Комментарии 25
Интересно, но хочется больше конкретики. В частности есть ли бюджетные решения, позволяющие «запретить DHCP-, DNS- и (за компанию) и ARP-ответы в беспроводной сети», да ещё заставляющие принимать пользовательское соглашение.
Любая нормальная реализация Captive Portal позволяет показать splah page и заставить пользователя ткнуть в галку.
По Captive portal можно начать с этого: wiki.openwrt.org/doc/howto/wireless.hotspot. Насчет фильтрования WLAN-WLAN в бюджетных решениях точно сказать не могу — не мой профиль, не сталкивался. Но наверняка что-то есть. Спецы по Open/DD-WRT и проч. — отзовитесь! В крайнем случае, запретить разговоры между клиентами можно почти всегда.
По Captive portal можно начать с этого: wiki.openwrt.org/doc/howto/wireless.hotspot. Насчет фильтрования WLAN-WLAN в бюджетных решениях точно сказать не могу — не мой профиль, не сталкивался. Но наверняка что-то есть. Спецы по Open/DD-WRT и проч. — отзовитесь! В крайнем случае, запретить разговоры между клиентами можно почти всегда.
MikroTik уважаю. RouterOS местами умеет то, чего не умеют некоторые Tier1 вендоры. Очень хороши как CPE. Некоторые на них провайдерские сети строят. Давно хотел себе взять, но если попытаться собрать достойную dual-radio точку доступа 2.4+5GHz (RB433/435 мать + 2xR52N-m + корпус + антенны = ) оказывается, что не так он и дешев… Да и взаимодействия между точками никакого.
А клиента защитит только его собственный VPN-сервер?
Я долгое время пользовался DNS 8.8.8.8, но потом отказался — слишком часто бывали проблемы с недоступностью сайтов, в частности, самого Гугла.
Я долгое время пользовался DNS 8.8.8.8, но потом отказался — слишком часто бывали проблемы с недоступностью сайтов, в частности, самого Гугла.
MiTM с DHCP и ARP спуфингом уже не особо взлетает. Зато остались еще более простые железобетонные способы харвестинга. Так что только VPN до доверенной сети, и всё.
Не совсем понял, почему злоумышленник остается безнаказанным, хотспот же распечатанный пароль к мак-адресу привязывает при первом подключении. Увидев такое в гостинице и обратившись к хозяину/менеджеру или кто там, можно узнать для кого был распечатан квиточек и сдать его в кутузку тут же. Разве нет?
Пароль один у всех.
А, ну это несерьезно. Зачем тогда вообще точку паролить, все равно, что секрет Полишинеля.
Я во Францию ездил, в отеле хотспот печатал одноразовые, как положено.
Я во Францию ездил, в отеле хотспот печатал одноразовые, как положено.
Чтобы случайные прохожие не подключались как минимум. По сути сети с PSK являются почти публичными, работают на доверии, для «своих», но возможности идентифицировать злоумышленника или хотя бы канал утечки не предоставляют.
Не знаю как во Франции, но в России те цены, что предлагают интеграторы, для малого гостиничного бизнеса неприемлемы. Знаю не понаслышке — у друга две мини-гостиницы. Думали над этим вопросом, обращались в несколько контор с просьбой выслать коммерческое предложение — PSK компромисс между безопасностью (вернее несанкционированным доступом к сети) и стоимостью её обеспечения.
Не знаю как во Франции, но в России те цены, что предлагают интеграторы, для малого гостиничного бизнеса неприемлемы. Знаю не понаслышке — у друга две мини-гостиницы. Думали над этим вопросом, обращались в несколько контор с просьбой выслать коммерческое предложение — PSK компромисс между безопасностью (вернее несанкционированным доступом к сети) и стоимостью её обеспечения.
Посмотрите на Ubiquiti UniFi. Достаточно интересное решение.
habrahabr.ru/company/comptek/blog/114722/
habrahabr.ru/company/comptek/blog/114722/
Я работаю с железом Motorola. Посмотрите, доступны ли вам точки AP-6511 или AP-6521. Сеть до 24х точек работает без контроллера (распределенный форвардинг, одна из точек — виртуальный контроллер) с хотспотами, радиусами, роумингом, согласованием покрытия и прочими плюшками (полноценный роутер, stateful FW, и даже небольшой IPS в комплекте). Несколько ограничена по гибкости, по сравнению с решениями на «полновесном» контроллере, но лучше, чем отдельно стоящие точки. Цена — подороже, чем SOHO, но подешевле чем Cisco & Co.
AP-6511 сделана в формате телефонной розетки — специально для гостиниц (там есть некоторые интересные нюансы с размещением точек в гостиницах). Ставится за 2 минуты. Я когда-то писал статью на эту тему пару лет назад, но не уверен, что она актуальна для Хабра. AP-6521 — то же железо, но в стандартном исполнении.
Есть еще более забавное решение, работающее по телефонной паре (если в гостинице есть только телефония): MC-802. По-сути точки и контроллер с VDSL, точка ставится вместо телефонной розетки, контроллер «интегрируется» на кросс АТС. Но, говорят, по лапше работает плохо — нужен хотя бы Cat3.
В США Motorola уже выпустила «cloud controller» — нужны только точки и содинение с Internet (при разрыве все работает, просто теряется интерфейс управления), но когда оно доползет до СНГ — ХЗ.
AP-6511 сделана в формате телефонной розетки — специально для гостиниц (там есть некоторые интересные нюансы с размещением точек в гостиницах). Ставится за 2 минуты. Я когда-то писал статью на эту тему пару лет назад, но не уверен, что она актуальна для Хабра. AP-6521 — то же железо, но в стандартном исполнении.
Есть еще более забавное решение, работающее по телефонной паре (если в гостинице есть только телефония): MC-802. По-сути точки и контроллер с VDSL, точка ставится вместо телефонной розетки, контроллер «интегрируется» на кросс АТС. Но, говорят, по лапше работает плохо — нужен хотя бы Cat3.
В США Motorola уже выпустила «cloud controller» — нужны только точки и содинение с Internet (при разрыве все работает, просто теряется интерфейс управления), но когда оно доползет до СНГ — ХЗ.
6511 по цене вроде доступно, 6521 в продаже за минуту не нашёл. Спасибо за наводку. Хотя оверхид налицо — сеть точек не нужна, одной вполне хватает, но нужен именно гибкий файервол для клиентов (часть wifi клиентов — доверенные девайсы, должные получать «root-доступ» к сети, а часть гостевые, которым нужен интернет и, иногда, возможность коннектиться между собой, броадкастинга им не нужно даже слышать).
Правильно. Безнаказанность рассматривалась в сценарии «один PSK на всех» (перечитайте), и именно как следствие рекомендовалось ввести Captive Portal, которого в гостинице не было.
Эта проблема так же актуальна и для проводных сетей. Кто-то (случайно, специально) может поднять второй DHCP сервер в вашей ЛВС. Вируса может и не закинут, но перебои со связью у отдельных клиентов наверняка будут (а что, если под раздачу попадет шеф?). Лечение: DHCP snooping.
По теме: у беспроводных контроллеров циско есть опция DHCP Address Assignment required. Она разрешает клиентский трафик только если клиент получил IP-адрес легитимно (у самого контроллера, либо через него). При получении адреса от «левого сервера» доступа просто не будет. Такая опция является рекомендованной именно для гостевых WLAN.
По теме: у беспроводных контроллеров циско есть опция DHCP Address Assignment required. Она разрешает клиентский трафик только если клиент получил IP-адрес легитимно (у самого контроллера, либо через него). При получении адреса от «левого сервера» доступа просто не будет. Такая опция является рекомендованной именно для гостевых WLAN.
Согласен про проводные сети.
А что подразумевается под «доступом» — точка будет дропать пакеты (WLAN-WLAN) или только трафик LAN-WLAN? Работает ли это с FlexConnect (H-REAP)?
Забавно, что сама Cisco рекомендует его отключать: «The DHCP required state can cause traffic to not be forwarded properly if a client is deauthenticated or removed. To overcome this problem, ensure that the DHCP required state is always disabled.» (WLC Configuration Guide 7.2). Вот тут читал, что возникают проблемы при роуминге (если клиент не делает renew). До сих пор так?
А что подразумевается под «доступом» — точка будет дропать пакеты (WLAN-WLAN) или только трафик LAN-WLAN? Работает ли это с FlexConnect (H-REAP)?
Забавно, что сама Cisco рекомендует его отключать: «The DHCP required state can cause traffic to not be forwarded properly if a client is deauthenticated or removed. To overcome this problem, ensure that the DHCP required state is always disabled.» (WLC Configuration Guide 7.2). Вот тут читал, что возникают проблемы при роуминге (если клиент не делает renew). До сих пор так?
Точка будет считать клиента не до конца подключившимся (внутренний стэйт: DHCP_REQD), и никакого трафика для него пропускать не будет. Для H-REAP, на сколько я знаю, тоже.
Сама циска рекомендует отключать эту фичу при использовании встроенного DHCP сервера (который отстоен); пользуйте внешний сервер (на сервере либо роутере). При роуминге проблемы были со старыми версиями прошивок контроллеров и WLAN телефонов, сейчас их починили.
Сама циска рекомендует отключать эту фичу при использовании встроенного DHCP сервера (который отстоен); пользуйте внешний сервер (на сервере либо роутере). При роуминге проблемы были со старыми версиями прошивок контроллеров и WLAN телефонов, сейчас их починили.
Был весной в командировке. Солидная гостиница. Халявный ваф-фай в баре, добивающий до моего второго этажа. И пароль на модем — admin. Как и имя входа…
Написал на бумажке
admin
admin
Попросил отдать местному компьютерщику, ответственному за инет.
За неделю так ничего и не поменялось…
Написал на бумажке
admin
admin
Попросил отдать местному компьютерщику, ответственному за инет.
За неделю так ничего и не поменялось…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Атака пользователей WLAN через rogue-сервисы, или почему PSK — не самый лучший выбор для гостиницы