Есть две точки доступа, для директора only.

Т.Е. пришел в один офис у него все есть ЛВС
пришел в другой у него есть ЛВС.

Т.Е. клиент только один - конечно если это имеет значение.

Оборудование D-Link DWL-3200AP
возможности:

•       WPA – Personal
•    WPA – Enterprise
•    WPA2 – Personal
•    WPA2 – Enterprise
•    64/128/152-bit WEP
•    SSID Broadcast Disable
•    Rogue AP Detection
•    MAC Address Access Control List
•    Isolated Security Setting for Each SSID

Сейчас WPA-Personal
Cipher-Type TKIP
Using 12 символов PhassPhrase не словарное русское слово в верхнем и нижнем лат регистре
Разрешен доступ по Mac только шефовскому HTC Touch на Windows Mobile 6

Такое чудо взламываеться в течении получаса.

Переход на WPA2-Personal - чуть больше получаса.

Добрые люди сказали, что безопасную сеть можно построить только на основе

WPA(WPA2)-Enterprise т.е. с использованием Radius сервера.

Хорошо, Radius - это не проблема, подниму.

Но остаеться вопрос все же а насколько это будет безопасная сеть на основе
например WPA2+Radius

Слышал, что безопасные сети - не безопасны в принципе. Конечно соглашусь. Но существуют разные предела безопасности, если можно так выразиться.

Может в чем то и не прав, прошу поправить меня и помочь все таки разобраться.

Если кто-то хочет предложить IPSec или OpenVpn или pptp туннель поверх wi-fi, т.е. воткнуть в роутер еще одну сетевуху и к ней подключить wifi точку, ну а далее туннель.
В случае если Вы предложите такой вариант как самый на мой взгляд сложный, пожалуста объясните чем простые варианты - не безопасные ;)

Всем спасибо

• Можно ли сделать абсолютно безопасную беспроводную сеть,Deac, 15:17 , 12-Июн-09
  • Можно ли сделать абсолютно безопасную беспроводную сеть,SDenis, 15:27 , 12-Июн-09
    • Можно ли сделать абсолютно безопасную беспроводную сеть,Deac, 15:32 , 12-Июн-09
      • Можно ли сделать абсолютно безопасную беспроводную сеть,sonkilla, 15:56 , 12-Июн-09
        • Можно ли сделать абсолютно безопасную беспроводную сеть,netc, 09:20 , 15-Июн-09
      • Можно ли сделать абсолютно безопасную беспроводную сеть,netc, 09:15 , 15-Июн-09
        • Можно ли сделать абсолютно безопасную беспроводную сеть,netc, 09:19 , 15-Июн-09
• Можно ли сделать абсолютно безопасную беспроводную сеть,Сергей, 10:11 , 15-Июн-09
  • Можно ли сделать абсолютно безопасную беспроводную сеть,netc, 12:16 , 15-Июн-09

>Переход на WPA2-Personal - чуть больше получаса.
>

Ну и поставь обновление ключей чаще чем в пол часа.

>
>>Переход на WPA2-Personal - чуть больше получаса.
>>
>
>Ну и поставь обновление ключей чаще чем в пол часа.

На каком кластере пробовали взламывать за пол-часа WPA2 ключи для Вашего шефа ?

>
>На каком кластере пробовали взламывать за пол-часа WPA2 ключи для Вашего шефа
>?

Да ещё с аутентикацией по MAC :)

>
>>
>>На каком кластере пробовали взламывать за пол-часа WPA2 ключи для Вашего шефа
>>?
>
>Да ещё с аутентикацией по MAC :)

и без dhcp ыы))) жесть)

>>
>>>
>>>На каком кластере пробовали взламывать за пол-часа WPA2 ключи для Вашего шефа
>>>?
>>
>>Да ещё с аутентикацией по MAC :)
>
>и без dhcp ыы))) жесть)

про dhcp не понял это вы к чему ?

>
>>
>>На каком кластере пробовали взламывать за пол-часа WPA2 ключи для Вашего шефа
>>?
>
>Да ещё с аутентикацией по MAC :)

В Интеренет много статей я нашел, в которых говориться, что MAC это вообще не проблема.
Т.е. контроль доступа по MAC. Просто ведь перехватывают анализируюит, меняют у себя MAC.

На счет кластера - не знаю

Все говрят что кластера - не понадобиться, обычный комп вполне, можно двух ядреный ноут, коих сейчас навалом

Кстати был недвано на семинаре D-Link

Я конечно понимаю что D-Link - это не в тему. Но парень - докладчик уверял, что безопасной сети которую нельзя было бы быстро взломать (в течении 1-2 часов) без Radius сервера - не бывает

Хотя он может быть не прав ;(

>[оверквотинг удален]
>• WPA2 – Enterprise
>• 64/128/152-bit WEP
>• SSID Broadcast Disable
>• Rogue AP Detection
>• MAC Address Access Control List
>• Isolated Security Setting for Each SSID
>
>Сейчас WPA-Personal
>Cipher-Type TKIP
>Такое чудо взламываеться в течении получаса.

  Что поделаешь слабенький протокол получился...
>Переход на WPA2-Personal - чуть больше получаса.

   А вот про это откуда у вас сведенья? Ведь там используется CCMP со стандартом шифрования AES
>WPA(WPA2)-Enterprise т.е. с использованием Radius сервера.

   Ну здесь можно наделать дифига, я обычно использую сертификаты...
  С другой стороны делать сетку открытой и между серваком и клиентом поднимать тоннель через точку доступа я не рискну...
>Слышал, что безопасные сети - не безопасны в принципе.

Но мы же используем интернет для связи офисов посредством VPN и тому подобного и ничего ...
  Сходи на www.ixbt.com/comm/prac-wpa-eap.shtml,  статья старая, 2005-2006 года, но ничего существенного не придумали...

Всем спасибо

Мой вывод:

С учетом количества нашего трафика изменим Group Key Update Interval, должно хватить значения установленного по умолчанию т.е. 1800 сек. или если первести в минуты, то 30 минут.

Соотвественно обезопасить себя от компьютеров с производительностью десктопа можно установив этот параметр в например 5 минут, меняющийся ключ раз в 300 сек анализировать бесполезно на обычных компах.

Конечно это защитит только от анализа трафика. ;(

Думаю нам вполне достаточно.
Времени заморачиваться дальше нет.

Windows Mobile - полная фигня. Особенно что касаеться настройки wi-fi.

Останавливаемся на WPA-Personal TKIP + Group Key Update Interval (300) + Mac Accept Filter