Wracając sobie z pracy i bawiąc się telefonem z wifi naszło mnie zapytanie "Jak wygląda zabezpieczenie rozległej sieci wifi przy użyciu tomato". Mając na myśli "rozległej" uznałem sieć z minimum 20 użytkownikami, każdy użytkownik ma około 2 urządzeń które będą chciały korzystać z wifi (np. laptop + telefon), z zasięgiem około 1,5 km od stacji bazowej.
Na starcie w tomato mamy dostępne następujące możliwości
- filtrowanie mac (proste, ale praktycznie mało skuteczne zabezpieczenie, uciążliwe w korzystaniu dla admina)
- ukrycie SSID (w sumie takie zabezpieczenie, że go nie ma a tylko zachęca do ataku ze strony intruza)
- WEP (kilkanaście haseł generowanych z klucza 64bit bądź 128 bit praktycznie nie spotykane bo dość słabe)
- WPA (personal czyli jedno hasło dla wszystkich; enterprise hasełko + odesłanie do serwera radius)
- WPA2 (podobnie jak WPA tylko nieco lepiej)
- Radius (baza danych która zawiera przydzielone hasło i login dla użytkownika, dodatkowo można wzmocnić współdzielonym hasłem, klient się "wdzwania")
Biorąc pod uwagę wygodę użytkownika i admina można z tego zestawu wybrać WPA/WPA2 z hasełkiem wspólnym. Problem się pojawia gdy któryś z użytkowników poda hasło osobie postronnej dzięki czemu "intruz" sam sobie wejdzie. Można oczywiście zastosować filtrowanie mac, ale tu pojawia się problem wygody normalnego użytkownika który np dostał nowy tel z wifi czy psp i chce zrobić aktualizację oprogramowania via net - grzecznie człapać do admina z numerkiem MAC sprzętu, wbić do bazy i jedziemy dalej. Inną kwestią jest rzekomy spadek wydajności sieci bezprzewodowej.
Z drugiej strony stoi możliwość zastosowania serwera radius czyli Remote Authentication Dial-In User . Jak sama nazwa wskazuje jest to rozwiązanie polegające na (w pewnym stopniu) wdzwanianiu się użytkownika do sieci bezprzewodowej. Klient podaje swoje hasło i login, dalej dane są przesyłane do serwera radius który sprawdza poprawność podanych danych oraz mac. Jeżeli jest wszystko poprawnie to wpuszcza do sieci. Problem w tym, że tomato nie posiada własnego serwera radius tylko umożliwia odesłanie do zewnętrznego. Owszem można zastosować optware i freeradius, ale wiąże się to z korzystaniem z dysku i (póki co) nie znalazłem sensownego opisu jak to zrobić.
A jak byście zabezpieczyli taką sieć mając na względzie wygodę użytkowników oraz ich bezpieczeństwo?? Zapraszam do dyskusji
siec APkow na microtikach. polaczenie 5GHz miedzy klientami a baza. oczywiscie szyfrowanie. ukrywanie ssid jest bez sensu. tak jak piszesz nie dosc ze zacheca pseudohakerow to jeszcze pogarsza zasieg wifi. przydzial transferu lacza oraz ograniczenia na p2p na microtiku klienta. od microtika idzie skretka do klienta i dalej juz klient robi sobie co chce. ty udostepniasz neta na mac microtika klienta.
plusy:
- prostota i bezpieczenstwo
- klient nie musi znac hasel ani sie uwierzytelniac
- stacje klienckie na microtiku juz nie sa takie drogie.
- klient nie marudzi ci gdy zmieni kompa (zmieni mu sie mac) lub chce wstawic sobie router.
Co do tomato pamietaj ze nie jest to jakis super potezny soft i jak kazdy ma swoje ograniczenia. Nie wyobrazam sobie w dobie obecnych predkosci neta dzielic na 20tu userow lacza typu 2-4-6mbps (na klienta) na tomato. Chcesz cos zrobic porządnie to zastosuj porządny sprzet
Router:Unifi Cloud Gateway Max Switch:Netgear MS510TXPP Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+ VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
Sytuacji opisanej nie praktykuję, ale interesuje mnie taka sytuacja. Jak zabezpieczyć taką sieć.
Ciekawą rzecz znalazłem w AP Edimax - w standardzie jest tam dostępny serwer radius (wbudowany a nie przekierowanie na zewnątrz!), można dodać do 96 użytkowników i po sprawie. Aż dziwne, że w pomidorku nie jest to standardem.
Zawsze mozesz do WRT zrobic sdmod'a i na karcie postawic opt i freeradius'a Bedziesz mial tanio, ale tak jak shibby napisal; 20 klientow na tym sprzecie to troche duzo, choc nie mowie, ze nie bedzie dzialac
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON Zotac HD-ID11 (ION2),
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
Bedziesz mial tanio, ale tak jak shibby napisal; 20 klientow na tym sprzecie to troche duzo, choc nie mowie, ze nie bedzie dzialac 