Postano 07.10.2009 17:33:49

Sto se tice postavki i sigurnosti, mislim da se kombinacijom IPCopa + addons i Linksys WRT45GL + DD-WRT, moze dosta postici po pitanju sigurnosti WLAN-a.
(Naravno, niti jedan sustav i mreza nije 100% sigurna).
Cilj je vecim brojem koraka dostici odredeni level sigurnosti.

Dobra je politika, svima zabrani sve pa postepeno omogucavaj.

Fizicki osigurati pristup IPCop-u i Linksys-u.

Promijeniti defaultni user name i password na Linksys.
Postaviti dobre passworde.

Postavljanjem Linksys WRT54GL + DD-WRT na BLUE smo vec napravili prvi korak sto se tice sigurnosti. Svakog wireless klijenta moramo rucno postaviti u BLUE ACCESS da bi dobio pristup na RED.
Wireless klijent na BLUE nema pristup na GREEN, a klijenti na GREEN imaju pristup na BLUE.
http://www.ipcop.org/1.4.0/en/admin/html/section-firewall.html#section-firewall-traffic

Ako ubacimo BlockOutTraffic (in short BOT) addon u IPCop tada jos detaljnije mozemo utjecati na promet.

DD-WRT nam omogucava da podignemo malo TX Power (Default: 70, Range: 1 – 251mW), naravno, ne treba odmah odabrati 251mW, iznad 70mW ne bi trebalo ici jer se radio chipset pregrijava. Zbog sigurnosti ne treba pretjerivati, dovoljno je da pokrijemo podrucje koje nam treba.

Wireless GUI Access postaviti na Disabled, znaci nitko sa wireless nece moci pristupiti postavkama Linksys.

Dobro je promijeniti defaultni Wireless Network Name (SSID).

Wireless SSID Broadcast bi stavio na Disabled. (Ova opcija ne znaci sigurnost ali cini jednu dodatnu razinu obrane)

Security Mode: WPA
WPA Algorithms: AES

Ukljuciti MAC Filter: Permit only clients listed to access the wireless network i u MAC Filter list ubaciti MAC-ove koje zelimo da komuniciraju s Linksys. (niti ova opcija ne znaci sigurnost ali takoder ali takoder cini jednu dodatnu razinu obrane, MAC adresa -fizička adresa iliti built in adress (BIA) se moze lažirati (MAC Spoofing))

Podestiti malo Quality Of Service (QoS).

DHCP Server bi ugasio na Linksys i ukljucio bi ga na IPCop s time da bi rezervirao IP prema MAC-u svakog wireless klijenta kojeg bi zatim ubacio u BLUE ACCESS. Još je sigurnije i bolje kompletno ugasiti DHCP server i dati korisniku konfiguracijske podatke (IP, Subnet mask, Default Gateway kada mu ionako vec dajemo SSID, Network Authentication, Data encryption, Network key…)

Uglavnom, ovo sve radi super!

Postano u Software |

Nema komentara

Nema komentara.

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

 

All logos and trademarks in this site are property of their respective owner. The comments are property of their posters,
all the rest Copyright © 2002 - 2010 by Ivan Gabajček
Theme Designed by Ivan Gabajček