Hi all,

Mình có 1 con Wireless Broadband Router của Linksys WRT54G. Trong mạng có 1 Firewall Server sử dụng ISA Server 2004. Giờ mình muốn cấu hình để các máy sử dụng Wirless sẽ có dãy IP khác. Các máy khách vào sẽ thuộc dãy IP này và được truy cập ra Internet nhưng không được truy cập mạng nội bộ.
Các máy laptop trong công ty nếu mà sử dụng Wireless thì sẽ vẫn truy cập được mạng nội bộ do Rule của ISA quy định.

Với yêu cầu vậy thì có làm được không và mình phải làm những gì ?

Flash DD-WRT firmware vô rồi làm theo chỉ dẫn ở đây (http://www.dd-wrt.com/wiki/index.php/Separate_LAN_and_WLAN). Đây có lẽ là cách bạn muốn: LAN và WLAN nằm trên 2 subnets khác nhau.

Còn nếu muốn giữ chung subnet nhưng chỉ không cho wireless clients vô LAN thì kích hoạt AP isolation mode trong Wireless > Advanced settings.

:) :) :) :) hì hì

Flash DD-WRT firmware vô rồi làm theo chỉ dẫn ở đây (http://www.dd-wrt.com/wiki/index.php/Separate_LAN_and_WLAN). Đây có lẽ là cách bạn muốn: LAN và WLAN nằm trên 2 subnets khác nhau.

Còn nếu muốn giữ chung subnet nhưng chỉ không cho wireless clients vô LAN thì kích hoạt AP isolation mode trong Wireless > Advanced settings.

Đúng là mình muốn chia LAN và WLAN ra 2 mạng riêng. Nhưng Switch mình hổng có hỗ trợ VLAN thì làm sao cấu hình được giống như link bạn đưa được.

:) :) :) :) hì hì

Đúng là mình muốn chia LAN và WLAN ra 2 mạng riêng. Nhưng Switch mình hổng có hỗ trợ VLAN thì làm sao cấu hình được giống như link bạn đưa được.
Linux có thể là VLAN được đó bác.
Tớ đề xuất phương án đơn giản dễ hiểu nhất như thế này nhé :
+ cấp IP DHCP cho các máy của công ty dựa vào MAC để cố định các IP này.
+ Trên ISA chỉ mở cho dãy IP của công ty vào Network mà thôi còn lại thì chặn hết đối với dãy IP còn lại chừa http port 80 cho nó ra web mà thôi.
(nếu bác đang có 2 cái AP hay có thể mua thêm cái nữa thì cũng dể thôi, nhưng đề xuất của mình là nên đầu tư cái layer3 đi bác nếu muốn bảo mật)
-----------
Theo tớ thì có nhiều cách cũng như việc này nó còn phụ thuộc thiết bị của bạn nữa, nhưng nếu đã nghĩ đến điều này nên đầu tư mua con Switch làm được cái VLAN đi bác Nguyen àh

Linux có thể là VLAN được đó bác.
Tớ đề xuất phương án đơn giản dễ hiểu nhất như thế này nhé :
+ cấp IP DHCP cho các máy của công ty dựa vào MAC để cố định các IP này.
+ Trên ISA chỉ mở cho dãy IP của công ty vào Network mà thôi còn lại thì chặn hết đối với dãy IP còn lại chừa http port 80 cho nó ra web mà thôi.
(nếu bác đang có 2 cái AP hay có thể mua thêm cái nữa thì cũng dể thôi, nhưng đề xuất của mình là nên đầu tư cái layer3 đi bác nếu muốn bảo mật)
-----------
Theo tớ thì có nhiều cách cũng như việc này nó còn phụ thuộc thiết bị của bạn nữa, nhưng nếu đã nghĩ đến điều này nên đầu tư mua con Switch làm được cái VLAN đi bác Nguyen àh

:) :) :) :) hì hì

Hè hè ... sao mà mấy bác ấy lại cứ hỏi như thế nhỉ ... bác Tamii kiếm mấy cái tài liệu về Secu đọc đi.
Đa số LAN của vn chúng ta hiện nay là Connect sài mà thôi ... nên việc bắt các gói tin trên nét là dễ hiểu.
Ví dụ đơn giản như thế này : bên Nokia khi làm việc với bên mình bọn nó yêu cầu bắt buộc những nhân viên nào làm làm việc với họ khi sử dụng Email trao đổi phải mã hóa email trước khi gửi .... tránh tình trạng bị chụp bắt khi đi trên Internet .

Đúng là mình muốn chia LAN và WLAN ra 2 mạng riêng. Nhưng Switch mình hổng có hỗ trợ VLAN thì làm sao cấu hình được giống như link bạn đưa được.
WLAN (eth1) và LAN (eth0) của WRT54G/GS là 2 interfaces "thật", riêng biệt, được nối bằng một cầu (logical bridge br0). Linksys original stock firmware không tách nó ra được, muốn "phá cầu" thì cần phải flash third-party firmwares vô. Không đả động gì tớ cái switch nào hết.

Nếu người ta giả MAC set IP theo thì sao? Có cách nào biết ko?Có cách nào đ̀ể mã hoá các gói tin trong mạng ko?
Dùng arpwatch chung với snort. Còn không thì dùng iptables rules để "nhốt" MAC ngược về một IP tĩnh. Mã hoá thì đầy e.g. GPG, SSH forwarding, VPN...

Có cách nào đ̀ể mã hoá các gói tin trong mạng ko?

Ý bạn là muốn đề cập đến phạm vi Lan hay là Wan ?

Hi all,

Mình có 1 con Wireless Broadband Router của Linksys WRT54G. Trong mạng có 1 Firewall Server sử dụng ISA Server 2004. Giờ mình muốn cấu hình để các máy sử dụng Wirless sẽ có dãy IP khác. Các máy khách vào sẽ thuộc dãy IP này và được truy cập ra Internet nhưng không được truy cập mạng nội bộ.
Các máy laptop trong công ty nếu mà sử dụng Wireless thì sẽ vẫn truy cập được mạng nội bộ do Rule của ISA quy định.

Với yêu cầu vậy thì có làm được không và mình phải làm những gì ?

Mình nhớ là hồi xưa khi mình làm AP của Linksys, nó cho phép mình tạo AP thành một con DHCP cấp một dải địa chỉ riêng cho các wireless Client,
Bạn coi lại tài liệu nhé.
Bạn tạo một DHCP mà dải IP thuộc một SUBNET khác SUBNET của phòng.
THế thì hoàn toàn có thể làm được điều bạn muốn

Huy Bắc

Ý bạn là muốn đề cập đến phạm vi Lan hay là Wan ?

hì hì


Hè hè ... sao mà mấy bác ấy lại cứ hỏi như thế nhỉ ... bác Tamii kiếm mấy cái tài liệu về Secu đọc đi.
Đa số LAN của vn chúng ta hiện nay là Connect sài mà thôi ... nên việc bắt các gói tin trên nét là dễ hiểu.
Ví dụ đơn giản như thế này : bên Nokia khi làm việc với bên mình bọn nó yêu cầu bắt buộc những nhân viên nào làm làm việc với họ khi sử dụng Email trao đổi phải mã hóa email trước khi gửi .... tránh tình trạng bị chụp bắt khi đi trên Internet .

:) :) :) :) hì hì

Mình nhớ là hồi xưa khi mình làm AP của Linksys, nó cho phép mình tạo AP thành một con DHCP cấp một dải địa chỉ riêng cho các wireless Client,
Bạn coi lại tài liệu nhé.
Bạn tạo một DHCP mà dải IP thuộc một SUBNET khác SUBNET của phòng.
THế thì hoàn toàn có thể làm được điều bạn muốn

Huy Bắc

Mọi người cứ bàn tán đi đâu xa, trong khi phương pháp có sẵn thì không làm.
POCHIEU.VNPRO.ORG

To all: Cám ơn mọi người đã góp ý (mặc dù trong đó có những ý hổng hiểu gì cả :P).Sorry, thật ra là vì mình chưa biết làm nhiều về Wireless và VLAN.

To camaptrang: mạng mình hổng có xài Linux. Kỳ rồi cũng định đề xuất mua cái Switch có VLAN về vọc chơi nhưng Sếp hổng đồng ý. Hic.

To tamii: cách của bạn có vẻ hợp lý, mình sẽ thử. Nhưng như vậy hình như mình sẽ hổng kiểm soát được máy xài Wireless ra Internet. Mình gắn vào máy ISA 1 card mạng nữa và gắn AP vào đây có được không nhỉ?

To wlansecu: đúng là nó có phần cấp DHCP. Nếu cấp 1 dãy khác Net thì hổng có vấn đề gì. Vấn đề mình hổng biết làm sao để gắn nó vào mạng đó mà ( nên mới tham khảo mọi người).

To all: Cám ơn mọi người đã góp ý (mặc dù trong đó có những ý hổng hiểu gì cả :P).Sorry, thật ra là vì mình chưa biết làm nhiều về Wireless và VLAN.

To camaptrang: mạng mình hổng có xài Linux. Kỳ rồi cũng định đề xuất mua cái Switch có VLAN về vọc chơi nhưng Sếp hổng đồng ý. Hic.

To tamii: cách của bạn có vẻ hợp lý, mình sẽ thử. Nhưng như vậy hình như mình sẽ hổng kiểm soát được máy xài Wireless ra Internet. Mình gắn vào máy ISA 1 card mạng nữa và gắn AP vào đây có được không nhỉ?

To wlansecu: đúng là nó có phần cấp DHCP. Nếu cấp 1 dãy khác Net thì hổng có vấn đề gì. Vấn đề mình hổng biết làm sao để gắn nó vào mạng đó mà ( nên mới tham khảo mọi người).

Kiểm soát thế nào?ko cho NV ra Net?hay cho Nv ra Net có kiểm soát?NV nếu nhận IP động theo AP hoặc set 2 IP thì họ giống khách ko kiểm soát họ ra Net được. Nếu gắn AP vào ISA thì phức tạp về phần khách.Tốt nhất là mua thêm 1 AP chuẩn B 25us cho khách và nối linksys vào ISa là an toàn hơn cả.Nói chung khi trong điều kiện giới hạn thì khó lòng được hết mọi chuyện theo ý mình chính yếu là mình chọn cái nào tốt nhất theo ý mình.Thân

Các cụ nhà mình cứ muốn nhiều tiền mua thiết bị nhỉ.

Thế này nhé, trên mạng LAN, bác cho em một SUBNET
trên AP, bác cho em một dải IP khác subnet, (cấu hình DHCP, cái này không khó đâu, trong tài liệu của thiết bị nó ghi rõ lắm)
Để các Wireless Client có thể vào Internet được, thì chỉ cần cấu hình Default gateway trên AP là của thằng modem ADSL,
còn trên các máy dùng Wireless bác cứ để động, nó sẽ tự nhận.
Thế là đảm bảo chia được 2 mạng: LAN, và Wireless LAN.

Giải quyết được vấn đề 1

Còn vấn đề 2: Các máy cùng chạy Mạng Wireless: sẽ phân hai loại, máy của khách và máy của cơ quan.
Vì khách vào rất ít, nên nói chung bác không lo chuyện nó capture gói, nó làm gì trong cơ quan thì mình phải biết chứ.

Còn nếu không, khi các máy vào trong mạng Wireless, bác sẽ có danh sách các địa chỉ MAC trên đó, lập một cái rule cho tất cả các MAC cua máy trong cơ quan.
Các MAC khác, sẽ chịu số phận là rule còn lại.

Ngoài ra có thể tăng thêm các rule trên ISA của bác.

Còn nếu như bác chưa nắm rõ lắm về các thiết bị nói trên, thì em potay.
Lúc đó chỉ có một cách duy nhất là MUA THÊM MỘT AP như đc nào đó đã nói.

(nếu muốn tăng thêm bảo mật trên wireless, để không bị capture gói, thì bác có thể tham khảo bài viết về 802.1x của em trên cùng diễn đàn

Cái này thì đơn giản, chì cần cài một thằng WIN 2000 server, em cho bác phần mềm ACS, làm con server chứng thực, là xong)

Còn nếu không, khi các máy vào trong mạng Wireless, bác sẽ có danh sách các địa chỉ MAC trên đó, lập một cái rule cho tất cả các MAC cua máy trong cơ quan. Các MAC khác, sẽ chịu số phận là rule còn lại.

Nếu như khách thay đổi MAC trùng với MAC của 1 PC nào đó trong công ty thì sao ? Tình trạng chập chờn sẽ xảy ra. Hoặc là rule sẽ ko ngăn chặn được khách hoặc là 1 PC nào đó công ty (bị trùng MAC) sẽ die luôn

Nếu như khách thay đổi MAC trùng với MAC của 1 PC nào đó trong công ty thì sao ?
- Mà không có khách hay nhân viên nào change MAC để làm gì cả, mà nếu tên nào change thì các bác không phải nói rồi, nó phải đáp ứng các điều kiện sau :
Hiểu biết về IT
Biết MAC list của bác (các bác vui lòng nhớ cho là MAC có 12 chữ vừa số vừa ký tự, nếu làm tổ hợp tuyến tính bác viết ra giấy đến lúc chết viết cũng chưa chắc là xong nữa ... he he he)
Và mục đích change (vì bình thường bác đã cho nó sài Internet rồi, còn vào LAN của bác mà LAN của bác chẳng có gì hứng thú vào ngủ à?), còn có nhiều thứ hứng và thú thì vui lòng request mua đồ về làm cho ra làm
------
để khỏi bị cáp các bác cứ làm như bác Huy Bắc hướng dẫn (rất cụ thể trên diễn đàn này)

Giúp tài liệu đi bạn thanhkiu nhiều,nếu gặp tôi mời cafe
Tớ còn đang đợi dẫn bác đi uống cafe để được mục kích vụ harck AP nữa đấy ... bác cứ yên tâm đi

Nếu như khách thay đổi MAC trùng với MAC của 1 PC nào đó trong công ty thì sao ? Tình trạng chập chờn sẽ xảy ra. Hoặc là rule sẽ ko ngăn chặn được khách hoặc là 1 PC nào đó công ty (bị trùng MAC) sẽ die luôn

LOVE nhớ cho là: để thay được MAC thì phải làm hai việc;
1/ Dùng tool để bắt các gói tin, từ đó kiếm được một MAC nào đó
2/ Sau khi có nó rồi, lại phải dùng tool nữa để tạo MAC giả.

Vì LOVE nhớ là: MAC là một địa chỉ vật lí duy nhất cho mỗi CARD mạng, không cái nào trùng cái nào, nó không phải như địa chỉ IP.

Còn vấn đề nữa, Bác nào sợ vụ giả MAC, thì tham khảo bài của em về 802.1x, nó làm cho BÁC o thể xâm nhập, capture gói tin trên Wireless nếu không có quyền.

3/ Xong MAC rồi, thì chắc thằng cu này cũng hết giờ viếng thăm KHÁCH HÀNG.

hihi.

Còn cái vụ HACK wireless, thì chỉ hack được với WEP thôi,

Với 802.1x thì em chưa thấy tài liệu nào công bố là HACK được. Vì 802.1x mà dùng cấp cao nó sẽ sử dụng chứng thực cảu bọn RSA.
Tức là có một cặp KEY.
Mà cái này thì trên thế giới chưa thấy chú nào HACK được cả

1/ Dùng tool để bắt các gói tin, từ đó kiếm được một MAC nào đó

Rất cám ơn bạn đã giải thích rất hay, chi tiết và thuyết phục. Nhưng mình còn có 1 thắc mắc nữa là trong Window có lệnh " nbtstat -a IP " dùng để lấy MAC của các PC khác trong Lan. Ko biết đối với trường hợp 802.1x mà bạn nói thì lệnh này có lấy được MAC hay ko ?


Vì 802.1x mà dùng cấp cao nó sẽ sử dụng chứng thực cảu bọn RSA.Tức là có một cặp KEY

Cặp KEY nghĩa là sao vậy bạn ? Bạn có thể giải thích giùm ko ?


để khỏi bị cáp các bác cứ làm như bác Huy Bắc hướng dẫn (rất cụ thể trên diễn đàn này)

Bài viết này nằm ở đâu vậy các bác ? Cho mình xin cái link bài viết này với .

Cám ơn mọi người

http://vnpro.org/forum/showthread.php?t=8950

802.1x là để chứng thực ban đầu, trước khi cho phép người dùng xâm nhập vào mạng.
Thế nên đương nhiên là o vượt qua được cái này thì làm sao mà vào mạng để dùng lệnh lấy MAC được

Ngoài ra, nếu bác nào nghiên cứu sâu hơn về 802.1x, thì cái RADIUS Server bác có thể cấu hình các luật cho nó.

Cặp key: là private key và Public Key.
Cái này bác tham khảo thêm các tài liệu trên mạng nhé

nick: huybac_nguyen

Bác Huy Bắc thấy đấy, nhiều lúc trên này tớ thấy anh em không chịu nhìn xa ra một chút, cứ lẫn quẫn lanh quanh hoài, tài liệu thì cũng không phải là không có .... đến cái 802.1 tiếng việt của bác cất công thế mà tớ thấy có ai thèm quan tâm đâu, chả lẽ tớ chỉ cho họ cuốn tiếng anh nữa...

Các cụ nhà mình cứ muốn nhiều tiền mua thiết bị nhỉ.

Thế này nhé, trên mạng LAN, bác cho em một SUBNET
trên AP, bác cho em một dải IP khác subnet, (cấu hình DHCP, cái này không khó đâu, trong tài liệu của thiết bị nó ghi rõ lắm)
Để các Wireless Client có thể vào Internet được, thì chỉ cần cấu hình Default gateway trên AP là của thằng modem ADSL,
còn trên các máy dùng Wireless bác cứ để động, nó sẽ tự nhận.
Thế là đảm bảo chia được 2 mạng: LAN, và Wireless LAN.

Giải quyết được vấn đề 1

Còn vấn đề 2: Các máy cùng chạy Mạng Wireless: sẽ phân hai loại, máy của khách và máy của cơ quan.
Vì khách vào rất ít, nên nói chung bác không lo chuyện nó capture gói, nó làm gì trong cơ quan thì mình phải biết chứ.

Còn nếu không, khi các máy vào trong mạng Wireless, bác sẽ có danh sách các địa chỉ MAC trên đó, lập một cái rule cho tất cả các MAC cua máy trong cơ quan.
Các MAC khác, sẽ chịu số phận là rule còn lại.

Ngoài ra có thể tăng thêm các rule trên ISA của bác.

Còn nếu như bác chưa nắm rõ lắm về các thiết bị nói trên, thì em potay.
Lúc đó chỉ có một cách duy nhất là MUA THÊM MỘT AP như đc nào đó đã nói.

(nếu muốn tăng thêm bảo mật trên wireless, để không bị capture gói, thì bác có thể tham khảo bài viết về 802.1x của em trên cùng diễn đàn

Cái này thì đơn giản, chì cần cài một thằng WIN 2000 server, em cho bác phần mềm ACS, làm con server chứng thực, là xong)

:) :) :) :) hì hì

có thể dùng NAT để loại 1 IP nào đó không cho kết nối internet được ko?Em thấy trong modem ADSL Zyxel NAT có thể tạo rule nhưng em ko biết set?

Đối với Zyxel ,bạn muốn ko cho 1 IP nào đó kết nối internet ,thì chỉ đơn giản vào mục Firewall - Rule Summary ,tạo ra (insert) 1 cái rule để block cái IP đó là xong ( ngoài ra còn có thể quy định cụ thể thời gian bao lâu , ngày giờ truy cập internet , được / hoặc ko được sử dụng dịch vụ gì của từng IP)

Đối với Zyxel ,bạn muốn ko cho 1 IP nào đó kết nối internet ,thì chỉ đơn giản vào mục Firewall - Rule Summary ,tạo ra (insert) 1 cái rule để block cái IP đó là xong ( ngoài ra còn có thể quy định cụ thể thời gian bao lâu , ngày giờ truy cập internet , được / hoặc ko được sử dụng dịch vụ gì của từng IP)

:) :) :) :) hì hì

Bạn ơi mình dùng Zyxel 600 series chẳng thấy firewall đâu cả,trong security chỉ có block ftp.telnet,snmp,web,ping,tftp from wan to lan thôi :(

Bên mình xài Zyxel Prestige 2602H-61C ,thì thấy có hỗ trợ tạo access list để ngăn chặn , giới hạn quyền truy cập của mỗi IP. Bạn check kỹ lại xem bên bạn thế nào (có mục nào cho phép tạo rule gì đó ko?) , chứ nếu router ko hỗ trợ thì chịu thôi :D (phải dùng cách khác thôi)

thế thì bác lại làm theo cách của em rồi,em đang muốn thử cái 802.1x của bác xem thế nào nhưng tại cơ quan thì ko được mà tại nhà thì nhiều người dùng chung nên ngại thay đổi quá.Mạng ở nhà em chỉ là LAN ngang hàng nên khó dùng server chứng thực.
Em cũng chia ở nhà 3 mạng,ko secu gì hết(vì ko muốn chậm đường truyền) gần 2 năm cũng chẳng thấy ai vào được chắc vì ít người quan tâm với lại chia IP cũng mệt nên cũng chẳng ai nối
Huống hồ bác gì tốt thế cho nối net "phi" thì chắc không ai còn làm khó gì đâu.Công ty bác chỗ nào chỉ em với nếu có đi ngang em gửi ké cái "meo" :D
Bác cá mập sao ham hố chuyện crack hoài vậy?Nếu làm được rồi thì thôi,nếu chưa làm đượcthì em chỉ bác chỗ down hướng dẫn về làm đúng theo là ok,hình như bác Triệu tử long cũng viết ở đâu đó cách sử dụng mấy cái tools rồi thì phải.À,trong windows cũng có phần mềm dùng được như Airplay nhưng nó lại ko "phi"chỉ cho thử 10 ngày
Em cũng có mấy cái muốn mọi người chỉ giáo: cơ chế NAT hoạt động như thế nào?có thể dùng NAT để loại 1 IP nào đó không cho kết nối internet được ko?Em thấy trong modem ADSL Zyxel NAT có thể tạo rule nhưng em ko biết set?QoS trong AP là gì hình như là limit down,up thế nào đó bác nào đã thử qua xin cho ý kiến?

Liên hệ với huybac_nguyen nhé, mình muốn biết bạn định làm quả 802.1x theo kiểu gì, vì bạn hoàn toàn có thể backup file cấu hình ở cơ quan, làm xong rồi lại trả lại. Ở nhà thì đâu có quan trọng ngang hàng hay o

802.1x là để chứng thực ban đầu, trước khi cho phép người dùng xâm nhập vào mạng.Thế nên đương nhiên là o vượt qua được cái này thì làm sao mà vào mạng để dùng lệnh lấy MAC được

Nếu vậy sau khi vào được mạng rồi , vậy có lấy MAC của các máy khác bằng lệnh nbtstat được ko ? hay phải có quyền mới lấy được ? Vì nếu sau khi em chứng thực thành công để vào mạng ,nghĩa là em vẫn có thể lấy MAC và giả MAC được rồi ??? :confused:

Thêm một điều nữa em chưa rõ ,đó là nếu xài 802.1x có nghĩa là gần như bảo đảm tuyệt đối sẽ ko bị mấy tên hàng xóm ăn cắp xài net chùa ? Đúng ko bác?

Mong bác nói rõ giùm em chút. Thank bác nhiều :)

Nếu vậy sau khi vào được mạng rồi , vậy có lấy MAC của các máy khác bằng lệnh nbtstat được ko ? hay phải có quyền mới lấy được ? Vì nếu sau khi em chứng thực thành công để vào mạng ,nghĩa là em vẫn có thể lấy MAC và giả MAC được rồi ??? :confused:

Thêm một điều nữa em chưa rõ ,đó là nếu xài 802.1x có nghĩa là gần như bảo đảm tuyệt đối sẽ ko bị mấy tên hàng xóm ăn cắp xài net chùa ? Đúng ko bác?

Mong bác nói rõ giùm em chút. Thank bác nhiều :)

Chú chơi kiểu giặc trong nhà này thì ai mà làm gì được nữa, khi đã vào được rồi, thì còn nói làm gì, bời khi đó, người ta đã được chú cho vào rồi.
Với lại, lúc này MAC có vai trò gì đâu, chú cứ mang MAC cho chúng nó, chúng nó cũng chịu.

2/ Thực ra chú cũng có thể hạn chế quyền của từng ACCOUNT hoặc nhóm ACCOUNT, khi đã vào mạng wireless rồi, nhưng phần này hơi khó, nó là phần nâng cao trong 802.1x

Khi đó, trên Radius server chú phải có một Database, để đặt các rule (luật) cho từng nhóm ACC, ví dụ: nhóm acc này thì được vào WEB, nhóm khác thì chỉ được vào mạng nội bộ, nhóm kia thì chỉ có FTP thôi, v.v.

3/ Thực ra chẳng có gì là 100% cả, nhưng với mạng ở nhà, nếu mấy thằng hàng xóm coi trộm cái KEY của chú, thì nó vào được

Còn nó không có TOOL Nào để lấy cái ACC đó đâu, trừ khi nó sang nhà chú nhòm vào mấy tờ giấy chú ghi.
Thế nên ở nhà, có thể coi như là 100% an toàn (lưu ý: nhà ở VN thôi nhé, hihi)

Còn ở doanh nghiệp, thì có thể dùng them cái TOKEN ID cuả bọn RSA, thì là an toàn nhất

Chú chơi kiểu giặc trong nhà này thì ai mà làm gì được nữa, khi đã vào được rồi, thì còn nói làm gì, bời khi đó, người ta đã được chú cho vào rồi.Với lại, lúc này MAC có vai trò gì đâu, chú cứ mang MAC cho chúng nó, chúng nó cũng chịu.2/ Thực ra chú cũng có thể hạn chế quyền của từng ACCOUNT hoặc nhóm ACCOUNT, khi đã vào mạng wireless rồi, nhưng phần này hơi khó, nó là phần nâng cao trong 802.1x
Khi đó, trên Radius server chú phải có một Database, để đặt các rule (luật) cho từng nhóm ACC, ví dụ: nhóm acc này thì được vào WEB, nhóm khác thì chỉ được vào mạng nội bộ, nhóm kia thì chỉ có FTP thôi, v.v.3/ Thực ra chẳng có gì là 100% cả, nhưng với mạng ở nhà, nếu mấy thằng hàng xóm coi trộm cái KEY của chú, thì nó vào được Còn nó không có TOOL Nào để lấy cái ACC đó đâu, trừ khi nó sang nhà chú nhòm vào mấy tờ giấy chú ghi.
Thế nên ở nhà, có thể coi như là 100% an toàn (lưu ý: nhà ở VN thôi nhé, hihi)Còn ở doanh nghiệp, thì có thể dùng them cái TOKEN ID cuả bọn RSA, thì là an toàn nhất

Oh ,em đã hiểu vấn đề rồi . cám ơn bác nhiều lắm :D . Ah ,mà sao bài viết của bác lại ko có hình minh họa vậy ? Bác có thể post hình lên được ko ?

Em thấy bác rành về wireless quá , nên mong rằng bác có tài liệu nào hay về wireless , giới thiệu giùm em cái (từ cơ bản đến nâng cao). Vì trước giờ ,em đọc cũng lung tung ,lang tang , chủ yếu là học lóm cái bài viết trên các website IT khác ,chứ chưa được hệ thống kiến thức đầy đủ về vấn đề này . Giúp em cái bác nhé . Thanks again :D

Oh ,em đã hiểu vấn đề rồi . cám ơn bác nhiều lắm :D . Ah ,mà sao bài viết của bác lại ko có hình minh họa vậy ? Bác có thể post hình lên được ko ?

Em thấy bác rành về wireless quá , nên mong rằng bác có tài liệu nào hay về wireless , giới thiệu giùm em cái (từ cơ bản đến nâng cao). Vì trước giờ ,em đọc cũng lung tung ,lang tang , chủ yếu là học lóm cái bài viết trên các website IT khác ,chứ chưa được hệ thống kiến thức đầy đủ về vấn đề này . Giúp em cái bác nhé . Thanks again :D

Ah, tại vì muốt post hình lại phải host trên đâu đó, mệt quá nên o làm.
Hihi, hơi lười chú thông cảm

Về tài liệu: chú thích tiếng việt hay tiếng anh, tiếng việt thì o hay lắm, TUI viết mà, tiếng anh thì đầy đủ.

bắn qua nick yahoo của mình nhé: huybac_nguyen

thế thì bác lại làm theo cách của em rồi
có vẽ như là sư phụ của Huy Bắc đây ... ha ha ha ... nghe thấy giống không nào ??? bó tay

em đang muốn thử cái 802.1x của bác xem thế nào nhưng tại cơ quan thì ko được mà tại nhà thì nhiều người dùng chung nên ngại thay đổi quá.Mạng ở nhà em chỉ là LAN ngang hàng nên khó dùng server chứng thực.
Em cũng chia ở nhà 3 mạng,ko secu gì hết(vì ko muốn chậm đường truyền) gần 2 năm cũng chẳng thấy ai vào được chắc vì ít người quan tâm với lại chia IP cũng mệt nên cũng chẳng ai nối
Huống hồ bác gì tốt thế cho nối net "phi" thì chắc không ai còn làm khó gì đâu.Công ty bác chỗ nào chỉ em với nếu có đi ngang em gửi ké cái "meo"
Thật tình thì mình thấy bạn mới là người ngồi nhòm mấy chuyện này cơ đấy, thú thật nhà mình chả có internet như bạn mà cũng chẳng còn cái desktop nào để làm demo, chỉ làm trên công ty .... và cho cả công ty và clients đên sài...
Kể cả cách nói chuỵên của bạn nhìn cũng thấy bạn mới quan tâm đến mấy cái này đúg không ? và có lẽ bạn chưa từng xem hết các post trên này của Huy Bắc ... còn bác dùng cái Tools gì thế ??? có trong trang này không ???
Links : "http://insecure.org/tools.html" hay bạn cần tôi đưa links khác ?

Ngay khi topic này chỉ hỏi việc tách mạng LAN ra làm 2 chứ không ai quan tâm đến Hack AP cả ngoài Bác TAMII, quan tâm cũng được, nhưng theo mình phải nhìn đúng góc độ, làm bảo mật phải có đầu có đuôi (có mỗi cái AP mua 35$ thì sec cái nỗi gì đúng không ???) ... kể cả việc bác tìm trong cái Zyxel600 để tìm cái firewall menu mà không thấy ... có nghĩa khi biuld hệ thống bác phải có plan và budget cho plan này ... windows ... hay software khi tui biuld đều phải mua cả đấy ... khôg mua cũng phải tính chứ đến lúc bị kiểm tra license xếp bảo là lấy lương trả à ????

Nếu người ta giả MAC set IP theo thì sao? Có cách nào biết ko?Có cách nào đ̀ể mã hoá các gói tin trong mạng ko?
-------------
Ai muốn đổi MAC thì liên hệ.Tôi có soft đổi Mac free
-------------

Từ lúc làm xong cái wep key nhà bên cạnh tự nhiên tiền internet giảm hẳn chỉ mỗi tội ko ra tiền.chán thật.Hay lại làm kiểu giải pháp tiền net kiếm tiền ???? Hay làm giải pháp chống hack wireless kiếm tiền???
-------------
làm sao liên hệ bác????Với lại tôi "sống và làm việc theo pháp luật" (chỉ vi phạm lúc cần thôi) có cách gì hay xin chỉ giáo tôi đang thất nghiệp đây

10 steps to crack WEP ...

vì hiện nay Internet chi phí quá rẽ đến nỗi không cần làm chuyện này chi cho mất công vì phụ thuộc vào nhà người ta (đang chat hay Game mà nó tắc modem đi ngủ thì có mà đập laptop à ?????), bạn mới làm được cái AP nhà bên cạnh không có nghĩa bạn là hacker đâu ... đừng vội ... tớ định hẹn bạn ra Cà Fe để bạn HACK thất bại một lần làm kinh nghiệm đó ... bạn hiểu chưa ????
----------
Bác Bắc à, nói với mấy chú này mệt mỏi quá ...
----------
Bác TAMII cần tài liệu vui lòng search trên VNPRO này nhiều lắm đó .... bạn nên trong này nếu bạn nói là bạn đã có đủ hết thì tớ khuyên bạn câu : VNPRO hổng đủ chổ chứa bài của bạn đâu ... (chắc phải mơời qua forum của tớ mất ha ha ha)

Cá mập đúng là cá mập, hehehehehe

có vẽ như là sư phụ của Huy Bắc đây ... ha ha ha ... nghe thấy giống không nào ??? bó tay

Tôi tưởng ở đây người ta trao đổi về kiến thức hoá ra bạn lại xếp thứ hạng ở đây.Tôi ghét cái bọn ko nói thành có lắm bạn ạh


Thật tình thì mình thấy bạn mới là người ngồi nhòm mấy chuyện này cơ đấy, thú thật nhà mình chả có internet như bạn mà cũng chẳng còn cái desktop nào để làm demo, chỉ làm trên công ty .... và cho cả công ty và clients đên sài...

Sao bạn khiêm tốn thế,bạn khoe với tôi khác kia mà.Để lúc nào xem lại mấy cái mail của bạn xem khác với ở đây thế nào nhé!!



Kể cả cách nói chuỵên của bạn nhìn cũng thấy bạn mới quan tâm đến mấy cái này đúg không ? và có lẽ bạn chưa từng xem hết các post trên này của Huy Bắc ... còn bác dùng cái Tools gì thế ??? có trong trang này không ???
Links : "http://insecure.org/tools.html" hay bạn cần tôi đưa links khác ?

Đúng,tôi không phải dân IT(chưa học lớp IT nào,kh̀ông làm trong ngành IT).Chỉ do ham thích mà đọc sách tự học thôi.Tôi đã đọc luận văn-bản dịch cuốn CWNA của bác Huy Bắc và công nhận mậc dù còn nhiều phần chưa dịch và hơi cũ do bản gốc 2003 nhưng chứng tỏ kiến thức bác Huy Bắc rất cao.Nhân tiện,bác Huy Bắc có thể dịch lại cuốn CWNA mới nhất ko?em định dịch nhưng sợ ko chuẩn



Ngay khi topic này chỉ hỏi việc tách mạng LAN ra làm 2 chứ không quan tâm đến Hack AP cả ngoài Bác TAMII, quan tâm cũng được, nhưng theo mình phải nhìn đúng góc độ, làm bảo mật phải có đầu có đuôi (có mỗi cái AP mua 35$ thì sec cái nỗi gì đúng không ???) ... kể cả việc bác tìm trong cái Zyxel600 để tìm cái firewall menu mà không thấy ... có nghĩa khi biuld hệ thống bác phải có plan và budget cho plan này ... windows ... hay software khi tui biuld đều phải mua cả đấy ... khôg mua cũng phải tính chứ đến lúc bị kiểm tra license xếp bảo là lấy lương trả à ????

Vì dùng ở nhà nên tôi chỉ có khả năng mua theo túi tiền,theo nhu cầu.Tại sao bạn phải chê bai?Đồ rẻ mà build tốt còn hơn đồ đắt mà "biuld" kém chứ.Hardware rất quan trọng nhưng cách "biuld"̣̣̣(t̀ôi viết thế cho bạn dễ hiểu nhé)cũng quan trọng chẳng kém.Tôi dám chắc bạn chưa chắc crack nổi mạng nhà tôi ấy chứ.
Nếu bạn tìm được firewall xin chỉ giáo,còn ko xin đừng nói chuyện mình ko biết.
Cách của tôi chia mạng Lan rất đơn giản áp dụng cho cả loại AP chỉ 25us và nếu chế biến thêm tý chút và thêm vài cách bảo mật đơn giản là hoàn toàn có thể dùng cho mạng gia đình và cty nhỏ.Cách này ko đòi hỏi kiến thức cao mà vẫn có thể làm được


vì hiện nay Internet chi phí quá rẽ đến nỗi không cần làm chuyện này chi cho mất công vì phụ thuộc vào nhà người ta (đang chat hay Game mà nó tắc modem đi ngủ thì có mà đập laptop à ?????), bạn mới làm được cái AP nhà bên cạnh không có nghĩa bạn là hacker đâu ... đừng vội ... tớ định hẹn bạn ra Cà Fe để bạn HACK thất bại một lần làm kinh nghiệm đó ... bạn hiểu chưa ????

Tôi chưa khoe mình là hacker bao giờ và cũng chưa coi mình là hacker.Nếu tôi định dùng chùa tôi lắp wireless làm gì.Tôi đã thử crack vài nơi và may mắn chưa thất bại.Tôi định mời bạn đến nhà định trao đổi thêm thêm về cách bạn bảo mật AP học thêm cái gì không biết,trao đổi thêm cái gì tôi biết.Hoá ra bạn chỉ là dạng kiêu ngạo rởm,may mà bạn chưa đến.Tôi xin rút lời mời nhé.Chúng ta ai đường ấy đi là tốt nhất.Tôi hiểu rồi tôi nhầm khi đánh giá bạn hơi cao quá




Bác Bắc à, nói với mấy chú này mệt mỏi quá ...


Tôi nhường bạn với bác Bắc nói chuyện nhé. :) Bạn Phong ơi,tôi và bạn chẳng qua chỉ làm theo những gì người ta đã làm rồi,nói những gì người ta đã nói rồi.Xin đừng làm vẻ này nọ,mất phong cách lắm :) !!!




Bác TAMII cần tài liệu vui lòng search trên VNPRO này nhiều lắm đó .... bạn nên trong này nếu bạn nói là bạn đã có đủ hết thì tớ khuyên bạn câu : VNPRO hổng đủ chổ chứa bài của bạn đâu ... (chắc phải mơời qua forum của tớ mất ha ha ha)

OK,nếu ở đây bạn nói là đủ rôì thì tôi sẽ xoá hết những gì đã viết.


Cá mập đúng là cá mập, hehehehehe

Bác Huy Bắc định nói ý gì vậy?Cá mập chỉ thấy mùi máu là đớp,kể cả đồng loại.Em ăn thịt cá mập tươi thấy khá nhạt nhẽo :) .Bác có ý kiến gì khác ko?

Hôm nay tôi hơi say nên ko xoá hết được.Mai xóa tiếp vậy.Sorry cá mập nhé :)

Mong rằng các cuộc trao đổi trên forum đều diễn ra trong...hòa bình . Nhưng điều này có vẻ...hơi khó... :D

Mong rằng các cuộc trao đổi trên forum đều diễn ra trong...hòa bình . Nhưng điều này có vẻ...hơi khó... :D
hè hè , tại tớ thì rất trực tính, thấy lôm côm ghét, cũng có khái niệm "Hack Home Network" nữa kia à ? thú thật chứ để sài cái internet ra cafe mà sài chùa, còn hack vào ap dạng cafe wifi, dạng cắm vào cho lâu lâu ông nào đó sài internet chơi ? để làm gì ? chơi à ... thực sự là qua cái mail mà TAMII viết cho mình là thấy bạn quá KIÊU , quá tự phụ với cái hack WEP key, xin lỗi bạn chứ AP no key no security đầy ... bạn cần mình chỉ cho vài chổ ... đem laptop xuống Nguyễn Huệ quận 1 đầy ....
Bạn là cái gì mà mời về nhà nói về bảo mật ???? bạn làm một bài nho nhỏ đi, vui lòng đừng ngồi kêu mọi người đến nhà ? bác có cái gì cho thiên hạ coi mà phải cất công đến thế ????
Tớ thì trên VNPRO này chả ai xa lạ nhiều ... email à ? nói đến thế mà bác còn chưa dám ra quán cafe hack cái AP của tớ đem ra ? làm cho tớ và 3 thằng nữa ngồi mấy hôm chỉ đợi rửa mắt với HACK của bác. xin lỗi chứ chắc là bạn TAMII trả tiền cafe tớ đã đi uống chưa ?
Hãy làm chứ đừng nói !!! câu này bạn có hiểu không?

hè hè , tại tớ thì rất trực tính, thấy lôm côm ghét...


:D


Bạn là cái gì mà mời về nhà nói về bảo mật ????
Tớ thì trên VNPRO này chả ai xa lạ nhiều ...
xin lỗi chứ chắc là bạn TAMII trả tiền cafe tớ đã đi uống chưa ?

Miễn bình luận để cho hòa bình :)


nói đến thế mà bác còn chưa dám ra quán cafe hack cái AP của tớ đem ra ? làm cho tớ và 3 thằng nữa ngồi mấy hôm chỉ đợi rửa mắt với HACK của bác

Trước tôi có mời bạn đến nhà cũng muốn thử với bạn nhưng nay tôi thay đổi rồi,thôi coi như bạn "biuld" hệ thống good :) .Nghe cách nói của bạn tôi đoán bạn chắc còn trẻ,sẽ còn nhiều thời gian để học hỏi.Thôi,kết thúc mọi chuyện ở đây nhé,tôi sẽ ko bình luận tiếp đâu.

:D



Miễn bình luận để cho hòa bình :)



Trước tôi có mời bạn đến nhà cũng muốn thử với bạn nhưng nay tôi thay đổi rồi,thôi coi như bạn "biuld" hệ thống good :) .Nghe cách nói của bạn tôi đoán bạn chắc còn trẻ,sẽ còn nhiều thời gian để học hỏi.Thôi,kết thúc mọi chuyện ở đây nhé,tôi sẽ ko bình luận tiếp đâu.

Bó tay ...