سلام
تاحالا hot spot راه ننداختم و تجربه ای هم ندارم ، اگه اشتباه نکنم به این صورته که اگه کاربر بخواد صفحه ای باز کنه
باید اول رمز عبور و نام کاربری خودش رو وارد کنه تا اون صفحه باز بشه
اگه این جور باشه که خیلی بده
امنیت کلی پایین میاد !!
Printable View
سلام
تاحالا hot spot راه ننداختم و تجربه ای هم ندارم ، اگه اشتباه نکنم به این صورته که اگه کاربر بخواد صفحه ای باز کنه
باید اول رمز عبور و نام کاربری خودش رو وارد کنه تا اون صفحه باز بشه
اگه این جور باشه که خیلی بده
امنیت کلی پایین میاد !!
چرا میاد پائین؟
امنیتش هم خیلی بالاست.
جناب herus_deus زحمت کشیدن و تجربیاتشونو به صورت pdf در آوردن که میتونید استقاده کنید.
من با hotspot میکروتیک کار کردم که اونم چند نوی authentication از جمله PAP, CHAP,HTTPS و شناسایی از روی MAC داره. که فکر نمیکنم unsecure باشه.
برای بعضی جاها واقعا جواب میده.
یه خانمی هم توی فروم یه سوال پرسید که من قرار شد بهش جواب بدم. که جوابش همین hotspot میشد. اسمشو یادم رفت. این تاپیکو دید جواب اونم هست.
شما اینو به من بگو، منی که بعنوان یوزر تو browser خودم میزنم یاهو
و صفحه User/pass برای من میاد ، فرضا یوزر پس رو دادم
این یوزر پس که سمت سرور فرستاده میشه بصورت Clear/Text هست دیگه
و با یه اسنیف ساده میشه اونو دزدید
بنا بر کانسپتی که در بلاد کفر اعمال می شود Hot spot نقاط جغرافیائی عموما" مشخص شده با یک علامت X هست که در دید یک Access Point واقع شده و جهت استفاده عمومی و Free شهروندان از اینترنت در نظر گرفته شده است. این از لحاظ اجتماعی و اما در برخی نقاط با کمی تفاوت به مسئله نگاهشده و از دید تجاری به عنوان یکی از مزایای تفیذی به مشتریان در نظر گرفته شده است . در هر دو صورت و بنا به مجانی بودن Authentication بی معنی شده و اصولا اعمال نمی شود. داستان فوق از این جهت روایت شد که علت Authentication در این مقوله سوال شود.
جاهایی که اینترنت رو به صورت hotspot ارایه میدن معمولا جاهای هستن که یوزر زیاداونجا نمیمونه و اکانتهایی هم که میگیرن معمولا بیشتر از دو سه ساعت نیست . مثل هتلها فرودگاه و یا دانشگاه .
و معمولش هم اینه که اعتبار کارتی هم که میخری بیشتر از دوسه روز نیست و باز هم معمولا یوزری که مثلا تو فرودگاه میاد یه کارت اینترنت هات اسپوتی میخره همونجا اولین باری که کانکت میشه اون یکی دو ساعت اعتبار کارتشو مصرف میکنه و چیزی نمی مونه که مثلا اگه کسی username یا pass اون رو از طریق اسنیف فهمید استفاده کنه.
[QUOTE=Alux;166407]شما اینو به من بگو، منی که بعنوان یوزر تو browser خودم میزنم یاهو
و صفحه User/pass برای من میاد ، فرضا یوزر پس رو دادم
این یوزر پس که سمت سرور فرستاده میشه بصورت Clear/Text هست دیگه
و با یه اسنیف ساده میشه اونو دزدید[/QUOTE]
تنها زماني به صورت clear فرستاده مي شه كه از HTTP PAP استفاده بشه.در غير اينصورت كد شده فرستاده ميشه.
يا اصلا فرستاده نميشه.mac-cookie
[LEFT][B]Authentication[/B]
[B]There are currently 5 different authentication methods. You can use one or more of them simultaneously:[/B]
[B] HTTP PAP[/B] - simplest method, which shows the HotSpot login page and expect to get the authentication info (i.e. username and password) in plain text. Note that passwords are not being encrypted when transferred over the network. An another use of this method is the possibility of hard-coded authentication information in the servlet's login page simply creating the appropriate link.
[B]HTTP CHAP[/B] - standard method, which includes CHAP challenge in the login page. The CHAP MD5 hash challenge is to be used together with the user's password for computing the string which will be sent to the HotSpot gateway. The hash result (as a password) together with username is sent over network to HotSpot service (so, password is never sent in plain text over IP network). On the client side, MD5 algorithm is implemented in JavaScript applet, so if a browser does not support JavaScript (like, for example, Internet Explorer 2.0 or some PDA browsers), it will not be able to authenticate users. It is possible to allow unencrypted passwords to be accepted by turning on HTTP PAP authentication method, but it is not recommended (because of security considerations) to use that feature.
[B] HTTPS[/B] - the same as HTTP PAP, but using SSL protocol for encrypting transmissions. HotSpot user just send his/her password without additional hashing (note that there is no need to worry about plain-text password exposure over the network, as the transmission itself is encrypted). In either case, HTTP POST method (if not possible, then - HTTP GET method) is used to send data to the HotSpot gateway.
[B]HTTP cookie[/B] - after each successful login, a cookie is sent to web browser and the same cookie is added to active HTTP cookie list. Next time the same user will try to log in, web browser will send http cookie. This cookie will be compared with the one stored on the HotSpot gateway and only if source MAC address and randomly generated ID match the ones stored on the gateway, user will be automatically logged in using the login information (username and password pair) was used when the cookie was first generated. Otherwise, the user will be prompted to log in, and in the case authentication is successful, old cookie will be removed from the local HotSpot active cookie list and the new one with different random ID and expiration time will be added to the list and sent to the web browser. It is also possible to erase cookie on user manual logoff (not in the default server pages). This method may only be used together with HTTP PAP, HTTP CHAP or HTTPS methods as there would be nothing to generate cookies in the first place otherwise.
[B] MAC address[/B] - try to authenticate clients as soon as they appear in the hosts list (i.e., as soon as they have sent any packet to the HotSpot server), using client's MAC address as username
[/LEFT]
دوم اينكه Sniff كردن تو شبكه هاي hotspot قبل از اتصال به شبكه اصلا معني نداره چون تا زماني كه يوزر پسورد نداده نباشيد به هيچ جا ارتباط نداريد.
بعد از اتصال هم بنا بر تنظيمات شبكه مي توان جلوي هر گونه Sniff كردن را گرفت.(با استفاده از سوييچ يا Isolationلايه 2 در AP)
البته تمام اين ها زماني است كه از هات اسپات ميكروتيك استفاده كنيد.
اگر می خواهید ببینید چقدر ضعیف هست hotspot مخصوصاً microtik سرچی بکنید ببینید چیزی گیرتون می آد یا نه؟!!!!!!
مطمئن نیستم اما فکر میکنم در سوئیچی که میکروتیک نصب باشه همه کلاینتها فقط میکروتیک رو ببینند. اینو تجربی توی شبکه یکی از دوستان دیدم شاید مال چیز دیگه ای بوده. اما همونطور که آقا مهدی توضیح دادن اگر از chap استفاده بشه encrypt میشه که فکر میکنم اکثر isp ها هم از این پروتکل ها استفاده میکنن برای dialup.
جناب جنیدی اگه مشکلاتشو مختصر ذکر کنید یا لینک بدید و چیز بهتری برای جایگزینی عنوان کنید ممنون میشم.
جالبه
من نمی دونستم رو http هم میشه PAP , CHAP داشت !!
شما که استاد ما هستین اما روی HTTP مکانیزمهای خیلی قوی وجود داره .(برای امنیت )
میکروتیک مشکلی نداره
هات اسپات کارش این نیست که بزنی به سوییچ یک اینترفیس میکروتیک رو هات اسپات آپ می کنی وصل می کنی مستقیم بهAP دیگه هیچ احدی نمی تونه وارد شبکه شما بشه مگر فقط با login کردن
ولی به عقیده من با وصل کردن به سوئیچ هم توی لن خیلی مانور های قشنگی میتونی بدی.
من خودم توی جهاد کشاورزی شهرستان راه انداختم جواب داد.
برای اداره ها عالیه.دیگه نمیخواد آدم خودشو کچل کنه تا بفهمن. من یه مورد داشتم مرتب ip رو هم دستکاری می کردن. حالا چه برسه به vpn. حالا network connection ها رو بستم خیلی راحت کار میکنه.
الان می خوایم یک دانشگاه رو برای هات اسپات توجیه کنیم واقعاً قضیه رو نمی خوان درک کنند
وقتی پیش سایت من هاشون می شینی ساعتی 20-30 بار باید جواب تلفن ها اساتید دکتر و دکتر مهندس رو بدند که حتی از خوندن جمله پسورد اشتباه هست در مونده هستند حالا دیگه ببین چه اعصابی خورد می شه
ولی هات اسپات یعنی U&P بده راحت وصل شو امنیتش هم که فوق العاده هست مک داره ip داره یوزر پس داره همه اینها رو می تونی با هم مچ کنی
دیگه چی می خوای؟؟؟
آقا ميشه آموزش كاملشو بزارين ؟ توي يك شبكه داخلي ( مثلا شهرداري ) كه در 3 طيقه است ما اكسس پوينت نصب كرديم چطوري ميشه Hotspot راه اندازي نمود ( توضيح كامل اگه ميشه ) . در ضمن نرم افزار اكانتينگي كه ما داريم با اون كار ميكنيم IBS هستش .
با تشكر فراوان از اساتيد ...