Курсовой проект такой (тему сам выбрал). Шлюз для беспроводных сетей с шифрованием. Сейчас большинство сетей не используют шифрование: подключился, выходишь в инет, а тебе предлагается ввести логин и пароль (слава богу, что по HTTPS). после этого сидишь в инете.Что плохо: 1) данные передаются в открытом виде, поэтому ваш пароль от вконтакте может быть перехвачен (airodump-ng wireshark рулят)2) можно подсмотреть MAC-адрес пользователя, подключённого к сети, поставить себе такой же, выкинуть того пользователя (или подождать, пока сам не отключится) и подключиться к сети. Система вас примет за другого пользователя и пустит в нет. Можно сидеть на халяву и ломать сайты :)Как предлагается в моей системе:1) пользователь подрубается к открытой сетке, пытается выйти в инет, и перенаправляется на сервер аутентификации (как и сейчас, с HTTPS). Только в открытой сети инет отсутствует в принципе, доступен только сервер системы.2) пользователь вводит свои данные и получает сертификат доступа.3) пользователь подключается к закрытой сети с помощью этого сертификата (используются стандарты WPA-EAP и EAP-TLS). Теперь его данные зашифрованы. Пользователи определяются не по MAC-адресам, а по сертификатам, поэтому максимум, что получится сделать хакеру - оборвать соединение aireplay39;ем.4) пользователь сидит в нете и может подключаться в течение срока действия сертификата без дополнительных настроек.Недостаток: приходится делать определенные настройки. Под убунтой настраивается довольно просто, под вистой - геморнее. Но в висте есть возможность сохранения и загрузки профилей, поэтому можно сделать программу, которая настройки автоматически прописывает.Можно подключиться даже под симбиан и винмобайлом, так что пользователи мобильных и КПК смогут работать в сети.Сервер работает под убунтой, использует такие пакеты, как dnsmasq, DHCP3-server, apache + PHP, freeRADIUS, OpenSSL. Пока сделана система с минимумом функциональности (даже БД пользователей нету). Если будет интерес и желание - потом доделаю до конца, с управлением пользователями, статистикой, лимитом трафика . Если кому-то это интересно, есть желание где-то поставить такое - могу скинуть описание системы.Точка доступа на две сети одна, с поддержкой MultiSSID и VLAN. Я ставил длинковскую DWL2100AP.Полосатый вайфай (Beeline_WiFi) может использовать шифрование подобно моему варианту (хотя они до этого додумались лишь в середине декабря), но большинство пользователей, скорее всего, сидит по незащищённому соединению. Хакерам раздолье ;)
Насчёт DHCP-серверов можно сказать, что открытый и закрытый сегмент сети изолированы друг от друга, и адреса им выдаются из разных диапазонов и на разное время. Значит, нужно запустить 2 DHCP-сервера на разных интерфейсах. Кроме того, они не должны давать адреса пользователям проводной сети.dnsmasq нужен для открытой сети, чтобы помимо выдачи адресов перенаправлять клиентов, выдавая им в ответ на DNS запросы адрес сервера системы.Можно было сделать по-другому: запустить 2 копии dnsmasq с разными конфигами. Но мой вариант тоже возможен.Можно VPN, но хуже. Под убунтой для VPN дополнительные пакеты нужны. На моей нокии n80 под симбиан вообще VPN не пойдёт. Тем более нафиг пользователю дополнительный значок в сетевых подключениях? Зачем еще openVPN, если он в винде по умолчанию не поддерживается? Единственное преиимущество - шифрованием трафика занимается более мощный процессор сервера (а не точки доступа). Хотя у меня точка доступа передаёт шифрованный трафик на скорости 17 мегабит в секунду, так же, как и не шифрованный (увидел такой результат - удивился).
Это я просто предложил варианты впн. у меня например на моих машинах и опен и пптп клиенты имеются. Не у все они есть это минус.получается что все цепляются ко второй точке с шифрованием через радиус . если хакер залогинится в эту сеть что ему мешает собрать взломать wpa шифрование. вроде в инете маны есть. Я правда плаваю в теме чисто мыслительные догадки =)
WPA шифрование только перебором ломается. Это старый WEP можно было взломать, перехватив данные. Кстати, для перехвата логиниться (точнее, ассоциироваться с сетью) не нужно.Тем более перебором ломается WPA-PSK, WPA-EAP бесполезно перебором ломать. Радиус передает по защищенному каналу ключ длиной 256 бит. 2 в 256й степени - это просто дофига.Длина ключей на HTTPS сервер, которым защищен передаваемый сертификат - тоже 256 бит. Пока еще никто не взломал HTTPS. Ключик пользовательского сертификата также 256 бит.
5 gt; Насчёт DHCP-серверов можно сказать, что открытый и закрытый сегмент сети изолированы друг от друга, и адреса им выдаются из разных диапазонов и на разное время. Значит, нужно запустить 2 DHCP-сервера на разных интерфейсах.Вовсе нет. И через dnsmsq и через dhcpd можно держать несколько сетей, скажем, открытую с серером 192.168.0.1 и закрытую с сервером 10.210.0.1. Tолько dnsmasq быстрее настраивается.
