https://www.opennet.ru/openforum/vsluhforumID6/23410.html Здравствуйте уважаемый ALL!<br>Поставлена вроде бы простейшая задача, но не могу придумать её решения в одной железяке.<br>Есть один (!) клиент в офисе, который коннектится в локальную сеть не шнурком, а через вай-фай.<br>И всё бы ничего, да учитывая определенные нюансы нужно максимально секьюрить этот коннект.<br> На WPA2 особой надежды нету, из оборудования пока обычный роутер типа длинка 320-го.<br>Казалось бы, чего там - сейчас полно роутеров, поддерживающих VPN - ан-нет, VPN-то есть,<br> только для внешних клиентов, а у меня как раз самый, что ни на есть внутренний и доступ сразу в локальную сетку должен получать ибо она то проводом в длинку воткнута...<br>Иcкал среди Cisco Small Business продуктов, нашел в серии RV Series Routers - Cisco RV120W Wireless-N VPN Firewall<br>Подскажите граждане - сможет данный девайс решить вопрос?<br>Потом что пока придумал вариант из двух вот таких Cisco WRVS4400N Wireless-N Gigabit Security Router - VPN http://www.cisco.com/en/US/products/ps9931/index.html<br>На одну я коннекчусь чисто в ре https://www.opennet.ru/openforum/vsluhforumID6/23410.html#18 Fri, 03 Feb 2012 12:57:20 GMT &gt;[оверквотинг удален]<br>&gt; Конкретно же, по задаче - были применены WiFi c WPA и L2TP/IPSec. <br>&gt; Взломав ключ wifi, злоумышленник получает доступ во внутреннюю, немаршрутизируемую сетку <br>&gt; вида 10.0.0/24, а при условии аутентификации через L2TP/IPSec я получаю выход <br>&gt; с клиента на WAN, а в моем случае FE4 интерфейс с <br>&gt; настроенным на нём корпоративным IP и, соответственно, в корп. сеть. Lovely! <br>&gt; Впервые столкнулся с таким зверем - два ИОСа в одной железяке! Но <br>&gt; мне весьма понравилось. При стоимости б/у железяки в 300-400 USD весьма <br>&gt; неплохой вариант для обеспечения секьюрности вай-фай клиентов. Скажу честно - я <br>&gt; весьма доволен :) <br>&gt; Будут вопросы - пишите, готов поделиться тем, что знаю!<br><br>то есть поверх транспортной сети 10.0.0/24 Вы пустили ipsec/l2tp и клиенты коннектились к ip на FE4 и получали адрес из уже маршрутизируемой подсети?<br>А вы в метро чтоли сеть делали?<br>Я бы назвал это paranoid security)))<br>Но эт не в упрек)Интересно было почитать!<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/23410.html#17 Fri, 03 Feb 2012 12:24:21 GMT Спасибо всем участвовавшим здесь коллегам!<br>Задачу решил применением весьма интересного роутера С&#1110;sco 881w.<br>Под одной "крышей" в металлической коробочке меньше обычного 16-ти портового свитча в нём уживаются два девайса - роутер и точка доступа, причем каждый со своим собственным ИОСом!<br>Конкретно же, по задаче - были применены WiFi c WPA и L2TP/IPSec.<br>Взломав ключ wifi, злоумышленник получает доступ во внутреннюю, немаршрутизируемую сетку вида 10.0.0/24, а при условии аутентификации через L2TP/IPSec я получаю выход с клиента на WAN, а в моем случае FE4 интерфейс с настроенным на нём корпоративным IP и, соответственно, в корп. сеть. Lovely!<br>Впервые столкнулся с таким зверем - два ИОСа в одной железяке! Но мне весьма понравилось. При стоимости б/у железяки в 300-400 USD весьма неплохой вариант для обеспечения секьюрности вай-фай клиентов. Скажу честно - я весьма доволен :)<br>Будут вопросы - пишите, готов поделиться тем, что знаю!<br><br> <br> https://www.opennet.ru/openforum/vsluhforumID6/23410.html#16 Wed, 04 Jan 2012 15:42:15 GMT &gt; На WPA2 особой надежды нету<br><br>Для начала стоит обратить внимание сюда.<br>Стоит ли делать VPN, если можно железно обезопасить wifi?<br>Сам по себе wpa2 ломается только методом прямого перебора.<br><br>Для жутко-безопасного соединения по wifi достаточно (указываю названия опций):<br>- SSID не вещается - нужно настраивать вручную на клиентах(Hide SSID);<br>- авторизация wpa2, шифрование tkip+aes;<br>- пароль от 16 символов, включая маленькие, большие символы, цифры, и всякие !@#$%^;<br>- включить доступ только для указанных MAC адресов (MAC Access Control List);<br>- каждый час менять ключ шифрования (есть такая опция) (Network Key Rotation Interval);<br>- изолировать wifi-клиентов друг от друга (Set AP Isolated)<br>- заковыристые логин и пароль на веб-морду самого роутера;<br><br>При выполнении всех перечисленных пунктов, никто не пролезет в вашу wifi сеть извне.<br>Естественно, от физических, социальных и термо-ректальных способов не поможет даже vpn.<br><br>Названия опций взяты из веб-морды прошивки от Олега (d-link dir-320 + прошивка о https://www.opennet.ru/openforum/vsluhforumID6/23410.html#15 Tue, 03 Jan 2012 17:33:28 GMT http://fortinet-russia.ru/FortiGate/fortiwifi.php<br><br> https://www.opennet.ru/openforum/vsluhforumID6/23410.html#14 Thu, 29 Dec 2011 15:20:01 GMT <br>&gt; вот вам и АП и опенвпн и вапще все плюшки линукса. с <br>&gt; iptables и тд.<br>&gt; согласитесь цена dir-320 несколько разнится с cisco asa =))))) <br><br>Оно то да, только опять же есть нюансы. Это мне с вами нормально ребутнуть девайс если чего-то там зависло. А есть категория юзероф, с которыми недопустимы такие вещи.<br>И здесь 400 доляров абсолютно адекватная цена за стабильность работы и личное спокойствие.<br>Вопрос в другом - подходит оно таки или нет?..<br>Не будет ли нюансов с клиентской стороны? Вот здесь я не знаю - как на ASA vpn'ом коннектиццо. Могут ли быть какие-то потенциальные проблемы/нюансы в работе.<br>Была б возможность проверить, наврено и темы б не было... :)<br> https://www.opennet.ru/openforum/vsluhforumID6/23410.html#13 Thu, 29 Dec 2011 14:16:23 GMT &gt;[оверквотинг удален]<br>&gt; -&gt; Ethernet Switch (локалка).<br>&gt; На нетбуке установлена OpenBSD с OpenVPN. КЛиент коннектицца на wifi'ный адаптер на <br>&gt; нетбуке находящийся в режиме АР, далее, через опенВПН клиент получает уже <br>&gt; реальный айпишник и работает в сети.<br>&gt; С виду все красиво, но есть нюансы. С нетбуком беда приключилась, пришлось <br>&gt; на ноутбук поменять временно, что не есть правильно с точки зрения <br>&gt; подхода. Сетевыми вещами вообще должно заниматься сетевое железо и ПО. <br>&gt; Я так считаю. По сему и ищю девайсину описанную в первом <br>&gt; посте.<br>&gt; Круг замкнулся, пришли к началу ))) <br><br>опенвпн сервер может быть установлен в dir-320 если уж вам хочется девайсину.<br>вот вам и АП и опенвпн и вапще все плюшки линукса. с iptables и тд.<br>согласитесь цена dir-320 несколько разнится с cisco asa =)))))<br> https://www.opennet.ru/openforum/vsluhforumID6/23410.html#12 Thu, 29 Dec 2011 13:25:39 GMT &gt; тогда поставьте опенвпн сервер.<br>&gt; у того перца которому надо шифрование поставьте клиента) <br>&gt; вот вам и шифрование на сертификатах.<br>&gt; клиент будет видеть что установлено шифрованное соединение.. и оно действительно установлено.. <br>&gt; )) <br><br>Именно так и сделано. Клиент WiFi -&gt; нетбук с WiFi и Ethernet'ом -&gt; Ethernet Switch (локалка).<br>На нетбуке установлена OpenBSD с OpenVPN. КЛиент коннектицца на wifi'ный адаптер на нетбуке находящийся в режиме АР, далее, через опенВПН клиент получает уже реальный айпишник и работает в сети.<br>С виду все красиво, но есть нюансы. С нетбуком беда приключилась, пришлось на ноутбук поменять временно, что не есть правильно с точки зрения подхода. Сетевыми вещами вообще должно заниматься сетевое железо и ПО. Я так считаю. По сему и ищю девайсину описанную в первом посте. <br>Круг замкнулся, пришли к началу )))<br> https://www.opennet.ru/openforum/vsluhforumID6/23410.html#11 Thu, 29 Dec 2011 13:06:59 GMT &gt;[оверквотинг удален]<br>&gt; проще мне будет роутер цисковый взять какой-нить, хоть 2600 серии с <br>&gt; ИОСом с поддержкой crypto, да поставить в разрез между WiFi AP <br>&gt; и моей локалкой. ASA 5505 здесь выглядит предпочтительней, т.к. есть возможность <br>&gt; её взять до 400USD а на ней еще и езернет портов <br>&gt; есть, что мне и надо (3 порта воз раб.места этого самого <br>&gt; вифи клиента).<br>&gt; То есть какбы варианта у меня два или роутер или что-то типо <br>&gt; ASA.<br>&gt; Если я не прав - с удовольствием готов услышать о других вариантах <br>&gt; или поправках :) <br><br>тогда поставьте опенвпн сервер.<br>у того перца которому надо шифрование поставьте клиента)<br>вот вам и шифрование на сертификатах.<br><br>клиент будет видеть что установлено шифрованное соединение.. и оно действительно установлено.. ))<br> https://www.opennet.ru/openforum/vsluhforumID6/23410.html#10 Thu, 29 Dec 2011 11:18:05 GMT <br>&gt; я думаю вы не поняли что я описал.. цыска должна стоять не <br>&gt; между клиентом и вайфайкой...<br>&gt; а на рубеже DMZ.<br><br>Да примерно понял, только ни DMZ и этой самой цыски, которую я туда должен поставить у меня нет. И пожалуй чем так заморачиваться, проще мне будет роутер цисковый взять какой-нить, хоть 2600 серии с ИОСом с поддержкой crypto, да поставить в разрез между WiFi AP и моей локалкой. ASA 5505 здесь выглядит предпочтительней, т.к. есть возможность её взять до 400USD а на ней еще и езернет портов есть, что мне и надо (3 порта воз раб.места этого самого вифи клиента). <br>То есть какбы варианта у меня два или роутер или что-то типо ASA. <br>Если я не прав - с удовольствием готов услышать о других вариантах или поправках :)<br><br><br>