Et oversikkert nettverk

[neidustoreinternett]

Hei!

 

Jeg ønsker meg et nytt nettverk hjemme som jeg kan lære meg litt på også. Har en wifi ruter kallt: D-Link DIR-655, Extreme N Wireless

 

Vil da bruke wifi med skjult ssid, wpa-psk2 med en nøkkel på max lengde og som inneholder æ ø å ÆØÅ og symboler

 

I tillegg ønsker jeg å ha ruteren og modemet på et subnet, og at mine maskiner står på et annet (noen linker til how-to`s på dette?) Det hadde vært helt konge med en god netverks monitor som leser alt som skjer på nettverket lar meg se over det senere også..

 

 

 

Og, jeg ønsker å låse ruteren så den kun aksepterer mine MAC adresser, mitt spørsmål på dette er om det da må legges in MAC på alle de virtuelle maskinene mine også?

 

Høres dette bra ut?

[Trikrin]

Du høres litt paranoid ut :-)

 

OK. SSID av, WPA-psk2 med nøkkel OK.

 

Hva med å gå til innkjøp av en litt mer avansert switch? Da setter du opp VLAN for å segmentere nettet ditt...

 

Da kan du segmentere nettet ditt slik at den trådløse trafikken går på et VLAN, og kablet trafikk på en annen.

 

Tar jeg ikke feil kan du sette opp et gjestenett på den trådløse ruteren din også.

 

Hvis du skal være enda mer paranoid, kan du bygge en PC av noen gamle deler, og så setter du opp en Linux-brannmur for å ha full kontroll på nettet ditt? ClarkConnect var en distro jeg brukte i gamle dager til den bruken. Finnes sikkert andre som Ubuntu som er litt lettere nå til dags.

 

Der kan du også sette opp hvilken trafikk som skal slippes inn og ut. Bare kjente porter for eksempel.

 

Sette opp en Proxy-server er jo alltid litt gøy.

 

Dine virtuelle maskiner har nettverkskort og dermed også MAC-adresser. Du må dermed legge inn MAC-adressene.

 

Var det noe mer da? Ikke som jeg kommer på akkurat nå.

[neidustoreinternett]

Takker! Dette er for å lære seg litt mer ja ) Den linux boksen tror jeg blir et større prosjekt, vurderer til og med en ITX maskin til den, så det ikke står å bråker for meg

 

TAKK!!

[neidustoreinternett]

Har et spm til: hvordan ville ClearOS (bytta navn) stått?

 

 

x (ISP)

|

|

|

ClearOS

|

wifiruter----wifi klienter

|

tp-klienter

 

 

 

Ville det ikke blitt slik at den som hacker wifi`n kan hoppe over ClearOS sin FW og gå videre løs på tp-klientene/ andre wifi klienter?

[Big_JT]

Du kan sette opp flere nettverk ut fra ClearOS boksen. Tenker selv å putte i et ekstra nettverkskort i min, slik at jeg får WLAN på eget usikekrt subnett.

 

Setter du opp ting bra skal det mye til for noen å komme seg inn på sikker side. Og vist noen kommer seg inn på WLAN har de kun tilgang til klienter der, ikke inn i sikker sone.

[enixitan]

Dropp all tryggleiken på ruteren din, og set opp OpenVPN med PKI til å handtere trådlause klientar. Sidan du skal ha det oversikkert skal du vel gjerne ha 65536-bits nøkkel òg - prøv å koble 10 klientar på det trådlause nettet, og sjå korleis ruteren handterar det. Kryptering stiller krav til ruterens maskinvare, og med fleire klientar kan det verte ein flaskehals. Ved å bruke OpenVPN kan krypteringa gjerast på ein fullverdig PC, som har meir enn nok kapasitet tilgjengeleg til dette.

 

Ved å bruke OpenVPN oppnår du òg langt betre autentisering av maskinene som koblar seg til det trådlause nettet. Å komme seg forbi MAC-filtrering er ikkje noko problem. Dersom nokon får tak i den private nøkkelen (og evt. passordet til denne, dersom du brukar det) til ei maskin er det faktum at dei har tilgang til nettverket ditt ikkje det største problemet lenger, for då har du eit alvorleg problem på den aktuelle maskina.

 

Dersom du skal bruke noko anna enn PC-ar (t.d. mobiltelefon, PS3 e.l.) på det trådlause nettet kan dette bli eit problem, sidan du er avhengig av at OS-et på enheten kan køyre ein OpenVPN-klient. Windows, Linux, Mac og *BSD har ingen problem her, Android og iOS ser òg ut til å ha klientar om du er villig til å jobbe litt med å sette dei opp. Du kan jo sette opp to WLAN, eit med "vanleg" sikkerhet som tillet avgrensa nettsurfing, kun til dei stadene du treng, og eit som kun kan brukast med ein OpenVPN-klient.