Защита сети Wi-FI. как ???

0

0

Защита сети Wi-FI. В2К Терминал-Сервер [АР] <==> [wireless-client] Терминал клиенты, печать на принтерах. Какие посоветуете решиния ??? смотрел гугле.. там тольк описаны методы залома. Причем проблемма как я понял аппаратная - в АР, WEP. Коробочки Д-линки 2000+ Спасибо

Ссылка

←	создание IPSEC VPN туннеля между cisco PIX и linux

netstat: запрес отслеживания соединений

→

ipsec

ivlad ★★★★★
(26.09.05 17:07:30 MSD)

Ссылка

У Wi-Fi D-Link'ов помимо настроек WEP и WPA есть еще Acess Control Lists на основе MAC-адресов карточек. Настроить на работу только с жестко прописанными аппаратными адресами. Можно сказать точкам не анонсировать id своей сети. Тем, кому надо, прописать вручную. Остальным не за чем случайно ловить анонсы чужой сети. Далее перейти со стандартного 0го канала на какой-нить 7й-12й. Включить аппаратное шифрование со 128-битным ключем.

Этого уже достаточно для того, чтобы от Вас отстали в 99,9% процентах случаев.

Если не достаточно, добавьте ipsec между клиентами.

boatman ★
(26.09.05 17:14:37 MSD)

Ответ на: комментарий от boatman 26.09.05 17:14:37 MSD

некоторые модели поддерживают авторизацию через RADIUS, но это уже для совсем больших сетей.

boatman ★
(26.09.05 17:15:43 MSD)

Ссылка

Спасибо! Так и сделал. Поставил 256 бит шифрование, жестко указал точке доступа и клиенту МАС-адреса, которые можно пускать. Остались вопросы: отпавка на лог-сервер и настройка оного, радиус платный или нет, на сколько понял, это будет ещё дополнительная авторизация в сети. Прошивка на обоих коробочках 2.10 от 060904

anonymous
(27.09.05 11:56:09 MSD)

Ответ на: комментарий от boatman 26.09.05 17:14:37 MSD

> Acess Control Lists на основе MAC-адресов карточек. Настроить на работу только с жестко прописанными аппаратными адресами.

это бесполезно. Изменение MAC-адреса сетевухи - тривиалная задача.

ivlad ★★★★★
(27.09.05 12:41:49 MSD)

Ссылка

Ответ на: комментарий от anonymous 27.09.05 11:56:09 MSD

Радиус сервер можно организовать на основе FreeRADIUS, например. Под FreeBSD поставить можно. С отправкой логов сложнее. Они ведуится конечно, но в ограниченном виде (только ошибки). Скорее всего получится осуществлятьмониторинг только через web.

А чтобы поменять MAC надо сначала знать на какой =) Согласен, можно перехватить при обмене. Но с дополнительным шифрованием - это бесполезно.

boatman ★
(27.09.05 15:30:10 MSD)

Ссылка

Согласно статье thg ломается на ура. Вот бы ключик менять бы автоматом раз в 10-15 минут.... и что бы это было прозрачно для юзеров и на быстродействие не сказывалось... Скачал радиус 1.3 читаю вот.. ссылок надыбал... и статью и Мультика с линуксньюса смотрю... Логи как я понял должен собирать syslog... только вот у меня в rc.syslog - klogd, а ключа -r у него не предусмотрено... как запустить то его??? 514 udp порт как я понял он сам открывает... Сейчас запущу на АР, что бы логи валились на Лялих, потом гляну tcpdump что и куда...

anonymous
(27.09.05 17:04:05 MSD)

Ответ на: комментарий от anonymous 27.09.05 17:04:05 MSD

По поводу автоматической смены ключей. Я недавно конфигурил модельку D-Link'овскую, не помню, к сожеланию, точное название, НО: там была возможность прописать жестко первоначальный пароль для шифрования, и помимо этого их можно было заставить периодически его менять.

boatman ★
(27.09.05 17:22:58 MSD)