało się że rzeczywiście sieć którą chciałem ukryć jest jak otwarta księga - ja bez problemu po IP mogę "wejść" do dowolnego urządzenia niezabezpieczonego hasłem... przez eksploratora windows.

    AHA: dostawca internetu powiedział mi, że może mi (na potrzeby tego punktu) dać dodatkowe stałe publiczne IP i routować ruch u siebie w szafie.

    Może to jest kierunek?

    Wtedy sieć wyglądałaby tak:

    Code:
    NET - SWITCH - ROUTER kablowy - LAN (chroniona)
    
                \- ROUTER bezprzewodowy AP (dostępny)

    ?

    PZDR!

    EDIT:

    uzupełnię wiadomość: zrealizowałem to rozwiązanie o którym w tej wiadomości pisałem - i jest to chyba właściwe rozwiązanie - przynajmniej w aspekcie odseparowania sieci.

    niestety wymaga odrębnego IP, lae to już inna historia.

    PZDR