LINUX.ORG.RU

Как обезопасить свою wifi-точку

 ,


1

2

У меня конкретно в последнее время стал подтупливать интернет. При чём только беспроводной.

Первое что пришло в голову - не я один пользуюсь им.

Решил создать эту тему, чтобы посоветоваться и поделиться методами защиты, которые я предпринял.

1. Поменял пароль (в случае с WPA чем длиннее - тем лучше)
2. Скрыл SSID
3. Поменял имя SSID
4. Авторизация WPA2-PSK (знаю что не самый лучший вариант, может лучше юзать mixed wpa2/wpa-psk?). Обязательное условие для меня - вход по паролю, ключи это очень сложно для новых девайсов (иногда приходят ко мне друзья).
5. WPA-Encription: TKIP+AES
6. Ну и одно из самых главных фишек для квартиры - поменял дальность действия wifi. Выставил со 100% в 60%. Со всеми закрытыми комнатными дверями в пределах квартиры вайфай тянет, но уже очень-очень слабо, а через соседские стены так вообще фиг пройдёт.

ЗЫ фильтрацию по макам не выставлял, потому что это школьничество, да и гемора много когда новые гости приходят.

А какие методы для защиты применяете вы?

UPDATE: да, логи роутера проверил и был замечен один левый MAC

★★★★★

Последнее исправление: soko1 (всего исправлений: 4)

Первое что пришло в голову - не я один пользуюсь им.

проверяется логами на ТД, если левых маков в моменты поддтупливания не обнаружишь, то всё в норме.

daemonpnz ★★★★★
()

Первое что пришло в голову - не я один пользуюсь им.

А посмотреть по сети\посмотреть dhcp\посомтреть активные маки была се судьба?

А какие методы для защиты применяете вы?

Я имею представления о том, как это всё работает.

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от Spirit_of_Stallman

А посмотреть по сети\посмотреть dhcp\посомтреть активные маки была се судьба?

Если я это опустил, это не значит что этого не было.

Я имею представления о том, как это всё работает.

С ЧСВ у тебя всё ок

soko1 ★★★★★
() автор топика
Последнее исправление: soko1 (всего исправлений: 1)
Ответ на: комментарий от soko1

Если я это опустил, это не значит что этого не было.

Если ты был достаточно компетентен - понимал бы, что на этот вопрос можно ответить только однозначно и без вариантов (кроме околосказочных).

С ЧСВ у вас всё ок

Вашими молитвами... вашими молитвами..

Spirit_of_Stallman ★★★
()
Последнее исправление: Spirit_of_Stallman (всего исправлений: 1)
Ответ на: комментарий от daemonpnz

Да ну, бред. А если мне комп влом включать? Или если в моё отсутствие кто-то приходит? Да и маки это не серьёзно, какой в них смысл, если можно просканить трафик и выудить адрес мака и потом выставить на своей карточке тот же самый?

soko1 ★★★★★
() автор топика
Ответ на: комментарий от Spirit_of_Stallman

Если ты был достаточно компетентен...

Если бы ты был достаточно компетентен и знал что-то чего не знаю я, то поделился бы этим, а не выпендривался. А так - дешёвые понты, имхо

soko1 ★★★★★
() автор топика
Ответ на: комментарий от daemonpnz

Почему бред? В пределах квартиры с закрытыми дверями всё ок. Зачем мне вайфай у соседей?

Ага, лишний замочек с которым возни больше, чем пользы. Никогда не любил эту лишнюю волокиту :)

soko1 ★★★★★
() автор топика

А какие методы для защиты применяете вы?

никаких специальных, все как обычно WPA2 и WEP (у меня две точки просто)

Black_Roland ★★★★
()
Ответ на: комментарий от soko1

Иссус его побери.
Что бы кто-то юзал твою вафлю, нужно что бы он получил айпишник.
Я прав? Прав.
Идём дальше. Ты мог послушать вайфай и посмотреть пакеты.
Ты скажешь «так хацкор то ведь мог ради моей безценной вафли использовать хитрую инкапсуляцию или простую подмену данных пакетов».
На что можно ответить о том, что и ребёнку понятно, что он обязан иметь уникальный индификатор, для возвращения пакетов, с твоего безценного вайфая, и всё бы упиралось только в ьтвою внимательность.
Да и не нужно иметь семь пядей во лбу, дабы зайти на роутер и посмотреть dhcp list.

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от soko1

Со всеми закрытыми дверями тянет, но уже очень-очень слабо, а через стены так вообще фиг пройдёт.

такда пиши па руски пажаласта, а то мая твая ни панимать, где кака стина и и каки двери у тибя закрыты.

daemonpnz ★★★★★
()

WPA2 и фильтрация по MAC-адресам.

Deathstalker ★★★★★
()

Я применяю подключение по кабелю.

KendovNorok
()
Ответ на: комментарий от Spirit_of_Stallman

Да что тебя зациклило так на проникновении? Я же сказал - моёй вафлей пользовались. А проверял я это или нет ты у меня даже не спросил, а самопроизвольно решил, что я лишь предположил такой вариант. Может опустим все эти подробности и будем писать по теме топика?

soko1 ★★★★★
() автор топика
Ответ на: комментарий от daemonpnz

При чём тут русский? Я же написал:

Почему бред? В пределах квартиры с закрытыми дверями [в комнатах] всё ок. Зачем мне вайфай у соседей?

Что тут может быть не понятно?

soko1 ★★★★★
() автор топика
  • зюзероутер
  • VPN с каким понравится шифрованием
  • никаких глупых мер защиты wifi (wep, wpa, hidden ssid...)
  • в iptables дропаем всё, что мимо VPN
  • ????
  • PROFIT
anonymous
()
Ответ на: комментарий от soko1

У меня конкретно в последнее время стал подтупливать интернет. При чём только беспроводной.

Первое что пришло в голову - не я один пользуюсь им.

Ох мать моя женщина.
Говорить по теме, после того как человек говорит «кто-то пользовал мой вайфай, и решил я так, потому что вафля начала подтупливать».

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от daemonpnz

Ты про s/дверями/дверьми/?

Учитывая что русский - не мой родной язык, мне простительно :) Но за замечание спсб конечно!

soko1 ★★★★★
() автор топика
Ответ на: комментарий от soko1

Там помимо орфографических ошибок. есть ошибки в составлении предложения, ибо из предложения в стартовом посте было совсем не понятно, что куда откуда и зачем у тебя закрывается и где у тебя потом сигнал норм работает, а где не работает.

daemonpnz ★★★★★
()
Ответ на: комментарий от Spirit_of_Stallman

А что тут странного? Когда у человека всё отл работает, то и в логи лезть не надо. Работало всё зашибок, вот я и не задумывался над тем, чтобы предположить что кто-то посторонний пользуется моим инетом. Как инет заглючил - полез в логи на 192.168.1.1 и предпринял действия. Странный ты :)

soko1 ★★★★★
() автор топика
Ответ на: комментарий от daemonpnz

Угу, реально с трудом можно понять про какие двери идёт речь) Спсб, исправил на:

6. Ну и одно из самых главных фишек для квартиры - поменял дальность действия wifi. Выставил со 100% в 60%. Со всеми закрытыми комнатными дверями в пределах квартиры вайфай тянет, но уже очень-очень слабо, а через соседские стены так вообще фиг пройдёт.

soko1 ★★★★★
() автор топика

Первое что пришло в голову - не я один пользуюсь им.

Проверял?

А какие методы для защиты применяете вы?

Пароль. 2+ года, никто не лезет.

Valkeru ★★★★
()

Судя по топику у тебя до сих пор пароль на admin (имя) стоит «admin». А если серьезно то тебе дело советовали - фильтрация по маку. Введи всех друзей и делов то.

nihil ★★★★★
()
Ответ на: комментарий от soko1

тянет, но уже очень-очень слабо

вот поэтому я тебе и сказал, что занижение мощности сигнала это баловство, потому что в пределах квартиры сигнал должен быть отличным и хорошим, а не так чтоб еле-еле тянуло.

daemonpnz ★★★★★
()
Последнее исправление: daemonpnz (всего исправлений: 1)

У меня кошка пользуется. Приходит и грызет, шикнешь - убегает.

anonymous
()
Ответ на: комментарий от nihil

Судя по топику у тебя до сих пор пароль на admin (имя) стоит «admin»

Откуда интересно такая уверенность? На админку у меня серьёзный пароль стоит и периодически меняется. В админку никто не лазил - 100%. Наверное ты просто никогда не прибегал к перебору пароля при WEP-шифровании, поэтому удивлён. На вот, почитай, если интересно.

Повторюсь: фильтрация по маку - школьничество. Это примерно тоже самое, что доверять свою безопасность айпишнику в локальной сети, который можно без проблем подменить. MAC-адрес легко сканится и одной командой меняется.

soko1 ★★★★★
() автор топика

ЗЫ фильтрацию по макам не выставлял, потому что это школьничество, да и гемора много когда новые гости приходят.

2. Скрыл SSID

А это значит не школьничество?

Авторизация WPA2-PSK

Для дома пойдет, только пароль почаще менять и всё.

Лучше всего ИМХО открытая сеть и vpn с нормальной авторизацией, ибо то что в стандартах вайфая заложено, дыряво в разной степени.

anonymous
()

Как обезопасить свою wifi-точку

ман клеткаОбои Фарадея. Поклеишь в квартире и красота :)

slackwarrior ★★★★★
()

иногда приходят ко мне друзья
Как обезопасить свою wifi-точку

о безопасности чего мы говорим? личных данных? они уже скомпрометированы

А какие методы для защиты применяете вы?

фильтр по маку, без пароля, без вообще какой либо другой авторизации.
просто фильтр по маку
cat /etc/hostapd/hostapd.conf

interface=wlan0
driver=nl80211
ssid=uberi_perforator_suka
country_code=RU
hw_mode=g
channel=11

ctrl_interface=/var/run/hostapd
ctrl_interface_group=users
auth_algs=1
ignore_broadcast_ssid=0

macaddr_acl=0
accept_mac_file=/etc/hostapd/accept

logger_syslog=1
logger_syslog_level=1
logger_stdout=1
logger_stdout_level=1

system-root ★★★★★
()
Ответ на: комментарий от anonymous

А это значит не школьничество?

Это тоже школьничество, но без доп. гемора: не надо лезть в настройки роутера, чтобы добавить новый девайс.

Для дома пойдет, только пароль почаще менять и всё.

Вот похоже это единственный нормальный вариант

Лучше всего ИМХО открытая сеть и vpn с нормальной авторизацией, ибо то что в стандартах вайфая заложено, дыряво в разной степени.

Это круто, но не практично. Например с Nook-читалки тогда уже в инет не залезишь. Для дома - излишество, имхо

soko1 ★★★★★
() автор топика

Ненужно с точки зрения безопасности: 2, 6

WPS естественно отключить ибо зачастую это самая действенная дырка, чтоб получить способ.

PS: ну и свинцовый тазик на голову, а то шапочка из фольги не так эффективна

fornlr ★★★★★
()
Ответ на: комментарий от soko1

Это круто, но не практично. Например с Nook-читалки тогда уже в инет не залезишь. Для дома - излишество, имхо

Для подобных «небезопасных» девайсов можно и вторую точку держать, которую включать по необходимости.

anonymous
()
Ответ на: комментарий от system-root

Да я уже устал повторять! Почитай 1-2 коммента выше и поставь шифрование, не тупи :)

soko1 ★★★★★
() автор топика
Ответ на: комментарий от fornlr

WPS естественно отключить ибо зачастую это самая действенная дырка, чтоб получить способ.

Во-во, иногда создается впечатление что ее специально для этого и придумали.

Но почти все сети в округе кроме моей имеют (WPS Available), а одна даже открытая видимо с филтьром по маку, не копал но на планшете случайно нажал на нее но подключится не смог.

anonymous
()
Ответ на: комментарий от kombrig

Вот за 25 символов респект. Мне так влом столько вводить. Лучше буду менять раз в 2 недели :)

soko1 ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Мне стыдно признаться, но я так и не нашёл где WPS отрубается (DSL-2640U).

ЗЫ если это тоже самое что и WSC, то у меня вырублено

soko1 ★★★★★
() автор топика
Последнее исправление: soko1 (всего исправлений: 2)
Ответ на: комментарий от kombrig

Ништяяк :) Каждый «парится» по своему :)

soko1 ★★★★★
() автор топика
Ответ на: комментарий от soko1

ты спросил кто как пользуется - я ответил.
в отличии от тебя у меня ни разу не было проблем с левыми маками или вообще левым доступом.
а ты наркоман если думаешь что 25 значный пароль будет вбивать ленка из 9го Б в свой айфон и более того, что после этого ты защищён сидя на длинковском роутере.

system-root ★★★★★
()
Ответ на: комментарий от system-root

ты спросил кто как пользуется - я ответил.

Так у меня претензий никаких нет. Я просто пояснил чем твой совет не эффективен

в отличии от тебя у меня ни разу не было проблем с левыми маками или вообще левым доступом.

Это вопрос времени и кол-ва прошаренных соседей

а ты наркоман если думаешь что 25 значный пароль будет вбивать ленка из 9го Б в свой айфон

Кто думает, я думаю? Вообще-то я наоборот написал, что мне влом создавать такие длинные пароли.

и более того, что после этого ты защищён сидя на длинковском роутере.

Поясни, плз. Просто если это то о чём я подумал, то и ты не защищён, если у тебя не опенсорсное железо (да и в этом случае всё возможно). Я уже молчу про разные скайпики с говнофлешами.

soko1 ★★★★★
() автор топика
Последнее исправление: soko1 (всего исправлений: 3)
Ответ на: комментарий от soko1

потому что раз в пол года всплывает критическая уязвимость, то шифрования, то ещё чего страшнее.
ты понятие не имеешь как именно сосед злоумышленник может получить рутовый доступ к роутеру чтоб скачать весь порноархив из расшариной в локалке директории.
и даже хуже, даже если ты узнаешь что можно забрутфорсить пароль к твоей точке за 12 часов - длинк не выпустит новую прошивку чтоб закрыть эту дыру, или выпустит - через 2 года.

system-root ★★★★★
()

потому что это школьничество

Ага, а 6 пунктов агонии вахтёрства - не школьничество?

У меня никаких щас, точка (а она даже и не точка) умеет только b/g, потому даже пофиг.

Kalashnikov ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.