Блог о технологиях, технократии и методиках борьбы с граблями
Не прошло и месяца с обещания МГТС поменять рутер в течении ближайших дней, как, после нескольких звонков в саппорт и бугурта в мордокниге, наконец то это случилось – пришел монтажник и заменил старый тормозной ZTE ZXHN F660 на новую модель ONT SERCOM RV6699.
Как известно, обещанного три года ждут. Вот и я уже почти три недели жду когда мне позвонят прекрасные монтажники из МГТС и приедут менять GPON-рутер на новую модель. Я уже писал об этом в конце октября, ибо зона покрытия wifi рутера МГТС просто кошмарная, т.к сигнал доходит до комнат с большими потерями.
Возникла задача построить беспроводную сетку Wi-Fi в нескольких крыльях офиса, но так что бы всюду рулила одна сеть с единым SSID. Скажу откровенно один раз я уже накололся с этим, когда попытался совокупить CheckPoint Edge и D-Link’овский рутер, как раз из-за того что каждый производитель использует для сопряжения AP в режиме bridge, repeater и WDS свои собственные фичи, так что если есть необходимость построения подобной схемы, то оборудование надо приобретать одного бренда.
Для этих целей мы закупили Wi-Fi рутеры Linksys WRT 160NL- совершенно новые модельки, которые гонятся уже под лейблом Cisco. Но к сожалению родная прошивка рутера не позволяет поднять подобный функционал, по этой самой причине пришлось обратиться к кастомной прошивке DD-WRT, которая базируясь на открытом коде Linux’ового ядра, значительно расширяет функционал обычных рутеров. Я уже имел некоторое количество экзерсисов с этой прошивкой, когда пытался подключить другу torrent клиента и монтирование NTFS’ных дисков на рутере, и если дойдут руки, то о результатах отпишусь позднее. А пока создаем распределенную беспроводную сеть на двух (можно и более) рутерах Linksys WRT 160NL.
Для начала качаем кастомную прошиву с сайта DD-WRT и перепрошиваем основной рутер. Условно назовем его MAIN-AP. Выбираем прошивку для своего рутера, на данный момент актуальная версия v24 SP2 (SVN revision 14896), скачиваем, после чего подключаемся к рутеру через LAN кабелюку и проходим: Administration ->
Дожидаемся завершения прогресса перепрошивки и заходим в консоль администратора. Вводим имя пользователя и новый пароль, после чего настраиваем рутер для работы в обычном режиме- задаем настройки внешней сетки, внутренней, DHCP сервера и Wi-Fi сети. Также необходимо отключить встроенный брандмауэр ибо он может помешать взаимодействию сетевых устройств.
После этого переходим к настройке вторичного рутера. Назовем его Bridge-AP. Для начала задаем ему внутреннюю сетку из того же пула, что и была задана для Main-AP, и отключаем внешний интерейс и DHCP сервер, ибо адреса у нас будет раздавать первичный AP: идем Setup -> Basic Setup и расставляем галочки следующим образом
Connection Type: Disabled
STP: Disabled
DHCP Server: Disable
После каждого изменения того или иного поля не забываем сохранять введенные настройки, путем нажатия на Save Settings.
Далее переключаемся из режима шлюза в режим рутера: Setup -> Advanced Routing и в выпадающем меню ставим Router. Отрубаем также брандмауэр ибо он может мешать работе AP: во вкладке Security -> Firewall отключаем все галки кроме Filter Multicast, после чего отключаем SPI firewall переключая в статус Disable.
После этого переходим к настройке Wi-Fi:
Идем в основные настройки Wi-Fi: Wireless -> Basic Settings и выставляем следующие параметры
Wireless Mode : Client Bridge
Wireless Network Mode : аналогично настройкам MAIN-AP
Wireless Network Name(SSID) : аналогично настройкам MAIN-AP
Wireless Channel : аналогично настройкам MAIN-AP
Wireless SSID Broadcast : аналогично настройкам MAIN-AP
Network Configuration : Bridged
Переходим к разделу настройки безопасности Wi-FI: Wireless-> Wireless Security
Выставляем тип безопасности (WEP, WPA или WPA2-Personal) аналогично настройкам MAIN-AP, точно также задаем и алгоритм шифрования: TKIP, AES, или TKIP + AES, после чего вводим фразу что мы использовали при настройке MAIN-AP.
Сохраняемся и говорим Administration -> APPLY Settings после чего выключаем рутер, относим его в другое помещение и подключаем его прямым кабелем из его LAN порта в LAN порт рутера MAIN-AP, после чего включаем. Вуаля- у нас в обоих помещениях теперь пашет один и тот же SSID, так что тыкая из одной части зала в другую мы даже можем не заметить, когда мы перейдем на другую AP.
*** Единственный косячный момент который я заметил при работе с DD-WRT именно на Linksys заключается в том, что работать надо в IE ибо в Firefix web-интерфейс почему то подглючивает с завидным постоянством.
Тип шифрования рекомендую выставлять mixed на обоих рутерах, ибо в этом случае скорость передачи данных выше.
Также у меня возникли проблемы с раздачей репитером wi-fi в случае если запрещено широковещательное объявление SSID, поэтому пришлось транслировать имячко сети в эфир.
Обновление от 11.02.2011: очень странная тема, ибо это решение у меня прожило в районе суток, после чего вторичный рутер перестал раздавать wi-fi в принципе, так что перепробовав 4 возможных прошивки, и перенастроив все решение раз 50, остановился на том, что у меня оба устройства работают в режиме AP. Криво в теории, но на практике работает пока нормально- продолжаю искать причину не понятного глюка. 
Компания Motorola представила пакет, который, по заверению разработчиков, предлагает про-активную защиту для Wi-Fi сетей. Этот пакет является надстройкой продукта AirDefense и будучи сканером уязвимостей, проводит серию хакерских атак на каждое беспроводное устройство представленное в беспроводной сети wi-fi, или же на сегмент сети.
Программное обеспечение разработано для про-активной защиты безопасности беспроводных сетей, и со слов представителей компании Motorola, может быть настроено для удаленного управления, с целью анализа безопасности сетей удаленных офисов и филиалов.
Благодаря этому функционалу, компании нет необходимости посылать инженеров, для проведения подобных тестов в удаленные филиалы.
После завершения тестов, пакет выстраивает базу имеющихся уязвимостей, которая может быть использована аудиторами и системными администраторами в их дальнейшей работе, для понимания потенциальных рисков которые несет использование беспроводных сетей wi-fi.
Каждый из нас когда либо пробовал подключиться к чужой Wi-Fi сети, если обнаруживал её в своем списке доступных сетей. Иногда это получалось, когда сеть не была защищена никаким паролем, иногда пароль являл собой верх совершенства в виде набора qwerty или 11111. Даже если мы не могли угадать пароль, и плевали на это дело, пробуя другую сеть, то эта сеть все равно была доступна для взлома более менее поднаторевшим в этом деле специалисте. В интернете достаточно how-to по взломам радиосетей с помощью двух ноутбуков, т.ч. пароль вовсе не панацея, а подобно жизненному примеру- всего лишь скоба, прикрывающая незапертую дверь. Ниже я попробую описать, какими мерами можно воспользоваться, чтобы максимально защитить себя, и в то же время максимально усложнить жизнь злоумышленника, посягнувшего на вашу сеть.
