Δωρεάν διάθεση πρόσβασης (ADSL) στο Διαδίκτυο και ασφάλεια

[gsak71]

Φίλοι καλημέρα,
ΜΕ αφορμή την υπογραφή κάποιου φίλου εδώ που δε θυμάμαι το όνομά του, σκέφτομαι σοβαρά να διαθέσω την πρόσβαση ADSL που έχω (Otenet 384) δωρεάν για τους γείτονές μου, κυρίως όταν λείπω από το σπίτι, ή εν πάση περιπτώση όταν δεν το χρειάζομαι.

Διαθέτω ένα USR 9108 και δύο Η/Υ, ο ένας ας θεωρηθεί always-on και συνεχώς (ασύρματα) συνδεδεμένος με το 9108. Η ερώτησή μου είναι η εξής:

Πως πρέπει να διαθέσω τη συσκευή, ποιές IP να δώσω στους Η/Υ μου ώστε να έχω ασφαλή δικτύωση ανάμεσα στους δικούς μου Η/Υ και ταυτόχρονα κάποιοι άσχετοι πιθανοί χρήστες να έχουν πρόσβαση στο WΑΝ;

[jimser]

gsak71 : Επειδή έχω κάνει το ίδιο ακριβώς, χωρίς να έχω πολύ εμπειρία να στο αναλύσω λεπτομερειακά, αυτά που έκανα εγώ είναι τα εξής : 192.168.1.1 ip στο router και αντίστοιχα 2,3,4 στα άλλα pc, dns servers τους dns servers του provider. Για την ασφάλεια του wi-fi έβαλα το routeraki να βλέπει μόνο τα συγκεκριμένα mac adresses των ασύρματων καρτών, και έδωσα και για authentication wpa-psk με όσο γίνεται μεγαλύτερο/δυσκολότερο κλειδί ώστε να έχω κάπως το κεφάλι μου ήσυχο.

[NLS]

θα το κάνεις... δωρεάν;

η διασύνδεση με τους γείτονες πως θα είναι; ενσύρματα; ασύρματα;
στη δεύτερη περίπτωση πως ξέρεις ότι έχεις την εμβέλεια που χρειάζεται; έχει δοκιμαστεί; (εμένα πχ. το 9108 με τίποτα δεν)

τέσπα υποθέτοντας ότι κάπως τους ΔΙΝΕΙΣ πρόσβαση ασύρματα (γιατί ενσύρματα δεν σε πειράζει, σε αυτή την περίπτωση κλείνεις και τελείως το WLAN), φυσικά και θα κλειδώσεις το WLAN σου με κλειδιά τα οποία θα ξέρουν εκείνοι μόνο (τα οποία όταν γυρίσεις θα τα αλλάξεις), that's all

αν μάλιστα τώρα που δεν τους έχεις διαθέση τη σύνδεση ΔΕΝ είναι κλειδωμένο το WLAN σου, ποιός σου λέει ότι οι γείτονες δεν χρησιμοποιούν ήδη τη σύνδεση σου;

όσο αγορά τα IP δεν έχεις περιθώριο... αν έχεις DHCP και για τα δικά σου μηχανήματα (και όχι στατικές IP) τότε και οι γείτονες εκεί θα πάρουν συνεχόμενα IP... αν έχεις καρφωτές IP πάλι δεν μπορείς να απομονώσεις το routing από-προς αυτούς αν αυτοί βρουν τις IP σου, εκτός αν ρυθμίσεις έτσι τον firewall στα PC σου ή το routing table (πάλι του PC)

μου κάνει εντύπωση που φοβάσαι και για πιθανούς άσχετους... ή πιστεύεις ότι το 9108 έχει τεράστια εμβέλεια και ΠΟΛΥΣ κόσμος έχει ασύρματες κάρτες δικτύου, ή μένεις σε τίποτα κουτάκια και γύρω γύρω έχεις κομπιουτεράδες...

[gsak71]

gsak71 : Επειδή έχω κάνει το ίδιο ακριβώς, χωρίς να έχω πολύ εμπειρία να στο αναλύσω λεπτομερειακά, αυτά που έκανα εγώ είναι τα εξής : 192.168.1.1 ip στο router και αντίστοιχα 2,3,4 στα άλλα pc, dns servers τους dns servers του provider. Για την ασφάλεια του wi-fi έβαλα το routeraki να βλέπει μόνο τα συγκεκριμένα mac adresses των ασύρματων καρτών, και έδωσα και για authentication wpa-psk με όσο γίνεται μεγαλύτερο/δυσκολότερο κλειδί ώστε να έχω κάπως το κεφάλι μου ήσυχο.

Δεν ξέρω αν έγινα αντιληπτός, εγώ θέλω να δώσω πρόσβαση σε άλλους, αλλά να μην έχω πρόβλημα σφάλειας στους δικούς μου Η/Υ

[jimser]

Απόλυτη ασφάλεια μόνο με ενσύρματη σύνδεση. Με ασύρματη σύνδεση δεν πιστεύω ότι μπορείς να είσαι 100% ασφαλής.

[gsak71]

θα το κάνεις... δωρεάν;

η διασύνδεση με τους γείτονες πως θα είναι; ενσύρματα; ασύρματα;
στη δεύτερη περίπτωση πως ξέρεις ότι έχεις την εμβέλεια που χρειάζεται; έχει δοκιμαστεί; (εμένα πχ. το 9108 με τίποτα δεν)

τέσπα υποθέτοντας ότι κάπως τους ΔΙΝΕΙΣ πρόσβαση ασύρματα (γιατί ενσύρματα δεν σε πειράζει, σε αυτή την περίπτωση κλείνεις και τελείως το WLAN), φυσικά και θα κλειδώσεις το WLAN σου με κλειδιά τα οποία θα ξέρουν εκείνοι μόνο (τα οποία όταν γυρίσεις θα τα αλλάξεις), that's all

αν μάλιστα τώρα που δεν τους έχεις διαθέση τη σύνδεση ΔΕΝ είναι κλειδωμένο το WLAN σου, ποιός σου λέει ότι οι γείτονες δεν χρησιμοποιούν ήδη τη σύνδεση σου;

όσο αγορά τα IP δεν έχεις περιθώριο... αν έχεις DHCP και για τα δικά σου μηχανήματα (και όχι στατικές IP) τότε και οι γείτονες εκεί θα πάρουν συνεχόμενα IP... αν έχεις καρφωτές IP πάλι δεν μπορείς να απομονώσεις το routing από-προς αυτούς αν αυτοί βρουν τις IP σου, εκτός αν ρυθμίσεις έτσι τον firewall στα PC σου ή το routing table (πάλι του PC)

μου κάνει εντύπωση που φοβάσαι και για πιθανούς άσχετους... ή πιστεύεις ότι το 9108 έχει τεράστια εμβέλεια και ΠΟΛΥΣ κόσμος έχει ασύρματες κάρτες δικτύου, ή μένεις σε τίποτα κουτάκια και γύρω γύρω έχεις κομπιουτεράδες...

Πρώτα πρώτα να πω ότι δεν 'εχω έρθει σε συνεννόηση με κανέναν για να του δίνω πρόσβαση. Απλώς συμφωνώ με την άποψη "γιατί να κάθεται ανενεργό όταν λείπεις; όποιος το θέλει ας το εκμεταλλευτεί" Όταν λοιπόν μιλάω για άσχετους, εννοώ οποιονδήποτε είναι σε εμβέλεια.

Έχει τύχει κατά καιρούς να "πιάνω" άλλων δίκτυα όταν ψάχνω. Οπότε ίσως υπάρχουν τέτοιοι χρήστες "within range". Προς το παρόν το wireless είναι κλειδωμένο, ακόμα κ σε επίπεδο MAC, μόνο για τα δικά μου.

Άρα δε μπορώ να απομονώσω ένα υποδίκτυο π.χ από τους υπόλοιπους; Κάπως έτσι το φανταζόμουν. Ένα σενάριο ας πούμε...πάρτε με DHCP εσείς και κρατάω άλλες IP για μένα, αλλά χωρίς πρόσβαση ανάμεσά τους.

[mitsos3000]

Εμένα θα με απασχολούσε πιο πολύ πως θα προστατεύομουν από τυχόν παρανομίες που θα έκαναν οι χρήστες αυτοί στο Internet, χρησιμοποιώντας την IP μου.

[NLS]

σωστό και αυτό mitso

όσο για το άλλο γίνεται gsak αλλά όχι εύκολα - σου είπα, θα πρέπει να βάλεις το software-firewall σου να μην θεωρεί ασφαλή ΟΥΤΕ τα IP του LAN σου (εκτός από τα δικά σου), ενώ και με παιχνίδι με την route (εντολή) κάτι μπορείς να κάνεις αλλά με προσοχή (και θα σταματήσεις να χρησιμοποιείς ολόκληρο subnet αλλά μικρότερα)

[WAntilles]

Για την ασφάλεια του τοπικού σου δικτύου LAN έχεις σκεφτεί καθόλου;

Κατ' εμέ θά 'πρεπε να είναι το πρώτο πράγμα που να σ' απασχολεί.

[NLS]

μα αυτό λέει ο άνθρωπος

[mitsos3000]

Το USR μπορεί να ρυθμιστεί ώστε να χρησιμοποιεί WPA όχι υποχρεωτικά αλλά προαιρετικά;

Το λέω αυτό γιατί εσύ πρέπει να έχεις WPA στο μηχάνημα που συνδέεται πάνω στο USR, ενώ αντιθέτως οι άλλοι χρήστες δεν μπορούν να χρησιμοποιήσουν WPA γιατί δεν ξέρουν το κλειδί/δεν έχουν account.

[gsak71]

Το USR μπορεί να ρυθμιστεί ώστε να χρησιμοποιεί WPA όχι υποχρεωτικά αλλά προαιρετικά;

Το λέω αυτό γιατί εσύ πρέπει να έχεις WPA στο μηχάνημα που συνδέεται πάνω στο USR, ενώ αντιθέτως οι άλλοι χρήστες δεν μπορούν να χρησιμοποιήσουν WPA γιατί δεν ξέρουν το κλειδί/δεν έχουν account.

Αν μιλάμε για λύση μέσω υποδικτύων, routing κλπ, το θέμα WPA δεν είναι σημαντικό. Θα μπορούσα να μην έχω καθόλου μέτρα wireless security. Αντίθετα, μόνο το administration του 9108 θα πρεπε να διαφυλαχθεί.

[NLS]

ε αυτό διαφυλάσσεται από το ίδιο το μηχάνημα, βάλε ένα δύσκολο password

[sdikr]

Με το 9108

ας πούμε πρώτα οτι δεν σε ενδιαφέρει αν κάποιος γείτωνας κάνει κάτι κακο και ψάχνουν εσένα.

μπορεις να βάλεις κανόνες 1 στον dhcp server ωστέ να δίνει πχ κάποιες συγκεκριμένες Ip,
μετά κανόνα να μπολοκάρει τα πάντα περαν του dhcp range και του δικού σου Ip (mac address)
Και κανόνες στο qos ωστέ να δίνει στα δικά σου full priority

πρόσβαση θα υπάρχει ανάμεσα τους, θα χρείαστεις να βάλεις κάποιο soft firewall στα μηχανήματα


το τελικό θέμα είναι, do you trust them?