На работе выделенка с вайфаем на рабочие компьютеры. Бывает, приходится принимать-передавать важную информацию, закрытую для посторонних. Но ведь любой человек, находящийся в определённой отдалённости, может поймать этот сигнал. Как же уберечь информацию от посторонних глаз?
dj_dantist, Ни как, совершенно ни как. Я серьезно. Если кому-то нужна информация, то ее упереть можно за час максимум. Да WEP уже соверщенно не защищает. Потом появился WAP потом WAP2 - считалось очень надежным. Точнее, что бы взломать, надо ОЧЕНЬ много времини и ресурсов. Но теперь и оно взломано. Найден алгоритм позволяющий взломать за 10мин. Этот алгоритм был предоставлен на какой-то выставке посвященной защите данных. Так что сейчас реального способа защиты нет. И если там действительно ОЧЕНЬ ценные данные, то откажитесь от Wi-Fi. А если не очень ценные, тогда делаем комплекс защиты 1) ОТключаем вещание имени сети. 2) Делаем доступ только зарегестрированным компам с определенным MAC 3) включаем WAP 2 4) Заводим пароль случайной генерации максимальной длинны и меняем его каждый день, ну или раз в неделю. Как-то так!
Эти 10 мин возможны при очень удачном стечении обстоятельств и только для WPA, причем расшифровать удалось данные от точки к клиенту. В реальности WPA2 + AES c авторизацией на RADIUS _практически_ безопасен. Естественно, дополнительно надо ограничить доступ по MAC'ам, скрыть (убрать броадкаст) SSID и уменьшить мощность, чтобы точка не "светила" вне здания. А если, как было сказано, завернуть все в ipsec-туннель, то вообще можно не беспокоиться. p.s. реализовывать надо на _нормальном_ оборудовании. d-link и прочий хлам не годится.
Ну это не всё... еще надо разделить питалово, хотя бы фильтр сетевой, мониторы ЭЛТ выкинуть, поставить двойной армирование оконных проёмов, обнести здание забором, запустить злых собак и еще много чего. Как-то так
А смысл заморачиваться? Юный хацкирь В@ся WPA2 не сломает, а "серьезные дяди" применят универсальный метод взлома "паяльник в заднице", который ломает любые пароли
Ключ делится на три части, как правило руководство знает каждый свою часть, таким образом, бесполезно применять терморектальный криптоанализ например к сисадмину. Ну а если применять данный метод к фирме в целом, тогда смысл взламывать WiFi?
Вот именно. Данный метод применяется к носителю информации. А всякие WEP, WPA - это к кулхацкерам, которые хотят инет нахаляву юзать.
всё правильно написали. скрыть имя, фильтрация по макам, мощность на грани приёма, wpa или wpa2 с радиусом, ещёб я добавил что поверх транспорта я бы забабахал vpn, а ещё лучше openvpn тогда вероятность взлома стремится к нулю.
какое жалкое заявление "Нормальное" это какое? и что оно такое всякое умеет что не умеет длинк? Есть такой старый анекдот - где на суде в Одессе прозвучала фраза "вся Одесса живет, а он не может"
фу какие мы нервные что б умного сказал, а так трындеть каждый может. Значит ты так ляпнул, а почему пояснить мыслей нету. гыгы
Думай, что так. Могу привести лишь один пример - роуминг между точками. По _описанию_ у д-линка оно тоже есть, но железки, которые его поддерживают кое-как, уже имеют конский ценник даже у д-линка.
Очепятка Защищать нужно не Wi-Fi а сеть, как таковую. Т.к. если даже подберут ключь и будут в вашей сети, то получения информации нужно уже будет ломать саму сеть и компьютеры. А это уже гораздо сложнее. И методов защиты ГОРАЗДО больше. А так, как говорилось все зависит от конечной стоимости информации и желании кого-то ее получить. Если она действительно ОЧЕНЬ ценная, то проще подкупить сотрудника, что бы он ее слил
Гыы, так в чем пример? про конский ценник? Да у длинков есть решение с роумингом, не только по описанию и не кое как(а ты не знал наверное) - и что? Это ты к чему про роуминг? в прошлом тезисе ты говорил не о ценах, а о неких функционалах которые есть где то там а не где то тут? ты уж определись, а то как то сумбурно обо всем и смешно даже
То есть отсутствие возможности роуминга между точками заметно увеличивает вероятность взлома wpa? Напиши еще что-нибудь про d-link.
Я так понимаю, что один тут барыжит продукцией д-линк и ему положено хвалить свой товар, остальные пользуются либо дома, чтоб раздать инет на пару компов, либо в конторке на 3.5 человека. Есть ли реальные примеры внедрения wi-fi сети на оборудовании д-линк в рамках более-менее крупного предприятия? Вопрос был в общем про функциональные различия, если строить сеть с нуля, то надо учитывать все, в том числе, дальнейшее масштабирование. И погугли "fast secure roaming cckm" - имеет непосредственное отношение к безопасности. И еще, в какой точке доступа д-линка есть встроенный IDS? И про vlan'ы с qos'ом ниче не ответили.
Есть конечно(и на устройствах длинк в том числе), только речь то не идет о том что есть и где(кому нужно знают), а о глупости которую ты ляпнул изначально про функционал и прочее и продолжил в следующих постах путая кислое с красным то у тебя цена большая то еще что то. ну вот умничать не нужно, хватило твоих прежних тезисов о своей не в 3,5 пк в сети, и "чего всем изначально нужно делать", все что нужно давно написано в книгах и статьях - научись сначала выражаться не сумбурно, что бы с тобой люди что то серьезное захотели пообсуждать. ну раскажи нам про виланы с кюосом? я лично эту тему не поднимал, рассказывай раз начал а длинком барыжут многие и многие - есть там плюсы есть косяки - как и у любого производителя
Простейшая задача - есть точка и 3 сетки: компы в локалке, гостевой инет и сеть ip-телефонов. Надо сделать 3 SSID в разных vlan'ах и обеспечить приоритет для сети телефонов. На каком оборудовании д-линк можно это реализовать?
Хихихи, малчег, ты лучше расскажи про то на каком оборудовании(помодельно) ты предлагаешь это сделать, а потом поговорим и про qos и по вайфай и про vlan - ты ж первый про все это хозяйство заговорил а то ляпнул про барахло, а с чем сравниваеешь не сказал - ну вот и докажи публике, что есть такое то решение - оно супер, а вот на таком то оборудовании это невозможно - вот это не по детски, иначе лепет с кучкой терминов.
Извини, дяденька. Не хотел говорить на чем конкретно у меня это работает, но уж если прямо спросил, то на Cisco 12хх. Понимаю, что сейчас начнется про нереальную стоимость за ненужные фичи и брэнд.
volerko, Сравнение несравнимого. К примеру у нас имеются и циски и длинки. Естественно для совершенно разных задач.
я не спросил, а всего лишь дал понять что есть корректное заявление, а что детский лепет(и интересно что за секретность). Циску как продукт уважаю, но не считаю что их аернеты умеют, что то больше чем аналогичные продукты длинк(кстати тоже бренд). Теперь конкретнее - какой у тебя аернет(артикул) и какой на нем функционал ты считешь отсутствует на продуктах длика?
Одна из точек AIR-AP1242AG-A-K9, есть встроенные средства IDS/IPS. А вот одна из баго-фич, что меня не устроила бы в д-линке при решении задачи обозначенной выше - это, то что управление точкой идет нетегированное, т.е. в 1-м влане, что уже само по себе плохо влияет на безопасность.
Конкретно в каком длинке пробовал? попробуй на DAP-3520 или подобные устройства по заявленному соответствуют твоей точке, даже больше умеют ну раз мы уже о теговых виланах заговорили, то напомню что это функционал коммутатора, но ни как не точки доступа. А если говорить про многообразие продуктов(и сочетаний функционала), то уж у длинка, при всем уважении к другим производителям самый богатый выбор wifi продуктов.
Классическая 2100AP. Там это называется Multi-SSID, оно даже как-то работает и метит разными тэгами пакеты с разных SSID, но вот управление идет нетэгированное. напомню, что метить как раз таки точка должна
Думаешь сравнение точки 2100ап(снятая с производства) по функционалу с твоей корректное? или других от длинка в руках не держал? или стоит посмотреть более старшие устройства? Давай еще сравним каталист из старших с 5 портовым свитчем длинк. Или пикс с домашним роутерчиком. напомни еще что она должна метить? теговые виланы о которых ты говоришь это функционал ни как не точек доступа, а коммутаторов и к мульти ssid оно ни какого отношения не имеет. И приоритеты виланов выставляются именно на порту коммутатора а не в точке.