Изпечатай

[niakoi]

здравейте,
с оглед на ниската сигурност при безжичните мрежи, реших да попрочета малко повече за ссх тунелите, за настройването им и т.н... всичко е ясно, правя си ссх тунел за всеки порт(услуга) и си настройвам програмите... което ми се вижда прекалено много играчка, та искам да ви попитам: има ли как да си направя файлче в /дев, което да играе ролята на 'моите/моя ссх тунел/и' и да си задам в маршрутизиращата таблица, да достъпва dg-а през него...и всичко магически да сработи (целия ми генериран трафик да минава през 1 или повече тунели)

(рутера е с 2.4, машината ми с 2.6, ако има някакво значение)
благодаря предварително.
наско

[laskov]

Разгледай OpenVPN. Тук има няколко теми и опит за статия, които ако искаш също можеш да прегледаш.

[Hapkoc]

Разгледай опцията -w на ssh(1).

[gat3way]

Няма нужда да вдигаш по един ssh тунел за всеки service - най-простото е да подкараш PPP върху SSH (из google има много статии по този повод), така целият трафик през PPP интерфейса ще е криптиран. Предимството е че се подържат и UDP услуги, например DNS, които иначе няма как да тунелираш чрез SSH. Недостатъкът е огромният overhead. Представи си как всеки TCP пакет се опакова в IP такъв, който се опакова в PPP такъв, който се опакова отново в TCP такъв (криптиран), който се опакова в ИП пакет, който се разбива на 802.11 етернет фреймове, идва малко нанагорно за съжаление, но ако не държиш на скоростта, а на сигурността, това е много добро решение.

openssh по принцип има един генерален проблем свързан с performance - тъй като е TCP базиран, прекалено много неща зависят от големината на мрежовите буфери на програмата (за които няма опция да се променят - трябва да бърникаш сорса и да прекомпилираш). Твърде много неща зависят и от TCP параметри като например window size-a. Отделно, ако все пак не тунелираш PPP върху SSH, a праскаш отделни тунели за всеки service, това е досадна работа, при това с немалък overhead върху процесора и РАМ-та. Друг вариант е stunnel, нелош, SSL-базиран, бърз и стабилен.

Останалите добри алтернативи са IPsec (трябва ти 2.6 ядро и ipsec-tools или 2.4 и freeswan), openvpn (по-лесна конфигурация и по-лоша производителност от горния).

А можеш да направиш и нещо, което редовно се прави при 802.11 мрежите - изолираш всички важни услуги в отделен ethernet сегмент. Подкарваш pppoe (ppp-over-ethernet) сървър със съответната автентикация и криптиране, което те задоволява и на машината която го играе pppoe сървър трябва да има още един интерфейс към сегмента със "сигурните услуги". На машината си подкарваш ip forwarding и с iptables FORWARD-ваш трафик към "сигурния сегмент"  единствено ако идва от ppp интерфейсите. Може да изглежда малко играчка, но като дизайн е най-добрия вариант, защото после можеш да добавяш и махаш потребители без особени проблеми, можеш да подкарваш radius автентикация, да си правиш уеб-интерфейс за управление на потребителски акаунти и т.н. Освен което pppoe е един от най-производителните варианти в случая, верно не е точно като IPsec, но пък PPP протокола си има разни link control глупости, които до известна степен динамично реагират на това доколко добра ти е 802.11 свързаността.

Варианти има много, но според мен да подкарваш по тунел за услуга е един от най-неудобните и бавните, ти си знаеш де '>

[Hapkoc]

http://en.wikipedia.org/wiki/OpenSSH#tun-based_VPN

[Marto]

Също хвърли един поглед върху този "безплатен" Tunneler ако ти се налага да ползваш Windows е мега полезен !
BitVise Tunneler

[teh]

Струва ми се, че хванахте грешната посока.

http://en.wikipedia.org/wiki/WPA2

[gat3way]

WPA(2), WEP, etc имат малко по-различна цел - един вид автентикация на това кой клиент може да се асоцира с access point-a и кой не. Въпреки че сигурността, която предоставя съвпада с първоначалната идея, там пак си има  недостатъци - примерно key-а е един и същ за всички потребители и не можеш индивидуално да казваш кой потребител какво може да прави. Но е истина, че кракването на ключа е почти невъзможна мисия (апропо, и с WPA е доста сложно).

Не съм сигурен обаче дали не е възможно някой rogue AP да се представи за твоя и да ти "открадне" ключа с който се авторизира някой клиент. Въпреки че това си остава проблем каквото и да правиш, дали ще вдигаш ssh тунели, дали ще пускаш pppoe - просто средата е такава, че всеки с повече желание може да се намърда там на layer2 ниво...

[teh]

WPA (както ssh) предоставя authentication + encryption. Има два начина за authentication - PSK (всички клиенти получават само 1 passphrase, използва се за home and/or SOHO) и чрез authentication server, по този начин всеки потребител се аутентицира със своя собствена парола (най-често се използва RADIUS).