שלום לכולם.
יש לי רשת אלחוטית שכל הזמן נפרצת ע"י משתמשים אחרים, עד היום השתמשתי בחסימת WEP
עברתי עכשיו לחסימת WPA2-PSK
עכשיו עולה השאלה האם זה מספיק?
שמעתי שיש אופציה לחסום את הרשת למספר משתמשים מוגבל - לפי מספר MAC יש ברשותי רק 2 מחשבים כך שלא מפריע לי למצוא את מספרי הMAC.
השאלות הם: האם זה יותר חזק מהסיסמא הקיימת?
אם יש לי אייפון האם אוכל לעשות שהוא גם יתחבר?

תודה.

חפש בממשק הנתב שלך (בד"כ תחת Advanced) מה שנקרא MAC Filtering. זה מה שאתה מחפש. שם תזין את כל ה MAC-ים של כל המכשירים שלך (וגם של האיי-דרעק), ואז תסמן את האפשרות לאפשר רק ל MAC-ים שברשימה להתחבר.

כל אמצעי הגנה בדרך, הוא טוב. כמובן ששימוש ב WPA2-PSK לא יועיל אם הסיסמא שלך היא 12345. צור סיסמא מסובכת. משהו כמו gef7gh034hg70307 ...

נמאס לכם לזכור סיסמאות? לחצו כאן!

מי שיצליח לפרוץ WPA2, לא תהיה בעיה בשבילו לזייף MAC

בדרך עקיפה או שאתה מתכוון שהוא ישיג את ה-mac דרך הרשת האלחוטית ?

באמצעות האזנה לרשת האלחוטית
כתובת MAC משודרת ברמה 2 ומכיוון שכך אין אפשרות להצפין אותה.
כאשר אדם ינסה לפרוץ לרשת הוא יאסוף פאקטים שמשודרים ומוצפנים ולכל פאקט יהיה פתיח עם הMAC

אז בכדי להבין, יש עדיפות לחסימת WPA2 מאשר לחסימת MAC? מספר MAC אפשר "לזייף" ע"י תוכנה יותר פשוטה מאשר לפרוץ את הסיסמא, לא?
שנית, איך אני מוצא את הMAC של האיי פון שלי?

פשוט תתחבר אל הרשת שלך ואתה תמצא את ה MAC שלו בראוטר, בדר"כ בעמוד ה DHCP clients.

Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. -Rick Cook

WPA2 זאת הצפנה, ולא חסימה.
וכן יש עדיפות לשים קודם כל אותה במקרה שכל המכשירים תומכים.

ותוכל למצא אותו גם ב DHCP של הראוטר CLINT LIST

ניב שלום

אני נתקל במצב דומה . אני מעניין לאפשר גישה לרשת רק למחשבים ששיכים לארגון שלי.
תוכל להציע לי משהו יותר מאובטח ?


דרך אגב כל הAP מחוברים לcisco 1811 יש אפשרות לעשות את זה בצורה מאובטחת יותר דרך הסיסקו ?

תודה על העזרה.

אתה יכול להתחיל בלא לתת את מפתח ה WPA למחשבים שלא שייכים לארגון שלך

אם אתה תגיד שאתה לא יכול לשלוט על זה, אז זו הבעייה שלך, ו MAC Filtering לא יעזור לך נגד עובדים שעוברים על חוקי הארגון. עובד שמפר את מדיניות הארגון, יש להעיף.

נמאס לכם לזכור סיסמאות? לחצו כאן!

בתחילת האשכול כבר התלוננו ש WPA לא מאובטח מספיק ושכל הזמן פורצים את זה .
אני לא מעוניין לחסום את הגישה לרשת על ידי קוד כלשהוא כיוון שהמחשבים שמתחברים לרשת הזו מריצים בדיקות ואני לא יכול לבקש מהם באמצע הבדיקה את הקוד (יש בדיקות שמאתחלות את המחשב או תהליכים במחשב ומתחברים שוב . או מתנתקים ומתחברים עשרות פעמים ) אז אני מעוניין ברשת פתוחה אבל כדי להתחבר לרשת אני רוצה שתהיה חסימה כלשהיא רק למחשבים של הארגון ...

יש אפשרות שהסיסקו הראשי שמחבר בין כל הAP יעשה את הבדיקה והחסימה ?
המחשבים הם בעלי BUILD של הארגון . אז אולי אני יכול להגדיר בסיסקו תהליך שיזהה את המחשבים של הארגון ?

מדובר, לרוב, על WEP שפורצים אליו (תוך כ 90 שניות), לא על WPA2...

כפי שכבר אמרו, MAC אפשר לזייף.

לא יודע מה זה "BUILD של הארגון". שים הצפנת WPA2 טובה. עדיף WPA2-Enterprise. וודא שאתם מכניס אנשים לקבוצת המורשים בשרת ה RADIUS שבו תשתמש (בשביל ה WPA2-Enterprise שלך) רק אם הם באמת צריכים גישה דרך WiFi. תשתמש במדיניות שכופה החלפת סיסמאות למשתמשים שלך פעם בחודש/חודשיים/שלושה.

ד"א - לעשות בדיקות ע"ג WiFi נשמע לי קצת הזוי [אלא אם כן החברה שלך מייצרת מוצרי WiFi...]. במסמכי הבדיקה שלכם אתם מוסיפים סעיף "אקראיות / הפרעות מהשכנים" ???

בכלל הקונספט של לעשות בדיקות על רשת ה production של החברה, נשמע לי הזוי. רשת בדיקות צריכה להיות נפרדת, לא תלויה, וגם לא בעלת יכולת גישה לרשת ה production.

נמאס לכם לזכור סיסמאות? לחצו כאן!

build של הארגון זה התקנה שהארגון מכין "מסכה" של כל התוכנות והדריברים שצריך ושל מערכות ההפעלה שהוא צריך ואז מלבישים את ה"מסכה" על המחשבים.
המסכות נמצאות על שרת כלשהוא וכל פעם אתה מתקין את ה"מסכה" שצריך בהתאם לדרישות הלקוח. ככה מתקינים את המחשב בפעם אחת ולא בחלקים...

תוכל להסביר בבקשה מה העקרון ב WPA2-Enterprise ו שרת ה RADIUS . לא הצלחתי להבין בדיוק איך זה עובד וכמה זה מאובטח.

אחד הפיתוחים של החברה הוא מוצרי WiFi , ואני אחראי על הקמת ותחזוק הרשתות.

"בכלל הקונספט של לעשות בדיקות על רשת ה production של החברה, נשמע לי הזוי. רשת בדיקות צריכה להיות נפרדת, לא תלויה, וגם לא בעלת יכולת גישה לרשת ה production"

התכנון הראשוני היה שהיא תהיה מבודדת לחלוטין , אבל אז עלה הצורך לגשת לשרתים מסוימים בארגון למטרות נקודתיות, לכן אני רוצה לחסום את אלה שהם לא מהארגון. אני לא מעוניין לחסום את הגישה לרשת על ידי קוד כלשהוא כיוון שהמחשבים שמתחברים לרשת הזו מריצים בדיקות ואני לא יכול לבקש מהם באמצע הבדיקה את הקוד (יש בדיקות שמאתחלות את המחשב או תהליכים במחשב ומתחברים שוב . או מתנתקים ומתחברים עשרות פעמים ) אז אני מעוניין ברשת פתוחה אבל כדי להתחבר לרשת אני רוצה שתהיה חסימה כלשהיא רק למחשבים שאינם של הארגון ...

אם אני לא ימצא פתרון ראוי , אני יצור VLAN חדש ברשת הארגון שאליה יתחברו הAP ואז אני יחסום בFIREWALL כל תעבורת מידע פרט לשרתים הספציפים שהלקוחות ביקשו ומספרי הפורט הסצפציפים בהם התוכנות משתמשות.
אני אודה לך לפתרון יעיל יותר .
תודה מראש

למען יבינו אותך בעתיד, קוראים לזה image, לא build. במילה build משתמשים בהקשר של הידור גירסא של מוצר תוכנה...

העיקרון של WPA2-Enterprise הוא שכדי לגשת לרשת ה WiFi, המשתמש צריך לעבור אימות דרך שרת ה RADIUS. שרת ה RADIUS יכול לבחור מספר אלמנטים לשם כך. הוא יכול לעשות אפילו two-factor authentication אם אתה רוצה (מכיר את התקני הסיסמא המתחלפת כל 60 שניות של RSA? אז משהו כזה בנוסף לסיסמא הרגילה).

אתה יכול לעשות אימות מול מערכת ניהול המשתמשים שלך (תהא AD/LDAP/NIS או whatever...), ושרת ה RADIUS יחליט אם לאשר כניסה או לא. הוא גם יאפשר לך בקרה על מי עושה מה, כי זה חלק מהרעיון שלו. ושינוי סיסמאות של המשתמשים בכל זמן מה, ימנע נסיונות BF שלוקחים הרבה זמן מחד, וימנע מעובדים שעזבו את החברה והצליחו לעשות את זה כשברשותם ידע על משתמשים אחרים, להיות בעל מידע יעיל לכניסה לרשת לאורך זמן...

לעומת זאת, מפתח סטטי הוא הרבה יותר בעייתי. כל שצריך לעשות זה "להעלים" לפטופ של החברה, ויש לפורץ את המפתח שלך, שאתה לא תשנה אף פעם...

אתה כן צריך לחסום את הרשת "עם קוד כלשהוא", למרות שאתה חוזר ואומר שלא. אני לא מבין למה אתה חושב שהם יצטרכו להקליד את הקוד "באמצע הבדיקה". אתחול מחשב לא אמור לבקש את הסיסמא שוב... לא אם מסמנים את אפשרות זכירת הסיסמא בכל אופן.

ד"א - RADIUS מאפשר לך, גם, בהתאם למשתמש ו/או קבוצתו, להחליט מאיזה pool של כתובות הוא יקבל IP. כמובן שה AP צריך לתמוך בזה.

אשר ל VLAN - זה רעיון טוב באופן כללי. כדאי שתעשה אותו בכל מקרה. ככל שיש יותר רמות של אבטחה, הסיכונים יורדים.

אשר לאיך להתחיל להריץ שרת RADIUS, אולי כדאי שתשקול appliance-תוכנתי כגון zeroshell ...

נמאס לכם לזכור סיסמאות? לחצו כאן!

שימי, תודה רבה על העזרה .אני בהחלט יאמץ את הרעיון.

zeroshell לא תומך ב 802.11n התקן שאני עובד איתו , אני יחפש appliance-תוכנתי שכן תומך.

שוב תודה.