ANTICHAT — форум по информационной безопасности, OSINT и технологиям

WPA2 (он же 802.11i). Есть два вида: Enterprise (для этого нужен отдельный RADIUS сервер) и Pre Shared Key (PSK - подходит для домашних сетей так как не требуется никаких серверов). Задаете пароль длиной от 8 до 63 символов и пользуетесь.

WEP уже давно надежным не считается.

Ну я использую WPA2-Personal.
С использованием TKIP+AES и паролем длиной 16 символов.
Плюс с доступом по MAC адресу
Какова вероятность его взлома?

Я знаю, что бы взломать такую защиту необходимо перехватить пакет который передается в сети только при подключении клиента к сети. То есть надо ждать пока клиент подключиться или деаутентифицировать его специально. Потом еще придется подбирать пароль по словарю, и если чесно, я даже не знаю где можно взять словари в которых будут пароли по 16 символов. Можно их конечно самому сгенерировать, но количестко комбинаций будет огромным.
Доступ по маку это тоже хорошо. Если ты так сильно переживаешь за свою сеть, то могу еще посоветовать снизить мощность сигнала на точке доступа, чтобы ее не было видно за стенами помещения и скрыть SSID. Ну, в общем стандартный набор, ничего нового.

SSID у меня скрыт постоянно. Сигнал дальше моей квартиры почти не уходит

Вообще в идеале конечно же WPA2 (или стандарт 801.11i) – это финальный вариант стандарта безопасности беспроводных сетей. В качестве основного шифра был выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также как и в WPA, в WPA2 есть два варианта аутентификации WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом.

А вообще для большей безопасности:
- Отключение широковещательной рассылки ESSID
- Фильтрация MAC-адресов

В первом случае точка доступа не передаёт в открытую свой ESSID. Для подключения к такой сети нужно знать её ESSID. Если не знаешь – то подключиться не можешь. Во втором случае возможны три варианта конфигурации.
1. Точка доступа принимает соединения во всеми беспроводными устройствами, вне зависимости от их MAC-адреса.
2. Точка доступа НЕ принимает соединения с беспроводными устройствами, MAC-адреса которых заданы в списке на самом устройстве. Все остальные устройства МОГУТ подключаться.
3. Точка доступа принимает соединения ТОЛЬКО с теми устройствами, MAC-адреса которых заданы в списке на точке доступа. Все остальные устройства НЕ МОГУТ подключаться.

И в итоге - шифрование WPA2, отключение широковещательной рассылки ESSID, и фильтрация MAC-адресов по третьему пункту.

Ну, осталось тебе только систему обнаружения вторжений поставить IDS и злобным вардрайверам вобще деваться некуда

"Спрятанный" SSID лишь дополнение к защите от дурака, чтоб не долбились блондинки c розовых ноутов, да не дергали точку все подряд, но не более.
Странно вот почему китайцы не докнокали до того чтоб воткнуть хыть в одну свою даже самую дорогую но всё же SOHO (домашне-офисный ширпотреб) поделку хотябы простейший радиус-сервачек, для параноиков
Всяки глючные VPN-сервера, USB, кастрированные Самбы, мульти-SSID и т.п. хлам впихивают влёт, попутно ужирняя цветастые кнопочки и без того тормознутых веб-интерфейсов... а вот серверная часть радиуса в этом классе оборудования прям в тотальном игноре. Создал бы акаунты в базе радиуса прям на роутере, и порядок

Ну, блондинок как раз можно пустить и одарить халявным инетом)

Хм, я об этом никогда не задумывался. Может на то есть причина? Допустим, когда сервер и АР независимы друг от друга, то это как то повышает безопасность? (как то по детски сказал, надо еще раз детально изучить все про аутентификацию на RADIUS)