Как защитить WiFi?

подключение с шифрованием.

 

dj_dantist,
Ни как, совершенно ни как. Я серьезно. Если кому-то нужна информация, то ее упереть можно за час максимум. Да WEP уже соверщенно не защищает. Потом появился WAP потом WAP2 - считалось очень надежным. Точнее, что бы взломать, надо ОЧЕНЬ много времини и ресурсов. Но теперь и оно взломано. Найден алгоритм позволяющий взломать за 10мин. Этот алгоритм был предоставлен на какой-то выставке посвященной защите данных.
Так что сейчас реального способа защиты нет. И если там действительно ОЧЕНЬ ценные данные, то откажитесь от Wi-Fi. А если не очень ценные, тогда делаем комплекс защиты
1) ОТключаем вещание имени сети.
2) Делаем доступ только зарегестрированным компам с определенным MAC
3) включаем WAP 2
4) Заводим пароль случайной генерации максимальной длинны и меняем его каждый день, ну или раз в неделю.

Как-то так!

 

вообще-то WPA и WPA2, не вводи в заблуждение..

 

IPSec

 

Эти 10 мин возможны при очень удачном стечении обстоятельств и только для WPA, причем расшифровать удалось данные от точки к клиенту. В реальности WPA2 + AES c авторизацией на RADIUS _практически_ безопасен.
Естественно, дополнительно надо ограничить доступ по MAC'ам, скрыть (убрать броадкаст) SSID и уменьшить мощность, чтобы точка не "светила" вне здания. А если, как было сказано, завернуть все в ipsec-туннель, то вообще можно не беспокоиться.
p.s. реализовывать надо на _нормальном_ оборудовании. d-link и прочий хлам не годится.

 

Ну это не всё... еще надо разделить питалово, хотя бы фильтр сетевой, мониторы ЭЛТ выкинуть, поставить двойной армирование оконных проёмов, обнести здание забором, запустить злых собак и еще много чего.

Как-то так

 

А смысл заморачиваться? Юный хацкирь В@ся WPA2 не сломает, а "серьезные дяди" применят универсальный метод взлома "паяльник в заднице", который ломает любые пароли

 

В настоящее время это называется терморектальным криптоанализом .

 

Ключ делится на три части, как правило руководство знает каждый свою часть, таким образом, бесполезно применять терморектальный криптоанализ например к сисадмину. Ну а если применять данный метод к фирме в целом, тогда смысл взламывать WiFi?

 

Вот именно. Данный метод применяется к носителю информации. А всякие WEP, WPA - это к кулхацкерам, которые хотят инет нахаляву юзать.

 

всё правильно написали.
скрыть имя, фильтрация по макам, мощность на грани приёма, wpa или wpa2 с радиусом, ещёб я добавил что поверх транспорта я бы забабахал vpn, а ещё лучше openvpn тогда вероятность взлома стремится к нулю.

 

какое жалкое заявление

"Нормальное" это какое? и что оно такое всякое умеет что не умеет длинк?

Есть такой старый анекдот - где на суде в Одессе прозвучала фраза "вся Одесса живет, а он не может"

 

Не более жалкое, чем весь твой пост.
Я даже спорить не хочу, делайте на д-линке все, что угодно.

 

фу какие мы нервные что б умного сказал, а так трындеть каждый может. Значит ты так ляпнул, а почему пояснить мыслей нету. гыгы

 

Думай, что так.
Могу привести лишь один пример - роуминг между точками. По _описанию_ у д-линка оно тоже есть, но железки, которые его поддерживают кое-как, уже имеют конский ценник даже у д-линка.

 

Очепятка
Защищать нужно не Wi-Fi а сеть, как таковую. Т.к. если даже подберут ключь и будут в вашей сети, то получения информации нужно уже будет ломать саму сеть и компьютеры. А это уже гораздо сложнее. И методов защиты ГОРАЗДО больше.
А так, как говорилось все зависит от конечной стоимости информации и желании кого-то ее получить. Если она действительно ОЧЕНЬ ценная, то проще подкупить сотрудника, что бы он ее слил

 

Гыы, так в чем пример? про конский ценник?

Да у длинков есть решение с роумингом, не только по описанию и не кое как(а ты не знал наверное) - и что? Это ты к чему про роуминг?

в прошлом тезисе ты говорил не о ценах, а о неких функционалах которые есть где то там а не где то тут? ты уж определись, а то как то сумбурно обо всем и смешно даже

 

То есть отсутствие возможности роуминга между точками заметно увеличивает вероятность взлома wpa?
Напиши еще что-нибудь про d-link.

 

Я так понимаю, что один тут барыжит продукцией д-линк и ему положено хвалить свой товар, остальные пользуются либо дома, чтоб раздать инет на пару компов, либо в конторке на 3.5 человека.
Есть ли реальные примеры внедрения wi-fi сети на оборудовании д-линк в рамках более-менее крупного предприятия?

Вопрос был в общем про функциональные различия, если строить сеть с нуля, то надо учитывать все, в том числе, дальнейшее масштабирование. И погугли "fast secure roaming cckm" - имеет непосредственное отношение к безопасности.
И еще, в какой точке доступа д-линка есть встроенный IDS? И про vlan'ы с qos'ом ниче не ответили.

 

Есть конечно(и на устройствах длинк в том числе), только речь то не идет о том что есть и где(кому нужно знают), а о глупости которую ты ляпнул изначально про функционал и прочее и продолжил в следующих постах путая кислое с красным то у тебя цена большая то еще что то.

ну вот умничать не нужно, хватило твоих прежних тезисов о своей не в 3,5 пк в сети, и "чего всем изначально нужно делать", все что нужно давно написано в книгах и статьях - научись сначала выражаться не сумбурно, что бы с тобой люди что то серьезное захотели пообсуждать.

ну раскажи нам про виланы с кюосом? я лично эту тему не поднимал, рассказывай раз начал


а длинком барыжут многие и многие - есть там плюсы есть косяки - как и у любого производителя

 

Простейшая задача - есть точка и 3 сетки: компы в локалке, гостевой инет и сеть ip-телефонов. Надо сделать 3 SSID в разных vlan'ах и обеспечить приоритет для сети телефонов. На каком оборудовании д-линк можно это реализовать?

 

Хихихи, малчег, ты лучше расскажи про то на каком оборудовании(помодельно) ты предлагаешь это сделать, а потом поговорим и про qos и по вайфай и про vlan - ты ж первый про все это хозяйство заговорил

а то ляпнул про барахло, а с чем сравниваеешь не сказал - ну вот и докажи публике, что есть такое то решение - оно супер, а вот на таком то оборудовании это невозможно - вот это не по детски, иначе лепет с кучкой терминов.

 

Извини, дяденька. Не хотел говорить на чем конкретно у меня это работает, но уж если прямо спросил, то на Cisco 12хх. Понимаю, что сейчас начнется про нереальную стоимость за ненужные фичи и брэнд.

 

volerko,
Сравнение несравнимого. К примеру у нас имеются и циски и длинки. Естественно для совершенно разных задач.

 

я не спросил, а всего лишь дал понять что есть корректное заявление, а что детский лепет(и интересно что за секретность).

Циску как продукт уважаю, но не считаю что их аернеты умеют, что то больше чем аналогичные продукты длинк(кстати тоже бренд).

Теперь конкретнее - какой у тебя аернет(артикул) и какой на нем функционал ты считешь отсутствует на продуктах длика?

 

Одна из точек AIR-AP1242AG-A-K9, есть встроенные средства IDS/IPS.
А вот одна из баго-фич, что меня не устроила бы в д-линке при решении задачи обозначенной выше - это, то что управление точкой идет нетегированное, т.е. в 1-м влане, что уже само по себе плохо влияет на безопасность.

 

Конкретно в каком длинке пробовал? попробуй на DAP-3520 или подобные устройства по заявленному соответствуют твоей точке, даже больше умеют

ну раз мы уже о теговых виланах заговорили, то напомню что это функционал коммутатора, но ни как не точки доступа.

А если говорить про многообразие продуктов(и сочетаний функционала), то уж у длинка, при всем уважении к другим производителям самый богатый выбор wifi продуктов.

 

Классическая 2100AP. Там это называется Multi-SSID, оно даже как-то работает и метит разными тэгами пакеты с разных SSID, но вот управление идет нетэгированное.

напомню, что метить как раз таки точка должна

 

Думаешь сравнение точки 2100ап(снятая с производства) по функционалу с твоей корректное? или других от длинка в руках не держал? или стоит посмотреть более старшие устройства? Давай еще сравним каталист из старших с 5 портовым свитчем длинк. Или пикс с домашним роутерчиком.

напомни еще что она должна метить? теговые виланы о которых ты говоришь это функционал ни как не точек доступа, а коммутаторов и к мульти ssid оно ни какого отношения не имеет. И приоритеты виланов выставляются именно на порту коммутатора а не в точке.