[Tech] al sicur su wifi da intrusioni

Leonardo Boselli leo@dicea.unifi.it
Mer 19 Lug 2006 20:05:19 CEST


Mi trovo a dovere fare la seguente cosa:
Nella stanza A ho un modem-router dlink a cui è collegato un
computer con debian 3.1 , che funziona da server. Il router è configurato
per usare la macchina .2 come DMZ . Tutto funziona regolarmente, le altre
macchine sulla rete locale se escono escono con masquerading gestito dal
router, e tutto funziona regolamente... ma ora:
un cavo che porta a un altro locale si è deteriorato, e non è il caso di
sostituirlo visto che per motivi che non sto qui a dire non è possibile in
tempi compatibili ottenere la sostituzione dello stesso. L'idea sarebbe
quindi di collegare al router un AP per collegare quelle macchine nel
locale "remoto" (in linea d'aria solo una ventina di metri).
Nulla di particolarmente difficile, tranne che per un particolare:
come fare ad evitare che qualcuno si colleghi alla rete e ne abusi ?
{tener conto che il locale B confina con una frequentata area pubblica e
che la connessione deve essere sempre attiva in quanto nel locale b si
potrebbe dovere accedere [e usare la rete] in qualsiasi momento }
La prima cosa a cui pensare sarebbe di fare una sottorete separata per il
wireless che usa il server come router. l astessa cosa la ho fatta al
lavoro e funziona. ma qui c'è un altro problema : il server non ha più
slot pci disponibili !!! ha libere solo due seriali e due usb1.1 (a dire
il vero avrei le due porte IDE visto che i dischi sono tutti SCSI, e
potrei attaccarmi sul bus IDE) oltre che uno slot ISA.
Mettere una ethernet ISA e attaccarci l'access point sarebbe certamente
sicuro (per uscire dovresti autenticarti) ma limiterebbe a 10 MB la
velocità dell'accesso dal locale B. (non è un problema quando devi
"uscire" visto la la linea di uscita è a 8M, ma potrebbe esserlo a livello
di connessione tra le varie macchine nei due locali.
Attaccarci il router e usando la scheda a 100 per le varie macchine non
creerebbe colli di bottiglia ma costringerebbe a autenticare tutte le
macchine, non solo le wireless. (inoltre serve $$$ uno switch in più).
L'ideale sarebbe di riuscire a usare un router/AP (che troverei con
baratti vari) ma come faccio a evitare che cani e porci ci entrino ?
usare chiavi varie non mi garantisce del tutto visto che bene o male si
possono trovare, fissare a un insieme di indirizzi MAC pure, visto che io
potrei inserirmi con un mac di una macchina autorizzata e se questa fosse
spenta non vedrei facilmente la intrusione.
Che suggerite ????
(non mi rispondete: usa ethernet su linea elettrica, forse risolve il
problema di intrusioni, ma a parte il costo mi costringe a fare comunque
un po' di rete nel locale B)
       






Maggiori informazioni sulla lista flug-tech