[mix2]

я обычно включаю wep 64 бита open

 

насколько я понимаю, можно обойтись без шифрования данных и ограничить подключения к базовой станции вбив мак адреа клиентов в MAC ACL.

 

Имеет или это смысл?

Как делаете вы?

 

 

[s.lobanov]

>Имеет или это смысл?

 

Не имеет, для "вскрытия" wep нужно искать специализированное ПО и разбираться с ним, а чтобы украсть mac-адрес нужно всего лишь запустить снифер. В любом случае, оба способа не спасают от НСД.

[mix2]

хорошо, как делать оптимально?

[itl2044]

wpa2-psk

[s.lobanov]

Если psk, то абоненты могут видеть трафик друг друга. psk создан для офисов/персональных сетей, а не для предоставления платных услуг

[fastvd]

Если psk, то абоненты могут видеть трафик друг друга. psk создан для офисов/персональных сетей, а не для предоставления платных услуг

поподробней пжлст...что имеет шифрование к внутреннему трафику?

[Saab95]

wpa-psk по радио и MPPE128 при передаче данных посредством ptp соединения.

[dsk]

MAC ACL + все наносы в специальной служебной сетке без инета, клиентские в router mode с инетной сеткой на LAN. На базе hide ssid + client isolation. Пусть юзеры обснифаются, а также пофлудят броадкастами, позанимаются арпспуфингом и т.п. Дальше своего клиентского наноса мусор не вылезет.

[s.lobanov]

dsk

Так каким образом вы защищаетесь от воровства мак-адреса?

[g7001]

Так каким образом вы защищаетесь от воровства мак-адреса?

И толку? если внутри все по ptp с шифрованием гоняется?

Ну залезит он в сеть а дальше?

Даже если раздать список маков всем желающим хакнуть себе мозг ,то оно все равно до одного места будет.

Edited June 15, 2010 by g7001

[icecybe]

легче конечно поставить простое шифрование что-б не каждый чайничек влепился на базу. Дальше доступ по вланам и без ппое сесий там просто нечего делать :)

 

[mix2]

в общем у меня так и есть, только народ бегает по L2TP

я больше беспокоюсь за то, влияет ли как-то тип выбранного шифрования на загрузку и без того маломощного процессора

[Saab95]

Шифрованием занимаеться радиомодуль, ни один процессор с такой работой не справиться.

[dsk]

Так каким образом вы защищаетесь от воровства мак-адреса?

Воровства мака кем?

Юзером? Юзер кроме лан порта своего наноса никого не видит, пусть хоть мильен маков себе пропишет, в эфир это не пойдет, т.к. его нанос является роутером. Юзер загнан в подсеть /30, с одной стороны нанос, с другой его комп или роутер.

 

Третье лицо будет ломать эфир? Ну для этого надо сделать кучу действий, сменить мак, подобрать ип наноса, на который роутится клиентская сеть, подобрать ип лан интерфейса наноса, который собственно смотрит в комп или роутер клиента, заставить это все работать одновременно с настоящим наносом (мои клиенты свое оборудование очень редко отключают, да и мы рекомендуем его держать включенным для мониторинга).

Вообще в Московском регионе подобные трудозатраты третьих лиц на ломание вайфая черезчур избыточны и бессмысленны, интернет можно получить нахаляву намного проще, пол часа катаний с ноутом около многоэтажек, и заветный линк сам прийдет :)) Доходило даже до того, что у здания офиса мосэнерго можно было по корпоративной сети их лазить :))

Edited June 15, 2010 by dsk