Вопрос к компетентным камрадам

[techquisitor]

Кого не интересуют компьютеры и WiFi могут дальше не читать. :)

Одна контора хочет заказать у нас WiFi для своего офиса так как сових офисов у них нет, а в арендуемом они локалку проводить не хотят, из-за только что сделаного евроремонта и просто потому, что они будут потом снова искать себе офис.

В связи с чем возникает вопрос о безопасности использования оного. Кто что скажет по этому поводу? Если можно, то конкретные ссылки. Если нет - пишите тут. Также нужна информация, какие точки доступа лучше всего брать. Если можно, то в порядке убывания надёжности.

И второе (или третье?): какой софт треба для настройки и мониторинга этого барахла под Linux? Ну и вообще нюансы, подводные камни...

Comments

[dr-nicodimus.livejournal.com]

> В связи с чем возникает вопрос о безопасности использования оного.

Каковы требования к безопасности в данном офисе и что считается приемлемым риском ?

> Также нужна информация, какие точки доступа лучше всего брать.

Лучше те, на которых стоит Линукс или VxWorks. Они надежнее. Примеры - Linksys WRT54g, Belkin 54g WRT, различные Netgear ...
Cisco Aironet конечно хороши, но там - кусачие цены.

> какой софт треба для настройки и мониторинга этого барахла под Linux?

Настройки точки доступа или клиентских карточек, воткнутых в линуховые хосты ?

А мониторинг в условиях маленького офиса - это или постоянно открытый вебинтерфейс точки, или SNMP.

Ньюансов с точкой доступа особенно нет - установил нужные настройки и пользуйся. Вот в плане клиентских карточек под Linux - надо смотреть на их чипсет и выбирать оптимальные дрова. Под Виндой - смотреть, чтобы стояли дрова от производителя, а не какие-нибудь ее по умолчанию, помогает от многих геммороев. Ну и 2000 Винда требует запатчивания для нормального использования WPA.

[techquisitor.livejournal.com]

>Каковы требования к безопасности в данном офисе и что считается приемлемым риском ?
Вот с этим пока загвоздка. Уточню сегодня.

>Настройки точки доступа или клиентских карточек, воткнутых в линуховые хосты ?
И то и другое.

>А мониторинг в условиях маленького офиса - это или постоянно открытый вебинтерфейс точки, или SNMP.
Достаточно SNMP я так думаю.

И ещё вопрос, что можно сказать про клиентские карточки от D-Link? В плане безопасности, глючности и т.п?

[dr-nicodimus.livejournal.com]

> Вот с этим пока загвоздка. Уточню сегодня.

Ok. В целом, для небольшого офиса с недикими требованиями по безопасности сойдет и WPA-PSK при условии выбора хорошего PSK. Если требования довольно высокие, то прийдется ставить радиус и юзать WPA-Industrial. Дальнейший выбор уровня безопасности уже идет по типу EAP, при этом EAP-TLS - самый безопасный выбор, но на каждый клиентский хост нужон свой сертификат. Ну и ещё выбирать, насколько часто менять ключи, генерируемые радиусом. Обычный выбор - минут 15.

> И то и другое.

Точку доступа - фигня, её стандартный Гуй. А вот с клиентскими хостами сложнее, ибо от чипсета карточки зависит и у каждых дров свои особенности. В плане поддержки и работы с отдельными дровами/чипсетами советую посмотреть README у Девиновского Aircrack. Ещё полезно заглянуть на http://www.seattlewireless.net/index.cgi/HardwareComparison

> Достаточно SNMP я так думаю.

А какой уровень доверия внутренним юзерам ? Ибо SNMPv3 поддерживается далеко не везде и не всем :(

> И ещё вопрос, что можно сказать про клиентские карточки от D-Link? В плане безопасности, глючности и т.п?

Если юзать под Линухом, проверь, чтоб конкретные модели работали под Madwifi. А так, раз сертифицированы Wi-Fi Альянсом, значит поддерживают оба WPA и при правильной настройке проблем с безопасностью быть не должно. Особой глючности я за ними не замечал. Но неплохо было бы глянуть на их радиохарактеристики в плане насколько хороша мощность передачи и чувствительность на прием при разных скоростях и насколько это удовлетворяет требованиям прорабатываемой сетки. Если это один офис, то чем меньше мощность/ чувствительность - тем лучше, сигнал меньше видно снаружи. Если сетка массивна, или надо пробивать стенки, или высок уровень помех, тогда мощность нужна побольше. Обычно мы делаем site survey перед дизайном сетей, во время которого подобные проблемы и решаются.

[techquisitor.livejournal.com]

И ещё вопрос - что такое хороший PSK? По поводу шифрования что лучше всего почитать? И каковы его критерии?

Да, и узнал наконец, по поводу безопасности того офиса. Требования там в общем, не дикие. Возможно, предложенный здесь вариант и прокатит.

[techquisitor.livejournal.com]

Насчёт PSK разобрался. Отбой.

Да, забыл сказать по поводу SNMP - юзерам доступа туда не будет. Только двум админам. Мне и ещё одному товарищу.

[dr-nicodimus.livejournal.com]

> И ещё вопрос - что такое хороший PSK?

http://wifinetnews.com/archives/002452.html

В принципе, пароль как пароль, ничем от других в плане выбора не отличается.

> По поводу шифрования что лучше всего почитать? И каковы его критерии?

http://www.drizzle.com/~aboba/IEEE/

http://www.amazon.com/gp/product/0321136209/qid=1138735135/sr=8-1/ref=pd_bbs_1/102-0031533-8187347?n=507846&s=books&v=glance

Или нас :-))

> Возможно, предложенный здесь вариант и прокатит.

Прокатит, но PSK по словарю ломаться не должен.

[mutter-ff.livejournal.com]

приди в центр D-Link
они тебе предложат уже готовое решение как вариант или помогут спроектировать сеть под твои нужды. в случае необходимости одолжат оборудование для тестировании работоспособности сети и уже потом можешь покупать. вообщем даже все это бесплатно. и оборудование у них не плохое по соотношению цена качество.