Cytuj:
filtrowanie po MAC to podstawa...
za duzo zamieszania w przypadku wymiany sprzetu.
podstawa to arp na routerze.
tak podstawa ale rezygnacja z filtrowania po macku jest bardzo nierozsądne.
-nie mamy mozliwości zmuszenia userow do korzystania z nadajnikow preferowanuch przez nas, zwłaszcza gdy mamy kilka AP na jednej bazie
W praktyce wyglada to tak że wszyscy sa wpieci w najsilnieszy nadajnik który ledwo zipie a drugi AP nudz sięi.
Dobrze jest klientow z silnym sygnalem przepiąc na "slabsza" baze a tych co sa daleko i sygnal mają slaby na "mocniejszy" AP - a kontrola po macku wymusza to na userach.
-nie mamy zadnego utrudnienia dla domorosłych wardriverów którzy snifują co w sieci piszczy.
i najważniesze taki AP mozna wykozystac jako most, czyli mamy punkt A i punkt B które nie widzą sią wzajemnie ale widzą taki AP... a właściciel nawet nie wie o tym fakcie (bo mu ruter wszystko loguje) i dziwi się że mu AP zdycha...
Jest jeszcze lepiej kiedy dawca ma szkielet polaczonych AP i wtedy taki szkodnik może wykożystywa jego siec do swoich celów.
Ktoś tu chyba na forum się nawet chyba chwalił że używa tylko innych klas adresowych jako izolację klientów, a gdzie dokładnie ta siec
Zresztą mozna takie zjawisko wykorzystywac również w przypadku szkieletetu kablowego - ISP na kablach innego ISP.
co do innych zabezpieczeń to nie chce mi się rozpisywac bo ktos inny już to opisał:
Wstęp
Sposobów zabezpieczeń sieci jest bardzo wiele, ich skuteczność i złożoność zależy w głównej mierze od doświadczenia i pomysłowości administratora. W przypadku sieci WLAN pole do popisu jest odrobinę mniejsze, istnieje bowiem kilka ogólnie znanych i wykorzystywanych metod ochrony (nie oznacza to wcale, że nie ma sieci zabezpieczonych `nietypowo`).
Pierwszą czynnością zwiększająca bezpieczeństwo naszej sieci bezprzewodowej powinno być ustawienie hasła w AP. Jest to krok, którego nie możemy pominąć jeśli myślimy poważnie o ochronie Wi-Fi. Jeżeli mamy taką możliwość postawmy AP za firewallem. Niektóre Punkty Dostępowe posiadają opcję regulacji mocy. Możemy ją zmniejszyć, aby zasięg AP nie wychodził poza pomieszczenie, w którym jest ustawiony - nie ma potrzeby dzielenia się Internetem z sąsiadami.
Poniżej przedstawiam najbardziej znane metody zabezpieczeń sieci Wi-Fi
Wyłączenie rozgłaszania SSID (Service Set IDentifier)
[poziom bezpieczeństwa - zerowy]
Jest to jeden z najmniej skutecznych sposobów zabezpieczeń sieci bezprzewodowej. Osoba chcąca połączyć się z naszą siecią, musi podać jej nazwę. Ukrycie SSID ani odrobinę nie podnosi poziomu bezpieczeństwa, zdobycie ukrytej nazwy sieci to kwestia kilku minut. Wspominam o tym z czystej formalności.
Filtrowanie adresów MAC
[poziom bezpieczeństwa - bardzo niski]
Technika ta polega na ustawieniu w Punkcie Dostępowym listy adresów kart sieciowych, które legalnie mogą korzystać z sieci. Jeżeli adres MAC klienta nie znajduje się na tej liście, nie uzyska on połączenia z siecią. Przy tym rodzaju zabezpieczenia, często stosuje się usługę DHCP, która przydziela konkretne IP danemu adresowi MAC. Jeżeli w swojej sieci planujesz wprowadzić filtrację MAC pomyśl też o innych zabezpieczeniach, gdyż to jest niewystarczające.
WEP (Wired Equivalent Privacy)
[poziom bezpieczeństwa - bardzo niski]
Szyfrowanie połączenia z użyciem klucza WEP jest jednym z najczęsciej stosowanych rodzajów zabezpieczeń i obecnie dostępne jest w każdym AP. Polega ono na ustawieniu hasła, które każdy klient musi podać zanim uzyska dostęp do sieci. Jeżeli zdecydujesz się na stosowanie tego typu zabezpieczenia i twój AP posiada taka opcję, użyj klucza 128 (13-znakowe hasło) zamiast 64 bitowego. Fakt, iż sieć jest zabezpieczona w widoczny sposób (każdy skaner sieci bezprzewodowej to pokaże) odstraszy przynajmniej część osób chcących się do niej dostać. Z pozoru może wydawać się to skuteczną metodą ochrony sieci, jednak WEP podatny jest na różne formy ataków (ze względu na wektor inicjujący (IV) (czytaj więcej w artykule aircrack). Co prawda są to techniki czasochłonne, jednak napewno znajdzie się ktoś kto zechce przełamać to zabezpieczenie. Oprócz tego ta metoda szyfrowania, w pewnym stopniu, obciąża naszą sieć (czytaj więcej w artykule Test wydajności zabezpieczonych sieci WLAN). Jeśli jednak masz wybierać pomiędzy szyfrowaniem WEP lub jego brakiem, wybierz to pierwsze - uchronisz swoje hasła i inne ważne informacje przed dostaniem się w niepowołane ręce. Pomimo wad szyfrowania WEP nadaje się ono znakomicie jako jedna z warstw chroniących twoją sieć.
WPA (Wi-Fi Protected Access)
[poziom bezpieczeństwa - wysoki*]
WPA zostało wprowadzone jako następca szyfrowania WEP, bezpieczniejsze i pozbawione wad poprzednika. Jedynym minusem tego zabezpieczenia jest dosyć spore obciążanie sieci (czytaj więcej w artykule: Test wydajności zabezpieczonych sieci WLAN).
WPA dzieli się na dwa rodzaje: Personal (opiera się na kluczu PSK (długość od 8 do 63 znaków), bez którego nie nawiążemy połączenia z siecią) oraz Enterprise (korzystający z serwera RADIUS). Niestety szyfrowanie WPA nie jest dostępne w każdym AP, jeśli jednak twój Punkt Dostępowy oraz karty klienckie je obsługują i dla bezpieczeństwa sieci zrobisz wszystko - użyj właśnie WPA.
Należy wspomnieć też o WPA2, które poza inną metodą szyfrowania (AES-CCMP) nie różni się niczym w porównaniu do WPA (RC4/TKIP).
*Szyfrowanie WPA jest bezpieczne tylko przy stosowaniu długich, niestandardowych haseł (najlepiej maksymalnej długości), bowiem inne są podatne na ataki słownikowe.
RADIUS (Remote Authentication Dial-In User Service)
[poziom bezpieczeństwa - wysoki]
RADIUS jest protokołem, umożliwiającym autentykację, autoryzację oraz rozliczanie (AAA - Authencication, Authorization, Accounting). Schemat działania jest bardzo prosty: klient chcący uzyskać dostęp, np. do Internetu wysyła do urządzenia NAS (Network Access Server, którego rolę w sieciach bezprzewodowych pełni Access Point) swój adres MAC. Jest on przesyłany do serwera RADIUS, na którym zapisane są informacje o wszystkich autoryzowanych użytkownikach (login, hasło, adres MAC). Jeżeli dany adres MAC znajdował się na serwerze, zostaje wysłana prośba o podanie loginu i hasła. Gdy weryfikacja przebiegnie poprawnie klient uzyska dostęp do sieci.
Mimo, że login oraz hasło, których używamy przy logowaniu się do serwera RADIUS są szyfrowane (MD5), należałoby zabezpieczyć także całe nasze połączenie (WEP/WPA). Minusem RADIUSa jest konieczność postawienia dodatkowego serwera, na którym mógłby on działać oraz to, że nie każdy AP potrafi z nim współpracować. Jednym z najbardziej znanych serwerów RADIUS jest freeradius (
http://www.freeradius.org).
[poziom bezpieczeństwa - wysoki]
VPN (Virtual Private Network)
[poziom bezpieczeństwa - wysoki]
Dzięki VPN, za pośrednictwem publicznej sieci (Internetu), możemy utworzyć bezpieczny tunel pomiędzy dwoma klientami/sieciami prywatnymi/klientem a siecią prywatną. (PPTP (Point-to-Point Tunneling Protocol)). W celu autentykacji stosuje się zazwyczaj kombinację login oraz hasło/certyfikaty/klucze prywatne.
Jednym ze sposobów podniesienia bezpieczeństwa sieci VPN jest zastosowanie zbioru protokołów kryptograficznych znanych jako IPsec. Gwarantuje on, że dane które przesyłamy przez Internet pozostają w niezmienionej formie oraz są praktycznie nie do odczytania dla nikogo poza adresatem/odbiorcą (użycie szyfrowania). Na chwilę obecną jest to najbezpieczniejszy i najskuteczniejszy sposób zabezpieczania sieci bezprzewodowych.
Przedstawione tu metody ochrony sieci WLAN zostały opisane skrótowo, bez zagłębiania się w konfigurację aplikacji, urządzeń czy serwerów.
Zaloguj się
Zarejestruj się
FAQ
Szukaj
Najlepiej gdyby udalo sie uruchomic WPA/AES lub WPA2
w tym miejscu pozdrowienia dla kilku administratorow sieci w zasiegu mojej anteny (zmiencie chociaz brame zeby nie kady dostawal net:D )
