na vzdálenost v přímé viditelnosti vyhoví na 30m naprosto dostatečně anténky dodávané se zařízením. Malé "pendreky" obsahují dipolovou úpravu konce kabelu a umožňují spojení až na 400 metrů.
pri pouziti prilozenych vsesmerovych pendreku by byl signal vsude kolem budov a tudiz:
1. odposlouchatelny... stenice...
2. zneuzitelny... utoky...
3. cerny pasazer...
4. zbytecne zaruseni prostoru
G pasmo 54Mbps (signal zabira 3 kanaly) na 30m ok ale pri 300m uz pouzit aspon plechovky 8dBi s trychtyrem 15dBi (zuzuje uhel) pac kdo skousel toto G pasmo tak vi jak pri pouziti meneziskovych ant pod 15dBi rychlost klesa jaxvine!
Ono pri pouziti jinych anten nez tech pendreku to budes mit stejne hodne okolo. Takze bezpecnost antenou proste nevyresis. Na tech 30m bych tam taky nechal ty pendreky, maximalne bych k tomu pridal tu parabolku co je tu na ni nekde odkaz v Hardwaru. Tim se alespon trochu snizi vyzarovani na druhou stranu.
Pro zabezpeceni muzes pouzit 256bit WEP + MAC policy v bridge modu a pripadne obcas zmenit klic. V tomto pripade musi utocnik podstrcit jine AP v bridge modu se zmenenou MAC adresou a jeste k tomu lamat 256bit WEP.
Ostatni veci, jako je WPA, RADIUS atd. funguji jen v rezimu AP - klient. VPN, IPSec a podobne kravinky co ten d-link umi jsou k dispozici jen na vytvoreni tunelu z WAN portu toho zarizeni do internetu, takze k zabezpeceni wifi casti nepouzitelne. A ty d-linky co jsis vybral jsou nevhodne protoze pokud das dve dwl-2000AP v bridge modu tak nemas NAT, FW a podobne - tudis potrebujes jeste GW. A pokud si vyberes na jednu stranu DI-624 a na druhou DWL-2000 tak sice mas NAT atd, ale DI-624 zase neumi bridge mod - tudiz bys musel mit 624 jako AP a 2000 jako klienta coz zase dela problemy pri pripojeni vice "pevnych" klientu k tomu DWL-2000.
Pouzil bych treba velmi popularni ASUS WL-500g na jedne strane v rezimu GW a modu WDS only /pripadne WDS hybrid pokud bys chtel i nejake wifi klienty/ a na druhe strane to same v rezimu AP a opet WDS only. Zabezpeceni to same jako v predchazejicim pripade, s tim ze umi jen 128bit WEP. Umi to i ruzne nastaveni FW mezi WAN-LAN-WLAN.
Me to jede takhle v prumeru okolo 12,5Mbit/s skrz dve zdi s dverma na vzdalenost cca 25m.
Pise se ze pri odchyceni 5-7mi milionu paketu je 60 procentni sance na prolomeni klice a 99 procentni pri 15 milionech paketu. Jinde udavaji 100MB az 1GB dat. Zalezi proste na velikosti paketu.
Nejak bych to s tim neprehanel a udelal proste zakladni veci:
vypnout SSID broadcast
zmenit SSID z defaultniho
zavest MAC policy
zvolit 128bit WEP klic nesnadno odhalitelny pomoci slovnikoveho, nebo vubec brutal utoku /v pripade pouziti passphrase/
snizit vykon na nutne minimum pro bezproblemovy provoz
nastavit filtraci IP adres ktere muzou pristoupit z toho WLAN spoje
nepouzivat DHCP
zmenit administratorska hesla WIFI prvku
pak kdyztak obcas zmenit wep klic a s pripadne sledovat sit.
Pokud budes ty Asusy pouzivat jen na ten spoj /WDS only s nastavenym jednim partnerem/ tak by utocnik stejne musel podvrhnout MAC adresu te strany ktera neni pripojena pres ADSL, pokud se chce dostat na internet, aby vypadal jako ona. A to se predpokladam projevi tim ze ti to nebude chodit, pripadne budou konflikty IP adres, nebo to bude jinak blbnout takze to poznas.
Tak uz mi to pomalu zacina chodit. Jeden asus jede v rezimu home gateway a druhy v rezimu router.
Zatim lze nastavit internet a sdileni site. Vse zatin bez zabezpeceni. Ted se jdu vrhnout na ten wep vpn wpa atd proste nejakou uroven zabezpeceni.
Dik za vase dalsi napady a rady.
wifi je vlastne nahrada kabelu ze...
a uz ma v sobe integrovano WEP ci WPA ci Radius server ze...
z techto 3 je optimalni (rychlost/spotreba dat) WEP ze...
VPN (tunel) zase uz je neco navic ze to budes vse balit do tunelu???
kdyz pouziju pevne nastaveni adres (ne DHCP) a este overovani klientu podle jejich adres karet (MAC) a este tyto data zasifruju 128bit WEP (kvuli odposlechu) tak AP nepripoji cizi kartu pac nema jeji MAC v seznamu ze a ani se s ni neda tedy odposlouchavat...
proste kombinace 3 aplikaci: WEP kodu a MAC adresy a pevne adresy je ok
nebudem se tu bavit o odposlechu dat z nichz das dohromady kod WEP a pres nej pak naklonujes MAC a este pevnou adresu... kdyz te AP ani nepusti ze... zkus si to nejdriv v praxi...
ze znamena fakt
taxi udelej tuto trojku (IP,MAC,WEP) stahni si veskery software a pak se zkus pres novou ci cizi WiFi kartu prolomit do vlastni site a uvidis jak je to jednoduse-slozite .o) dokud si to nezkusis tak neuveris...
ty IP sou klasicky temer vzdy 192.168.0.1 a 192.168.1.1 tak zacni dal treba na 192.168.200.1
Myslim si ze radius prave funguje jen pro overovani wifi klientu pripojujicich se k tomu AP, a v rezimu WDS nedonutis druhy ASUS aby posilal prvnimu nejake udaje pro overeni na radiusu.
24.05.2004 v 07:13
