Как я могу настроить свою беспроводную сеть для максимальной безопасности?

Кажется, в беспроводных маршрутизаторах есть много функций безопасности, от фильтрации MAC-адресов до типа аутентификации и шифрования данных. WPA или WPA2 PSK? AES или TKIP?

Какие настройки следует использовать для обеспечения максимальной безопасности при настройке новой беспроводной сети? Это зависит от маршрутизатора или есть некоторые настройки, которые должны быть установлены на всех маршрутизаторах? Есть ли какие-то функции безопасности, которые я должен рассмотреть, прежде чем покупать беспроводной маршрутизатор?

Определенно WPA2 - он заменяет WPA и считается «безопасным». Используйте AES (у TKIP есть недостатки) с предварительно выданным ключом; сделать его> 13 символов и как можно более случайным / безопасным. Это должно в значительной степени гарантировать, что никто не сможет войти в ваш домашний маршрутизатор. Не то, чтобы кто-то когда-либо захотел бы - есть множество незащищенных точек доступа, которые они использовали бы первыми.

Фильтрация MAC-адресов в основном бесполезна, так как MAC отправляется в незашифрованном виде, поэтому любой, кто просматривает пакеты, может подождать, пока не придет MAC, который аутентифицирован, а затем подделать его (тривиально). Это только увеличивает накладные расходы на ваше управление («У меня новый ноутбук, почему я не могу подключиться к беспроводной сети? О, мне нужно добавить MAC, да!»)

Отключение широковещательной передачи SSID также не очень полезно, поскольку его также легко получить, прослушивая беспроводной трафик. Опять же, это только добавляет немного головной боли, когда вы хотите повторно подключиться к вашей сети («Какой у меня снова был SSID? Ах да, SDFSADF»)

Если вы также можете настроить домашний VPN в своей системе, это добавляет дополнительный уровень безопасности. Я настроил свой домашний беспроводной маршрутизатор на размещение беспроводных пользователей в демилитаризованной зоне (так называемый Интернет), чтобы они не могли получить доступ к моей домашней сети, если не выполнить дальнейший вход в систему через VPN (другое имя пользователя / пароль с таймаутами входа в систему / сбрасывает взломщик, который придется победить). На ближайшее будущее и против неправительственного взломщика это безопасно. : D

Что я обычно делаю при настройке беспроводной сети:

• Использование WPA2-PSK шифрование с использованием AES , если это возможно (AES обеспечивает более стойкое шифрование , чем TKIP), с тех пор , / на ключевой фразы , как это возможно.
• Включите фильтрацию MAC , чтобы сеть принимала только устройства с определенным физическим адресом (MAC-адресом). Эту меру безопасности легко обойти и в некоторых сценариях не практично, но, если возможно, я все же обычно включаю ее.
• Скрыть SSID трансляцию сети. Таким образом, сеть не объявляет публично о своем присутствии. Опять же, не всегда практично, но если возможно, я включаю его.