Jump to content

Cisco Aironet 1300 и шифрование.

peektoseen
 Share

Recommended Posts

peektoseen

peektoseen

Posted
Posted (edited)

Всех привествую.

Имеется несколько точек AIR-BR1300.

Собираемся на них повесить несколько удаленных клиентов, до которых не можем добраться волокном.

Подскажите, как организовать шифрование трафика на них? Подозреваю что в решении проблемы поможет radius сервер. С радиусом до этого дела не имел, не знаю даже с какой стороны к нему подступиться.

На точке при выборе метода шифрования задается radius server и server secret.

По каким критериям радиус будет давать доступ клиенту? Для каждого клиента будет свой ключ?

Edited by peektoseen
Deac

Deac

Posted
Posted

Опять клиника. :(

 

Просто создаёшь SSID, назначаешь ему шифрование и всё.

Если клиенты не сотовые телефоны - ставишь WPA2.

RADIUS вещь хорошая и нужная, но только не здесь.

peektoseen

peektoseen

Posted
  • Author
Posted

Т.е. на всех один ключ вполне достаточно? Как в таком случае резать доступ нелегалам? Точки воткнутны в d-link'овские умные свитчи, использовать на них IMPB? Или на точке разрешать доступ только определенным макам?

Клиентов не много, на одну точку максимум 10 (одновременно оналйн ~5).

Как делают по-умному?

  • 2 months later...
peektoseen

peektoseen

Posted
  • Author
Posted

Настроил хотспот на микротике. Микротик проверяет имя пользователя и пароль пользователя в биллинге и в зависимости от этого разрешает/запрещает доступ.

Но с шифрованием воздушного траффика вопрос все так-же актуален.

Пускать незашифрованный трафик по воздуху нельзя. Неужели все пускают незашифрованным?

spy

spy

Posted
Posted

Настроил хотспот на микротике. Микротик проверяет имя пользователя и пароль пользователя в биллинге и в зависимости от этого разрешает/запрещает доступ.

Но с шифрованием воздушного траффика вопрос все так-же актуален.

Пускать незашифрованный трафик по воздуху нельзя. Неужели все пускают незашифрованным?

Конечно нет :) Deac предложил вам вариант, чем не подходит? Клиентскую железку вы контролируете или нет? Если нет, тогда есть еще вариант заюзать multi-SSID, где у каждого экземпляра SSID будет свой ключ и алгоритм шифрования, однако это крайне не выгодно из-за нагрузки на БС.

peektoseen

peektoseen

Posted
  • Author
Posted (edited)

Настроил хотспот на микротике. Микротик проверяет имя пользователя и пароль пользователя в биллинге и в зависимости от этого разрешает/запрещает доступ.

Но с шифрованием воздушного траффика вопрос все так-же актуален.

Пускать незашифрованный трафик по воздуху нельзя. Неужели все пускают незашифрованным?

Конечно нет :) Deac предложил вам вариант, чем не подходит? Клиентскую железку вы контролируете или нет? Если нет, тогда есть еще вариант заюзать multi-SSID, где у каждого экземпляра SSID будет свой ключ и алгоритм шифрования, однако это крайне не выгодно из-за нагрузки на БС.

Для этого клиенту нужно знать ключ сети, А хотелось бы, чтобы он увидел открытую сеть, попытался зайти на какой-либо http ресурс и лицезрел страницу запроса логина и пароля.

Возможно ли как-нибудь зашифровать трафик в открытой сети, без ввода с пользовательской стороны ключа? Или WPA2 умеет быть без ключа?

Иначе говоря - возможно ли шифрование без аутентификации?

P.S. с праздником, товарищи.

Edited by peektoseen
spy

spy

Posted
Posted (edited)

Настроил хотспот на микротике. Микротик проверяет имя пользователя и пароль пользователя в биллинге и в зависимости от этого разрешает/запрещает доступ.

Но с шифрованием воздушного траффика вопрос все так-же актуален.

Пускать незашифрованный трафик по воздуху нельзя. Неужели все пускают незашифрованным?

Конечно нет :) Deac предложил вам вариант, чем не подходит? Клиентскую железку вы контролируете или нет? Если нет, тогда есть еще вариант заюзать multi-SSID, где у каждого экземпляра SSID будет свой ключ и алгоритм шифрования, однако это крайне не выгодно из-за нагрузки на БС.

Для этого клиенту нужно знать ключ сети, А хотелось бы, чтобы он увидел открытую сеть, попытался зайти на какой-либо http ресурс и лицезрел страницу запроса логина и пароля.

Возможно ли как-нибудь зашифровать трафик в открытой сети, без ввода с пользовательской стороны ключа? Или WPA2 умеет быть без ключа?

Иначе говоря - возможно ли шифрование без аутентификации?

P.S. с праздником, товарищи.

 

Возможно общее, с одинаковым ключем, персонально - нет. Вы хотите шифровать трафик анонимусов? Для защиты данных при вводе пароля через незащищенную сеть однозначный совет - https. После аутентификации можно применить WPA2-Enterprise, но пользователю нужно будет переподключиться к другому SSID или изменить настройки текущего подключения. Возможно есть и другие способы....

Edited by spy
  • 4 weeks later...
peektoseen

peektoseen

Posted
  • Author
Posted (edited)

Думаю IPsec+Mikrotik поможет в этом вопросе. Подскажите так ли это? Сможет ли IPSec зашифровать трафик в открытой wi-fi сети, чтобы нюхальщики не могли нюхать, а клиенты видели открытые точки их их не просили вводить ключ сети?

С IPSec не имел дела. Прошу помощи.

Edited by peektoseen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.