Wpa2 + надежный пароль + отключений wps на роутере. И беспроводная сеть отличается от проводной только более простым выводом из строя (глушилка действует дистанционно, а кабель перерезать надо лично).

Если с серваком работает 1.5 устройства, то можно ещё добавить фильтрацию по MAC.

В тегах openbsd, reverse engineering, asm и безопасность, ты меня удивил своей темой.
Я не эксперт в безопасности, но напишу.

доступ по wi-fi only

ssh в интернет не смотрит? Отлично!
Только надо кошерный пароль не менее 32 символов с хорошей энтропией, точка должна быть WPA2 с CCMP, без WPS и TKIP, скрытый SSID лишним не будет.
Если живёшь в месте где маргиналы собирают хендшейки отсылая пакеты deauth, то приготовь запасной способ доступа на сервер.

при помощи каких дополнительных средств можно повысить устойчивость к возможному взлому?

Мой подкроватный сервер:
grsecurity ядро, psad настроенный на дроп IP адреса который сделал 1 коннект на закрытый порт, /home /var /tmp примонтированы как nodev, nosuid,noexec, / смонтирован как ro, перемонтируется как rw только для установки обновлений, ssh port knocking, IDS, сообщения о сессиях и введёных командах на email, огороженные от юзеров интерпретаторы (кроме шелла) и тулчейн, софт смотрящий в сеть собран с -fstack-protector-all -fno-delete-null-pointer-checks -pie FORTIFY_SOURCE

Wpa2 + надежный пароль + отключений wps на роутере.

Плюс для входа на сам сервак нужна еще и аутентификация SSL/TLS по сертификату с ключевым файлом.

Wpa2 - это небезопасно, этот протокол только от мамкиных кульхацкеров защищает. У него нет защиты от «человека посередине» и от узнавания пароля через навязывание входа на другую точку доступа.

Только надо кошерный пароль не менее 32 символов с хорошей энтропией, точка должна быть WPA2 с CCMP, без WPS и TKIP, скрытый SSID лишним не будет. Если живёшь в месте где маргиналы собирают хендшейки отсылая пакеты deauth, то приготовь запасной способ доступа на сервер.

По большому счету, это все против мамкиных кульхацкеров, а не действительно хорошая защита. Интересно что в принципе разработчики WPA2 легко могли предусмотреть построение действительно надежного канала с невозможностью никак узнать пароль, хотя бы как опциональную фичу протокола, но не сделали.

Я о том, что они могли предусмотреть прописывание на клиенте и точке доступа пар ключей, примерно как это для SSH делается. И все, такое уже ни подобрать перебором, ни подмены никакие не устроить, а вход для пользователя был бы даже проще: не надо запоминать пароли или сохранять их на компе.

вход для пользователя был бы даже проще: не надо запоминать пароли или сохранять их на компе

Для пользователей набрать пароль «qwerty123» - уже непосильная задача.

По большому счету, это все против мамкиных кульхацкеров

Там, где нужна защита серьезнее, используется всякий WPA2-Enterprise. Дома вполне хватит хорошего пароля + скрытый SSID.

Для пользователей набрать пароль «qwerty123» - уже непосильная задача.

В том-то и дело, поэтому встречаются пароли из 8 единиц или qwert123 для WPA2. Ключи же уже могут быть прописаны заранее и они генерируются.

Там, где нужна защита серьезнее, используется всякий WPA2-Enterprise. Дома вполне хватит хорошего пароля + скрытый SSID.

Проблема в том, что решение для дома используют и «не для дома», потому что WPA2-Enterprise требует разворачивать инфраструктуру с RADIUS-сервером и слишком усложненными механизмами, в которых еще не факт, что нет ошибок.

А вот простого из коробки решения с ключами «для дома» и нет. То есть, это что-то вроде Enterprise, но в вырожденном варианте с проверкой ключей на самой точке и предварительной генерацией их как для SSH.

Ключи же уже могут быть прописаны заранее и они генерируются

Только средний пользователь не справится с такой «сложной» операцией.

Проблема в том, что решение для дома используют и «не для дома»

Это проблема уже тех, кто так делает. Если уж на то пошло - то Wi-Fi в принципе не безопасен, и если безопасность является критичным фактором - то провода во все поля. Предположим, что мнение смузиедов с гейбуками без Ethernet-разъёма тут никого не волнует.

Мне кажется, что меры, предлагаемые вами, уместны для защиты сервера с сверхценными данными (коды запуска стратегических ядерных ракет или что-нибудь подобное), но никак не для домашнего WiFi.
Пароль с 32 символами - это слишком много. Даже 12 чисел - значительная преграда для взломщика, не говоря уже о случайных символах. И это при условии, что атакующий знает структуру пароля. Зато пользователю набирать пароль из 32 символов - настоящее мучение. Скрытие SSID - бесполезная функция, носящая исключительно косметический характер. Для того, чтобы узнать SSID - достаточно провести deauth, а он и так будет произведен для получения handshake. Если атакующий использует средства для автоматизации взлома - он может даже и не заметить, что оказывается ломает точку с скрытым SSID.

Только средний пользователь не справится с такой «сложной» операцией.

С утилитой по типу «Next», «Next», «Ok» справится. Ну или для среднего пользователя о безопасности вообще не говорим. Он и пароль придумает из 8 единиц.

Если уж на то пошло - то Wi-Fi в принципе не безопасен, и если безопасность является критичным фактором - то провода во все поля.

Wi-Fi (вообще беспроводное соединение) можно сделать безопасным. Если захотеть этого. То что на практике оно или совсем не безопасное или ориентировано на корпоративное использование, усложненное и все-равно с сомнениями насчет безопасности - это уже вопрос по поводу компетенции или мотивации разработчиков протокола. Думаю, скорее мотивации.

Немного из другой темы, но хороший пример: UEFI/Secure Boot - задумано было для безопасности, но стараниями в основном Microsoft, превращено в кoзью мpду.

В тегах openbsd, reverse engineering, asm и безопасность, ты меня удивил своей темой.

Не вижу связи. Спросить никогда не лишне, тем более, что мне, как слегка повёрнутому на ИБ (в том смысле, что догадываюсь о реальной стоимости утечек, в которых цена усилий админов может быть копеечной) поперёк горла использование вафли. Это будет мой первый сервер без LAN. Если будет. Там походу стоимость проводов будет выше стоимости всего серверка.

Не предполагается, что серверок будет загружен чем-либо серьёзным, но это пока - обязательно возникает жгучее желание занять вычислительную мощность чем-либо ещё. Это как закон =)

За ответ - спасибо.

меры, предлагаемые вами, уместны для защиты сервера с сверхценными данными

Если сервер имеет маршрутизируемый IP адрес, то это не паранойя.
Не стоит забывать что весь земной шарик может постучаться домой, начиная от ботов и заканчивая нехорошими людьми с 0-day уязвимостями.
Безопасность не будет никогда лишней, настраивать всё это можно по гуглу если лень.

Зато пользователю набирать пароль из 32 символов

Я единственный пользователь, всё более чем в порядке.
Даже если бы были другие пользователи, сейчас OS запоминают пароль от Wi-Fi.

Любые личные данные могут быть сверхценными для человека. Так что всё верно. Лучше уж быть Неуловимым Джо. Для гостей некоторые производители роутеров предусмотрели такую йобу как «гостевая сеть». Вроде даже она как-то изолирована. Пришли к тебе гости - включил эту хрень - можно даже без пароля её забацать. Гости ушли - выключил нахрен.

просто оставлю это здесь

95% того что написали сверху это фуфло. Конкретное решение проблемы это wpa2 enterprise.

Нужно юзать wpa2 enterprise + выключить нахрен WPS + фильтрация mac адрессов + огромный пароль. Тогда 99.9% что тебя не взломают