Wracając sobie z pracy i bawiąc się telefonem z wifi naszło mnie zapytanie "Jak wygląda zabezpieczenie rozległej sieci wifi przy użyciu tomato". Mając na myśli "rozległej" uznałem sieć z minimum 20 użytkownikami, każdy użytkownik ma około 2 urządzeń które będą chciały korzystać z wifi (np. laptop + telefon), z zasięgiem około 1,5 km od stacji bazowej.
Na starcie w tomato mamy dostępne następujące możliwości
- filtrowanie mac (proste, ale praktycznie mało skuteczne zabezpieczenie, uciążliwe w korzystaniu dla admina)
- ukrycie SSID (w sumie takie zabezpieczenie, że go nie ma a tylko zachęca do ataku ze strony intruza)
- WEP (kilkanaście haseł generowanych z klucza 64bit bądź 128 bit praktycznie nie spotykane bo dość słabe)
- WPA (personal czyli jedno hasło dla wszystkich; enterprise hasełko + odesłanie do serwera radius)
- WPA2 (podobnie jak WPA tylko nieco lepiej)
- Radius (baza danych która zawiera przydzielone hasło i login dla użytkownika, dodatkowo można wzmocnić współdzielonym hasłem, klient się "wdzwania")
Biorąc pod uwagę wygodę użytkownika i admina można z tego zestawu wybrać WPA/WPA2 z hasełkiem wspólnym. Problem się pojawia gdy któryś z użytkowników poda hasło osobie postronnej dzięki czemu "intruz" sam sobie wejdzie. Można oczywiście zastosować filtrowanie mac, ale tu pojawia się problem wygody normalnego użytkownika który np dostał nowy tel z wifi czy psp i chce zrobić aktualizację oprogramowania via net - grzecznie człapać do admina z numerkiem MAC sprzętu, wbić do bazy i jedziemy dalej. Inną kwestią jest rzekomy spadek wydajności sieci bezprzewodowej.
Z drugiej strony stoi możliwość zastosowania serwera radius czyli Remote Authentication Dial-In User . Jak sama nazwa wskazuje jest to rozwiązanie polegające na (w pewnym stopniu) wdzwanianiu się użytkownika do sieci bezprzewodowej. Klient podaje swoje hasło i login, dalej dane są przesyłane do serwera radius który sprawdza poprawność podanych danych oraz mac. Jeżeli jest wszystko poprawnie to wpuszcza do sieci. Problem w tym, że tomato nie posiada własnego serwera radius tylko umożliwia odesłanie do zewnętrznego. Owszem można zastosować optware i freeradius, ale wiąże się to z korzystaniem z dysku i (póki co) nie znalazłem sensownego opisu jak to zrobić.
A jak byście zabezpieczyli taką sieć mając na względzie wygodę użytkowników oraz ich bezpieczeństwo?? Zapraszam do dyskusji
siec APkow na microtikach. polaczenie 5GHz miedzy klientami a baza. oczywiscie szyfrowanie. ukrywanie ssid jest bez sensu. tak jak piszesz nie dosc ze zacheca pseudohakerow to jeszcze pogarsza zasieg wifi. przydzial transferu lacza oraz ograniczenia na p2p na microtiku klienta. od microtika idzie skretka do klienta i dalej juz klient robi sobie co chce. ty udostepniasz neta na mac microtika klienta.
plusy:
- prostota i bezpieczenstwo
- klient nie musi znac hasel ani sie uwierzytelniac
- stacje klienckie na microtiku juz nie sa takie drogie.
- klient nie marudzi ci gdy zmieni kompa (zmieni mu sie mac) lub chce wstawic sobie router.
Co do tomato pamietaj ze nie jest to jakis super potezny soft i jak kazdy ma swoje ograniczenia. Nie wyobrazam sobie w dobie obecnych predkosci neta dzielic na 20tu userow lacza typu 2-4-6mbps (na klienta) na tomato. Chcesz cos zrobic porządnie to zastosuj porządny sprzet
Router:Unifi Cloud Gateway Fiber Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
Sytuacji opisanej nie praktykuję, ale interesuje mnie taka sytuacja. Jak zabezpieczyć taką sieć.
Ciekawą rzecz znalazłem w AP Edimax - w standardzie jest tam dostępny serwer radius (wbudowany a nie przekierowanie na zewnątrz!), można dodać do 96 użytkowników i po sprawie. Aż dziwne, że w pomidorku nie jest to standardem.
Zawsze mozesz do WRT zrobic sdmod'a i na karcie postawic opt i freeradius'a Bedziesz mial tanio, ale tak jak shibby napisal; 20 klientow na tym sprzecie to troche duzo, choc nie mowie, ze nie bedzie dzialac
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON Zotac HD-ID11 (ION2),
· Łącznie użytkowników: 24,126 · Najnowszy użytkownik: goldi111
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
15-05-2025 19:35
witam! było coś gdzieś o obsłudze asus mesh w tomato moze? chętnie bym przetestował u rodziców
servee
24-01-2025 18:18
Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?
shibby
17-01-2025 07:45
a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer y zewn? Jak tak to jego też przez zabezpieczenie podepnij.
shibby
17-01-2025 07:43
no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.
servee
12-01-2025 12:52
Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?
dawidt
21-12-2024 01:09
siema
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
' target='_blank'>Link
Bedziesz mial tanio, ale tak jak shibby napisal; 20 klientow na tym sprzecie to troche duzo, choc nie mowie, ze nie bedzie dzialac 