On Mon, Apr 05, 2004 at 10:37:27PM +0400, Dmitry E. Oboukhov wrote:
[skip]
> как защитить wireless-сетку от подключения "левого" юзера?
> там в этом плане скьюрити встроено в карточку, чи придется что-то вроде
> ppp с авторизацией поднимать?
Зависит от того, что умеет твой AP и клиентское оборудование.
Если они умеют WPA, то используй её -- это лучшее на сегодняшний момент
решение: шифрование в эфире TKIP или WEP с динамическими ключами,
аутентификация (и биллинг до кучи) пользователей по 802.1x (смотреть в
сторону FreeRADIUS <www.freeradius.org> и XSupplicant
<http://www.open1x.org/>).
Если железо этого не умеет, то остаётся WEP со статическим
ключём (ломается атакой Шамира, Флюхрера и Мантина) -- тут и шифрование
и аутентификация в одном флаконе, правда и то, и то ненадёжные. В этом
случае можно добавить аутентификацию (и биллинг, в принципе, тоже) через
captive portal (смотреть н.п. в сторону NoCatAuth <http://nocat.net/>),
тогда пользователи будут аутентифицироваться через веб-страничку по
https. В этом случае неавторизованный пользователь дальше твоего гейтвея
не пролезет, т.е. трафик у тебя не уворуют. Недостатком такого подхода
является слабая защита эфира (т.е. всё, что ходит по незащищённым
протоколам может заснифить неавторизованный пользователь). Достоинство
(пожалуй единственное) -- такую сетку можно развернуть на очень старом
оборудовании и со стороны клиента не требуется практически никаких
настроек.
Это были "штатные" для wireless средства, но можно ещё начать
городить VPN-ы с аутентификацией.
--
With best regards, Oleg Gritsinevich
