• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
WiFi hálózatok szeparációja
 

WiFi hálózatok szeparációja

on

  • 1,493 views

IIR szakkonferencián tartott Vezeték nélküli hálózatok szeparációja vállalati környezetben előadás

IIR szakkonferencián tartott Vezeték nélküli hálózatok szeparációja vállalati környezetben előadás

Statistics

Views

Total Views
1,493
Views on SlideShare
1,493
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Apple Keynote

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • <br />
  • <br />
  • Mit szeretn&#xE9;nk el&#xE9;rni? A c&#xE9;l minden esetben az er&#x151;forr&#xE1;sok megoszt&#xE1;sa, el&#xE9;rhet&#x151;v&#xE9; t&#xE9;tele a l&#xE1;togat&#xF3;knak. Term&#xE9;szetesen ezek a l&#xE1;togat&#xF3;k t&#xF6;bbf&#xE9;l&#xE9;k lehetnek, az &#xE9;ppen valamit bemutat&#xF3; sales-es, k&#xF6;z&#xF6;s projekten dolgoz&#xF3; partner, vagy egy t&#xE1;rgyal&#xE1;sra &#xE9;krez&#x151; &#xFC;zletf&#xE9;l. A jogosults&#xE1;gi szintj&#xFC;k jellemz&#x151;en lehet m&#xE1;s, de ak&#xE1;r ugyan az is. <br /> <br /> Tapasztalatom szerint ha olyas valaki ker&#xFC;l be &#xE1;tmenetileg a rendszerbe, akinek a bels&#x151; h&#xE1;l&#xF3;zati er&#x151;forr&#xE1;sokhoz is hozz&#xE1;f&#xE9;r&#xE9;ssel kell rendelkeznie, a rendszert &#xFC;zemeltet&#x151;k ink&#xE1;bb teljes k&#xF6;r&#x171; hozz&#xE1;f&#xE9;r&#xE9;st biztos&#xED;tanak, mint hogy a vend&#xE9;g wlan fel&#xE9; nyissanak bizonyos hozz&#xE1;f&#xE9;r&#xE9;seket. A piacvezet&#x151; gy&#xE1;rt&#xF3;k trendje is ezt az ir&#xE1;nyt c&#xE9;lozza, azaz legink&#xE1;bb az internet hozz&#xE1;f&#xE9;r&#xE9;shez ny&#xFA;jtanak megold&#xE1;st, a teljes v&#xE1;llalati infrastrukt&#xFA;ra megoszt&#xE1;s&#xE1;hoz nem. <br /> Term&#xE9;szetesen ez nem azt jelenti, hogy nem lehet a teljes infrastrukt&#xFA;r&#xE1;val &#xF6;sszehangolni. <br /> <br /> Az eredm&#xE9;ny mindig ugyan az: er&#x151;forr&#xE1;sokhoz k&#xED;v&#xE1;nnak hozz&#xE1;f&#xE9;rni. <br />
  • A lehet&#x151;s&#xE9;gek mell&#xE9; majdhogynem automatikusan j&#xE1;r a biztons&#xE1;gi probl&#xE9;m&#xE1;k eg&#xE9;sz sora. <br /> Ki f&#xE9;rhet hozz&#xE1; a vend&#xE9;g wifi-hez, ki internetezhet r&#xF3;la, az internet ir&#xE1;ny&#xE1;ban milyen forgalmakat enged&#xFC;nk? Jellemz&#x151;en k&#xFC;l&#xF6;nb&#xF6;z&#x151; c&#xE9;gek k&#xFC;l&#xF6;nb&#xF6;z&#x151; m&#xF3;don oldj&#xE1;k meg a roadwarrior csatlakoz&#xE1;sokat, azaz ha valamilyen sz&#x171;k hozz&#xE1;f&#xE9;r&#xE9;st biztos&#xED;tunk az internet ir&#xE1;ny&#xE1;ba, el&#x151;bb vagy ut&#xF3;bb annyi lyukat kell &#xFC;tni a t&#x171;zfalon, hogy egyr&#xE9;szt karbantarthatatlan, m&#xE1;sr&#xE9;sz k&#xF6;vethetetlen lesz. Verzi&#xF3; k&#xF6;vet&#xE9;s, rollback? Tal&#xE1;n. <br /> <br /> Fontos k&#xE9;rd&#xE9;s, hogy v&#xE9;dj&#xFC;k e a vend&#xE9;geink rendszer&#xE9;t illetve kommunik&#xE1;ci&#xF3;j&#xE1;t, vagy b&#xED;zhatunk abban, hogy &#x151;k ezt m&#xE1;r megtett&#xE9;k helyett&#xFC;nk (host t&#x171;zfal, VPN-be routolt forgalom stb) <br /> <br /> Mi a helyzet a rogue AP jelleg&#x171; t&#xE1;mad&#xE1;sokkal kapcsolatban, mit tehet&#xFC;nk a WiFi DoS jelleg&#x171; bruteforce ellen? <br /> <br /> Milyen lehet&#x151;s&#xE9;geink vannak protokoll szinten a v&#xE9;delemre? <br />
  • Nem szabad elfelejtkezn&#xFC;nk arr&#xF3;l sem, hogy publikus infrastrukt&#xFA;r&#xE1;t karban kell tartanunk, valamint ha olyan hozz&#xE1;f&#xE9;r&#xE9;s vez&#xE9;rl&#xE9;st alkalmazunk, akkor annak adminisztr&#xE1;ci&#xF3;j&#xE1;t is ki kell adnunk valakinek. <br /> A profitorient&#xE1;lt v&#xE1;llalatok jellemz&#x151;en t&#xFA;lterhelt, t&#xF6;bb funkci&#xF3;s alkalmazottaira &#xFA;jabb feladatot kell r&#xE1;tenn&#xFC;nk, viszont remek lene, ha ezzel nem s&#x171;llyeszten&#xE9;nk el &#x151;ket a bitekben mind&#xF6;r&#xF6;kre. <br /> <br /> N&#xE9;zz&#xFC;nk meg egy belv&#xE1;rosi iroda h&#xE1;zat, a k&#xF6;r&#xFC;l&#xF6;tte lev&#x151; WiFi zaj szempontj&#xE1;b&#xF3;l. Milyen megold&#xE1;sokat lehet haszn&#xE1;lni a t&#xFA;lterhelt spektrum ellen? Ki figyelje ezek v&#xE1;ltoz&#xE1;s&#xE1;t, &#xE9;s ki k&#xF6;vesse ezeket? (A hogyan dokument&#xE1;ljuk de egy&#xE1;ltal&#xE1;n &#xE9;rdemes e ezt dokument&#xE1;lni?) <br />
  • H&#xE1;t azt kell, hogy mondjam, az &#xFC;zemeltet&#xE9;s oldali k&#xE9;rd&#xE9;sekre a WiFi standard nem ad megold&#xE1;st, ezekre max a gy&#xE1;rt&#xF3;k k&#xE9;sz&#xFC;lhetnek (&#xE9;s k&#xE9;sz&#xFC;lnek) fel valamilyen egyedi m&#xF3;don. <br /> <br /> A 802.11 szabv&#xE1;ny eredetileg a WEP (Wired Equivalent Privacy) lett megalkotva a WiFi v&#xE9;delm&#xE9;re. Nem akarn&#xE9;k sok sz&#xF3;t vesztegetni erre, 2004 &#xF3;ta tudjuk, hogy ez a megold&#xE1;s elbukott. &#xC9;s igen, b&#xE1;rmilyen er&#x151;ss&#xE9;ggel, kulcs-cser&#xE9;vel is van meg&#xE1;ldva, a WEP elbukott. Sz&#xF3;t sem &#xE9;rdemel t&#xF6;bbet. <br /> <br /> A 802.11i szabv&#xE1;ny megalkot&#xE1;sa azt hivatott &#xF6;sszefoglalni, hogy milyen lehet&#x151;s&#xE9;gek ker&#xFC;ltek bele a protokollba menet k&#xF6;zben, illetve mik azok, amiket a legmagasabb biztons&#xE1;gi szinten is elfogadnak, mint megold&#xE1;s. <br /> <br /> &#xC9;rdemes k&#xE9;tfele v&#xE1;gni a lehet&#x151;s&#xE9;geket, vegy&#xFC;k az egyiket a SOHO kateg&#xF3;ri&#xE1;nak, m&#xE1;sikat pedig enterprise szint&#x171; megold&#xE1;snak. <br /> Van lehet&#x151;s&#xE9;g&#xFC;nk TKIP vagy AES titkos&#xED;t&#xE1;sra, illetve jelszavas, tan&#xFA;s&#xED;tv&#xE1;nyos authentik&#xE1;ci&#xF3;ra. Ezek haszn&#xE1;lata term&#xE9;szetesen c&#xE9;g m&#xE9;ret, fel&#xE9;p&#xED;t&#xE9;s &#xE9;s technikai megfontol&#xE1;s eredm&#xE9;nye kell, h legyen. <br /> De milyen ir&#xE1;nyb&#xF3;l hat ez a vend&#xE9;gek h&#xE1;l&#xF3;zat haszn&#xE1;lat&#xE1;ra? Jelen pillanatban a legjobban v&#xE9;dhet&#x151; megold&#xE1;s az EAP-TLS, amit ak&#xE1;r a m&#xE9;lt&#xE1;n h&#xED;res (h&#xED;rhedt) NSA is elfogad, mint biztons&#xE1;gi standardot. <br /> <br /> Ha t&#xF6;reksz&#xFC;nk a biztons&#xE1;gra, akkor be&#xE1;ll&#xED;tunk egy cert alap&#xFA; authot. Mivel senki sem &#xFC;l milli&#xF3;kon (legal&#xE1;bbis ebb&#x151;l a szemponb&#xF3;l) az authra haszn&#xE1;lt x.509-es certeket feltehet&#x151;leg self-signed cert f&#xE1;t fog felhaszn&#xE1;lni. Vend&#xE9;g&#xFC;nk szemponj&#xE1;b&#xF3;l ez azt jelenti, hogy legal&#xE1;bb egy root, &#xE9;s egy saj&#xE1;t certet kell telep&#xED;tenie ahhoz, hogy haszn&#xE1;lhat&#xF3;v&#xE1; v&#xE1;ljon a WiFink. Mivel nagyv&#xE1;llalati k&#xF6;rnyezetben legal&#xE1;bb a root containerbe telep&#xED;t&#xE9;s rendszergazdai jogokhoz k&#xF6;t&#xF6;tt, ez a vonal meglehet&#x151;sen k&#xF6;r&#xFC;lm&#xE9;nyes. <br /> De mondhatjuk ezt b&#xE1;rmely certet &#xE9;rint&#x151; megold&#xE1;sra is. Haszn&#xE1;latuk, legal&#xE1;bbis a vend&#xE9;gek szempontj&#xE1;b&#xF3;l, lass&#xFA; &#xE9;s neh&#xE9;zkes. <br /> N&#xE9;zz&#xFC;k a m&#xE1;sik v&#xE9;gletet, a PSK alap&#x171; bel&#xE9;p&#xE9;st. A felhaszn&#xE1;l&#xF3;nknak egy SSID-t &#xE9;s egy jelsz&#xF3;t kell megadnunk, amivel m&#xE1;ris &#xE1;tj&#xE1;rhat az internet ir&#xE1;ny&#xE1;ba <br />
  • Mi van a nyitott h&#xE1;l&#xF3;zatokkal? <br /> <br /> Tudjuk, hogy nyitott h&#xE1;l&#xF3;zat eset&#xE9;n b&#xE1;rki csatlakozhat a WiFi-hez, illetve a rajta foly&#xF3; kommunik&#xE1;ci&#xF3;t, ak&#xE1;r kil&#xF3;m&#xE9;retekkel t&#xE1;volabbr&#xF3;l is le lehet hallgatni. A lehallgat&#xE1;st innent&#x151;l kezdve mi, mint a WiFi h&#xE1;l&#xF3;zat &#xFC;zemeltet&#x151;i nem fogjuk tudni megakad&#xE1;lyozni, ezt r&#xE1;b&#xED;zzuk a vend&#xE9;g&#xFC;nkre. (Ha jog&#xE1;sz van a teremben, &#xE9;s van kedve, &#xED;rjon az erre az esetre r&#xE1;h&#xFA;zhat&#xF3; perekr&#x151;l egy 40 oldalas tanulm&#xE1;nyt, k&#xF6;sz&#xF6;n&#xF6;m) <br /> <br /> A felhaszn&#xE1;l&#xF3;nkat viszont &#xE9;rdemes azonos&#xED;tani, ha m&#xE1;s&#xE9;rt nem csak a miatt, hogy illet&#xE9;ktelenek ne tudj&#xE1;k m&#xE9;g az internet kapcsolatunkat sem saj&#xE1;t c&#xE9;ljukra haszn&#xE1;lni (&#xE9;s akkor itt j&#xF6;hetnek a buzzwordok, mint gyerekporn&#xF3; bankk&#xE1;rty&#xE1;k adom&#xE1;nyoz&#xE1;sa stb) <br /> Erre ak&#xE1;r ny&#xED;lt forr&#xE1;sk&#xF3;dra &#xE9;p&#xED;tve, ak&#xE1;r megv&#xE1;s&#xE1;rolva remek megold&#xE1;sokat kaphatunk. A titk&#xE1;rn&#x151;/recepci&#xF3;s pedig n&#xE9;h&#xE1;ny kattint&#xE1;ssal felvihet &#xFA;j felhaszn&#xE1;l&#xF3;t jelsz&#xF3;val, illetve t&#xF6;r&#xF6;lheti is ezt a jogosults&#xE1;gokat. <br /> Hatalmas el&#x151;nye lehet ennek a megold&#xE1;snak (vagy b&#xE1;rmely m&#xE1;s megold&#xE1;ssal t&#xF6;rt&#xE9;n&#x151; &#xF6;tv&#xF6;z&#xE9;se), hogy szem&#xE9;lyhez k&#xF6;thetj&#xFC;k a hozz&#xE1;f&#xE9;r&#xE9;st, &#xED;gy ak&#xE1;r az internetezhet vagy sem k&#xE9;rd&#xE9;sk&#xF6;rn&#xE9;l sokkal komplexebb d&#xF6;nt&#xE9;si mechanizmust is k&#xF6;thet&#xFC;nk az azonos&#xED;t&#xE1;shoz. Pl hozz&#xE1;f&#xE9;rhet e bizonyos bels&#x151; h&#xE1;l&#xF3;zati szegmensekhez az adott eszk&#xF6;z. <br /> Term&#xE9;szetesen itt is k&#xE9;rd&#xE9;s az &#xFC;zemeltet&#xE9;s, a felhaszn&#xE1;l&#xF3;k k&#xF6;vet&#xE9;se &#xE9;s ki&#xED;rt&#xE1;sa. <br /> Meg persze az, hogy akarjuk e, h a captive port&#xE1;lunkig is eljusson e b&#xE1;rki, ak&#xE1;r a parkol&#xF3;ban &#xFC;lve. <br /> <br />
  • Fizikai vonalak <br /> M&#xE1;r l&#xE1;tjuk, hogy milyen lehet&#x151;s&#xE9;geink vannak a felhaszn&#xE1;l&#xF3; &#xE9;s az AP k&#xF6;z&#xF6;tti kommunik&#xE1;ci&#xF3; v&#xE9;delm&#xE9;re, valamint a felhaszn&#xE1;l&#xF3; azonos&#xED;t&#xE1;s&#xE1;ra. N&#xE9;zz&#xFC;k meg, hogy mit tehet&#xFC;nk a v&#xE1;llalati infrastrukt&#xFA;ra v&#xE9;delm&#xE9;ben. <br /> <br /> A legbiztons&#xE1;gosabb megold&#xE1;s az lenne, ha minden egyes AP, de legal&#xE1;bb is minden egyes z&#xF3;na azonos fizikai hozz&#xE1;f&#xE9;r&#xE9;ssel rendelkezne a rendszerben, azaz nem lenne &#xE1;tj&#xE1;r&#xE1;s a WiFi &#xE1;ltal kiadott. <br /> Ez persze sok esetben m&#xE1;r nem lehets&#xE9;ges, hiszen a meglev&#x151; fizikai infrastrukt&#xFA;ra b&#x151;v&#xED;t&#xE9;s k&#xF6;r&#xFC;lm&#xE9;nyes &#xE9;s dr&#xE1;ga. <br /> <br />
  • A VLAN haszn&#xE1;lat m&#xE1;r egy l&#xE9;p&#xE9;ssel k&#xF6;zelebb van az ide&#xE1;lishoz, l&#xE9;v&#xE9;n a m&#xE1;r meglev&#x151; infrastrukt&#xFA;r&#xE1;ra illeszkedik, jellemz&#x151;en k&#xF6;zpontilag konfigur&#xE1;lhat&#xF3; (switch/t&#x171;zfal oldalon) &#xE9;s felt&#xE9;telezz&#xFC;k, hogy v&#xE9;delmet is ny&#xFA;jt a k&#xFC;ls&#x151; illet&#xE9;ktelen kommunikci&#xF3; ellen. <br /> Mi itt a gond? Egyr&#xE9;szt a VLAN-on bel&#xFC;l a kommunik&#xE1;ci&#xF3; lehallgathat&#xF3; - bizalom a vend&#xE9;g &#xE9;s az internet el&#xE9;r&#xE9;st ad&#xF3; c&#xE9;g k&#xF6;z&#xF6;tt, m&#xE1;sr&#xE9;szr&#x151;l egy konfigur&#xE1;ci&#xF3;s hiba ok&#xE1;n ak&#xE1;r a teljes bels&#x151; h&#xE1;l&#xF3;zatunk el&#xE9;rhet&#x151;v&#xE9; v&#xE1;lik a h&#xE1;l&#xF3;zatot haszn&#xE1;l&#xF3; el&#x151;tt. Egy nyitott h&#xE1;l&#xF3;zattal egybek&#xF6;tve ez fergeteges murira adhat okot - vagy h&#xED;vhatjuk egy hatalmas biztons&#xE1;gi incidensnek. <br />
  • A piacvezet&#x151; WiFi gy&#xE1;rt&#xF3;k, mint pl az Aruba vagy a HP olyan k&#xF6;ztes megold&#xE1;ssal &#xE1;llt el&#x151;, amely &#xF6;tv&#xF6;zi a fizikai h&#xE1;l&#xF3;zat relat&#xED;v biztons&#xE1;g&#xE1;t, &#xE9;s a vlan-os konfigur&#xE1;ci&#xF3; hat&#xE9;konys&#xE1;g&#xE1;t. <br /> Az AP egy VPN csatlakoz&#xE1;st ind&#xED;t a k&#xF6;zponti concentrator fel&#xE9;, amely lehet a gateway egyik dedik&#xE1;lt z&#xF3;n&#xE1;j&#xE1;ban is. A VPN-be z&#xE1;rt kommunik&#xE1;ci&#xF3; miatt sem a vpn-b&#x151;l ki, sem a VPN-be be nem lehet olyan forgalmat k&#xFC;ldeni, amely b&#xE1;rmelyik oldalnak tartania kellene (term&#xE9;szetesen a VPN v&#xE9;gponton m&#xE9;g mindig lehet az egy&#xE9;bk&#xE9;nt nem megfelel&#x151;en v&#xE9;dett kommunik&#xE1;ci&#xF3;t t&#xE1;madni), emiatt ak&#xE1;r egy VLAN szepar&#xE1;ci&#xF3; is el&#xE9;gs&#xE9;ges v&#xE9;delmet ny&#xFA;jt az ilkyen kommunik&#xE1;ci&#xF3;hoz. <br />
  • Nos igen, a csatorn&#xE1;k. A 2.4-es WiFi szabv&#xE1;ny sajn&#xE1;latos m&#xF3;don a 13 csatorn&#xE1;b&#xF3;l &#xF6;sszesen 3 olyat tud felmutatni, ami egym&#xE1;st&#xF3;l megfelel&#x151; t&#xE1;vols&#xE1;gra van. Pontosabban kett&#x151;t, ha belesz&#xE1;m&#xED;tjuk a mikrohull&#xE1;m&#xFA; s&#xFC;t&#x151;ket &#xE9;s BlueTooth ketyer&#xE9;ket, amelyek pont azon a frekvenci&#xE1;n kommunik&#xE1;lnak, mint a k&#xF6;z&#xE9;ps&#x151; 6-os WiFi csatorna... Mondjuk egy Budapesti belv&#xE1;rosi irod&#xE1;ban nagyj&#xE1;b&#xF3;l lehetetlen megfelel&#x151; fix csatorna kioszt&#xE1;st tal&#xE1;lni a saj&#xE1;t h&#xE1;l&#xF3;zatunk sz&#xE1;m&#xE1;ra. <br /> <br /> A nagy gy&#xE1;rt&#xF3;k ezt szint&#xE9;n egy &#xFC;gyes tr&#xFC;kkel oldott&#xE1;k meg: az AP-k monitorozz&#xE1;k a k&#xF6;r&#xFC;l&#xF6;tt&#xFC;k lev&#x151; h&#xE1;l&#xF3;zatokat, &#xE9;s a t&#xFA;ltel&#xED;tett spektrumr&#xF3;l &#xE1;tugranak egy megfelel&#x151;en t&#xE1;volira, hogy a r&#xE1;di&#xF3;s zavar min&#xE9;l alacsonyabb legyen. <br /> <br /> Mi van a DoS &#xE9;s rogue AP elleni v&#xE9;delemmel? Term&#xE9;szetesen erre is van megold&#xE1;s: mivel a DoS egy igen primit&#xED;v, cser&#xE9;ben hat&#xE9;kony t&#xE1;mad&#xE1;s, v&#xE9;delem ellene nehezen van. Lehet hoppoltatni m&#xE1;sik csatorn&#xE1;ra az AP-t, lehet ellent&#xE1;mad&#xE1;st ind&#xED;tani, vagy legrosszabb esetben az AP saj&#xE1;t mag&#xE1;t is kikapcsolhatja - legal&#xE1;bbis a r&#xE1;di&#xF3;j&#xE1;t. Mondjuk ez ut&#xF3;bbi esetben a t&#xE1;mad&#xE1;s el&#xE9;rte a c&#xE9;lj&#xE1;t, az adott AP eln&#xE9;mult. <br /> <br /> Mi van a rogue access pointokkal? Az AP-k a csatorna v&#xE1;ltogat&#xE1;son k&#xED;v&#xFC;l k&#xE9;pesek a nem ismert SSID-j&#x171; h&#xE1;l&#xF3;zatok DoS al&#xE1; v&#xE9;tel&#xE9;re is, magyar&#xE1;n ha egy HP rendszert csak &#x201C;kidobunk&#x201D; a h&#xE1;l&#xF3;zatunkra, akkor a hat&#xF3;k&#xF6;rbe es&#x151; szomsz&#xE9;dos h&#xE1;l&#xF3;zatok n&#xE9;h&#xE1;ny m&#xE1;sodpercen/percen bel&#xFC;l eln&#xE9;mulnak. T&#xE9;ny, h ez &#xE1;ltal nem lesz sz&#xFC;ks&#xE9;g&#xFC;nk a csatorn&#xE1;k v&#xE1;lt&#xE1;s&#xE1;ra, viszont a szomsz&#xE9;d v&#xE1;llalatok illetve az NHH hamarosan kopogtatni fog az ajt&#xF3;nkon. <br /> Erre van egy j&#xF3; story-m <br />
  • Meg lehet e ezt oldani open source forr&#xE1;sb&#xF3;l? <br /> R&#xE9;szben igen, r&#xE9;szben pedig nem. <br /> <br /> A HuWico tagok java r&#xE9;szt open source f&#xE9;tisiszt&#xE1;k, unix &#xE9;s linux oper&#xE1;ci&#xF3;s rendszereken szocializ&#xE1;l&#xF3;dtak. Ennek mi a folyom&#xE1;nya? &#x201C;Mindent meg lehet oldani, ha a linux kernel tudja!&#x201D; <br /> Csak szabadon k&#xF6;szlva, &#xE9;s a teljess&#xE9;g ig&#xE9;nye n&#xE9;lk&#xFC;l: <br /> OpenWRT az AP-ra, IpSEC vagy OpenVPN t&#xE1;mogat&#xE1;ssal, ChilliSpot vagy WiFiDOG (ez m&#xE1;r lehet, h nem &#xE9;l&#x151; projekt) Radius/LDAP integr&#xE1;ci&#xF3;val captive port&#xE1;lk&#xE9;nt, &#xE9;s ha megfelel&#x151; chipset&#x171; k&#xE1;rty&#xE1;nk van (Atheros) akkor t&#xF6;bb k&#xFC;l&#xF6;nb&#xF6;z&#x151; (AP &#xE9;s monitor) m&#xF3;dban fut&#xF3; WiFi-t l&#xE9;trehozva n&#xE9;mi shell scripttel t&#xE1;mogatva &#xF6;sszerakhat&#xF3; a channel hopping &#xE9;s rogue AP detection/protection is. Ha akarunk egy SNORT-ot is telep&#xED;thet&#xFC;nk, amivel ak&#xE1;r k&#xFC;l&#xF6;n eszk&#xF6;zzel IDS - switchekkel egy&#xFC;ttm&#x171;k&#xF6;dve IPS megold&#xE1;st is sz&#xE1;ll&#xED;thatunk. <br /> <br /> El&#x151;nye? Kiv&#xE1;l&#xF3; n&#xE9;h&#xE1;ny napos/hetes DIY projekt. H&#xE1;tr&#xE1;nya? A supportot adja hozz&#xE1; egy nagyv&#xE1;llalati k&#xF6;rnyezetben aki k&#xE9;tszer &#xE1;llt sorban a b&#xE1;tors&#xE1;g pirula oszt&#xE1;sn&#xE1;l. Vagy m&#xE9;g ink&#xE1;bb h&#xE1;romszor. <br />
  • <br />

WiFi hálózatok szeparációja WiFi hálózatok szeparációja Presentation Transcript

  • Szeparáció és vendéghálózatok a vállalati wireless rendszerben
  • Miről lesz szó? Célok Problémák (technológia és biztonság) Megoldások
  • Biztonsági problémák
  • Support
  • Megoldások a “dobozból”
  • N is y su n k ?
  • Fizikai vonalak
  • VLAN
  • VPN
  • Köszönöm a figyelmet!