1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Как защитить WiFi?

Тема в разделе "Интернет", создана пользователем dj_dantist, 26.10.09.

  1. dj_dantist

    dj_dantist Активный участник

    4.591
    0
    На работе выделенка с вайфаем на рабочие компьютеры. Бывает, приходится принимать-передавать важную информацию, закрытую для посторонних. Но ведь любой человек, находящийся в определённой отдалённости, может поймать этот сигнал.

    Как же уберечь информацию от посторонних глаз?
     
  2. Гоша

    Гоша Активный участник

    3.320
    0
    подключение с шифрованием.
     
  3. Pashtet

    Pashtet Активный участник

    20.280
    92
    dj_dantist,
    Ни как, совершенно ни как. Я серьезно. Если кому-то нужна информация, то ее упереть можно за час максимум. Да WEP уже соверщенно не защищает. Потом появился WAP потом WAP2 - считалось очень надежным. Точнее, что бы взломать, надо ОЧЕНЬ много времини и ресурсов. Но теперь и оно взломано. Найден алгоритм позволяющий взломать за 10мин. Этот алгоритм был предоставлен на какой-то выставке посвященной защите данных.
    Так что сейчас реального способа защиты нет. И если там действительно ОЧЕНЬ ценные данные, то откажитесь от Wi-Fi. А если не очень ценные, тогда делаем комплекс защиты
    1) ОТключаем вещание имени сети.
    2) Делаем доступ только зарегестрированным компам с определенным MAC
    3) включаем WAP 2
    4) Заводим пароль случайной генерации максимальной длинны и меняем его каждый день, ну или раз в неделю.

    Как-то так!
     
  4. Гоша

    Гоша Активный участник

    3.320
    0
    вообще-то WPA и WPA2, не вводи в заблуждение..:iq:
     
  5. Grinya

    Grinya Активный участник

    4.222
    48
  6. volerko

    volerko Активный участник

    8.208
    15
    Эти 10 мин возможны при очень удачном стечении обстоятельств и только для WPA, причем расшифровать удалось данные от точки к клиенту. В реальности WPA2 + AES c авторизацией на RADIUS _практически_ безопасен.
    Естественно, дополнительно надо ограничить доступ по MAC'ам, скрыть (убрать броадкаст) SSID и уменьшить мощность, чтобы точка не "светила" вне здания. А если, как было сказано, завернуть все в ipsec-туннель, то вообще можно не беспокоиться.
    p.s. реализовывать надо на _нормальном_ оборудовании. d-link и прочий хлам не годится.
     
  7. Filler

    Filler Активный участник

    5.369
    17
    Ну это не всё... еще надо разделить питалово, хотя бы фильтр сетевой, мониторы ЭЛТ выкинуть, поставить двойной армирование оконных проёмов, обнести здание забором, запустить злых собак и еще много чего.

    Как-то так ;)
     
  8. Lord_Jadeite

    Lord_Jadeite Участник

    410
    0
    А смысл заморачиваться? Юный хацкирь В@ся WPA2 не сломает, а "серьезные дяди" применят универсальный метод взлома "паяльник в заднице", который ломает любые пароли :) :)
     
  9. Vladimir

    Vladimir Участник

    3.600
    0
    В настоящее время это называется терморектальным криптоанализом :).
     
  10. Grinya

    Grinya Активный участник

    4.222
    48
    Ключ делится на три части, как правило руководство знает каждый свою часть, таким образом, бесполезно применять терморектальный криптоанализ например к сисадмину. Ну а если применять данный метод к фирме в целом, тогда смысл взламывать WiFi?
     
  11. Vladimir

    Vladimir Участник

    3.600
    0
    Вот именно. Данный метод применяется к носителю информации. А всякие WEP, WPA - это к кулхацкерам, которые хотят инет нахаляву юзать.
     
  12. x25

    x25 Активный участник

    5.462
    0
    всё правильно написали.
    скрыть имя, фильтрация по макам, мощность на грани приёма, wpa или wpa2 с радиусом, ещёб я добавил что поверх транспорта я бы забабахал vpn, а ещё лучше openvpn тогда вероятность взлома стремится к нулю.
     
  13. NETR

    NETR Участник

    252
    0


    какое жалкое заявление :d

    "Нормальное" это какое? и что оно такое всякое умеет что не умеет длинк?

    Есть такой старый анекдот - где на суде в Одессе прозвучала фраза "вся Одесса живет, а он не может"
     
  14. volerko

    volerko Активный участник

    8.208
    15
    Не более жалкое, чем весь твой пост.
    Я даже спорить не хочу, делайте на д-линке все, что угодно.
     
  15. NETR

    NETR Участник

    252
    0


    фу какие мы нервные :) что б умного сказал, а так трындеть каждый может. Значит ты так ляпнул, а почему пояснить мыслей нету. :) гыгы
     
  16. volerko

    volerko Активный участник

    8.208
    15
    Думай, что так.
    Могу привести лишь один пример - роуминг между точками. По _описанию_ у д-линка оно тоже есть, но железки, которые его поддерживают кое-как, уже имеют конский ценник даже у д-линка.
     
  17. Pashtet

    Pashtet Активный участник

    20.280
    92
    Очепятка :)
    Защищать нужно не Wi-Fi а сеть, как таковую. Т.к. если даже подберут ключь и будут в вашей сети, то получения информации нужно уже будет ломать саму сеть и компьютеры. А это уже гораздо сложнее. И методов защиты ГОРАЗДО больше.
    А так, как говорилось все зависит от конечной стоимости информации и желании кого-то ее получить. Если она действительно ОЧЕНЬ ценная, то проще подкупить сотрудника, что бы он ее слил :d
     
  18. NETR

    NETR Участник

    252
    0


    Гыы, так в чем пример? про конский ценник?

    Да у длинков есть решение с роумингом, не только по описанию и не кое как(а ты не знал наверное) - и что? Это ты к чему про роуминг?

    в прошлом тезисе ты говорил не о ценах, а о неких функционалах которые есть где то там а не где то тут? ты уж определись, а то как то сумбурно обо всем и смешно даже
     
  19. panda-34

    panda-34 Активный участник

    1.589
    0
    То есть отсутствие возможности роуминга между точками заметно увеличивает вероятность взлома wpa?
    Напиши еще что-нибудь про d-link.
     
  20. volerko

    volerko Активный участник

    8.208
    15
    Я так понимаю, что один тут барыжит продукцией д-линк и ему положено хвалить свой товар, остальные пользуются либо дома, чтоб раздать инет на пару компов, либо в конторке на 3.5 человека.
    Есть ли реальные примеры внедрения wi-fi сети на оборудовании д-линк в рамках более-менее крупного предприятия?
    Вопрос был в общем про функциональные различия, если строить сеть с нуля, то надо учитывать все, в том числе, дальнейшее масштабирование. И погугли "fast secure roaming cckm" - имеет непосредственное отношение к безопасности.
    И еще, в какой точке доступа д-линка есть встроенный IDS? И про vlan'ы с qos'ом ниче не ответили.
     
    Последнее редактирование: 28.10.09
  21. NETR

    NETR Участник

    252
    0


    Есть конечно(и на устройствах длинк в том числе), только речь то не идет о том что есть и где(кому нужно знают), а о глупости которую ты ляпнул изначально про функционал и прочее и продолжил в следующих постах путая кислое с красным то у тебя цена большая то еще что то.




    ну вот умничать не нужно, хватило твоих прежних тезисов о своей не в 3,5 пк в сети, и "чего всем изначально нужно делать", все что нужно давно написано в книгах и статьях - научись сначала выражаться не сумбурно, что бы с тобой люди что то серьезное захотели пообсуждать.

    ну раскажи нам про виланы с кюосом? я лично эту тему не поднимал, рассказывай раз начал


    а длинком барыжут многие и многие - есть там плюсы есть косяки - как и у любого производителя
     
    Последнее редактирование: 28.10.09
  22. volerko

    volerko Активный участник

    8.208
    15
    Простейшая задача - есть точка и 3 сетки: компы в локалке, гостевой инет и сеть ip-телефонов. Надо сделать 3 SSID в разных vlan'ах и обеспечить приоритет для сети телефонов. На каком оборудовании д-линк можно это реализовать?
     
  23. NETR

    NETR Участник

    252
    0


    Хихихи, малчег, ты лучше расскажи про то на каком оборудовании(помодельно) ты предлагаешь это сделать, а потом поговорим и про qos и по вайфай и про vlan :) - ты ж первый про все это хозяйство заговорил

    а то ляпнул про барахло, а с чем сравниваеешь не сказал :) - ну вот и докажи публике, что есть такое то решение - оно супер, а вот на таком то оборудовании это невозможно - вот это не по детски, иначе лепет с кучкой терминов.
     
  24. volerko

    volerko Активный участник

    8.208
    15
    Извини, дяденька. Не хотел говорить на чем конкретно у меня это работает, но уж если прямо спросил, то на Cisco 12хх. Понимаю, что сейчас начнется про нереальную стоимость за ненужные фичи и брэнд.
     
  25. Alfey

    Alfey Активный участник

    3.813
    0
    volerko,
    Сравнение несравнимого. К примеру у нас имеются и циски и длинки. Естественно для совершенно разных задач.
     
  26. NETR

    NETR Участник

    252
    0


    я не спросил, а всего лишь дал понять что есть корректное заявление, а что детский лепет(и интересно что за секретность).

    Циску как продукт уважаю, но не считаю что их аернеты умеют, что то больше чем аналогичные продукты длинк(кстати тоже бренд).

    Теперь конкретнее - какой у тебя аернет(артикул) и какой на нем функционал ты считешь отсутствует на продуктах длика?
     
  27. volerko

    volerko Активный участник

    8.208
    15
    Одна из точек AIR-AP1242AG-A-K9, есть встроенные средства IDS/IPS.
    А вот одна из баго-фич, что меня не устроила бы в д-линке при решении задачи обозначенной выше - это, то что управление точкой идет нетегированное, т.е. в 1-м влане, что уже само по себе плохо влияет на безопасность.
     
  28. NETR

    NETR Участник

    252
    0


    Конкретно в каком длинке пробовал? попробуй на DAP-3520 или подобные устройства по заявленному соответствуют твоей точке, даже больше умеют

    ну раз мы уже о теговых виланах заговорили, то напомню что это функционал коммутатора, но ни как не точки доступа.

    А если говорить про многообразие продуктов(и сочетаний функционала), то уж у длинка, при всем уважении к другим производителям самый богатый выбор wifi продуктов.
     
    Последнее редактирование: 28.10.09
  29. volerko

    volerko Активный участник

    8.208
    15
    Классическая 2100AP. Там это называется Multi-SSID, оно даже как-то работает и метит разными тэгами пакеты с разных SSID, но вот управление идет нетэгированное.
    напомню, что метить как раз таки точка должна ;)
     
  30. NETR

    NETR Участник

    252
    0

    Думаешь сравнение точки 2100ап(снятая с производства) по функционалу с твоей корректное? или других от длинка в руках не держал? или стоит посмотреть более старшие устройства? Давай еще сравним каталист из старших с 5 портовым свитчем длинк. Или пикс с домашним роутерчиком.


    напомни еще что она должна метить? :) теговые виланы о которых ты говоришь это функционал ни как не точек доступа, а коммутаторов и к мульти ssid оно ни какого отношения не имеет. И приоритеты виланов выставляются именно на порту коммутатора а не в точке.