Увеличить секурность

[Gobzavr]

Есть говносетка в десяток машин и одну WiFi точку (именно точку, не роутер) TPLink WA901N
На WiFi точке поднят multissid. На нем висит на виланах две сети: рабочая (часть ПК в торговом зале на wifi висят ввиду особенностей ремонта за 100500 тыщ денег) и гостевая, для гостей заведения.

По причине дорогого ремонта денег на ИТ осталось, сколько осталось
В наследство от старого владельца остался шлюз на базе KWF6.5, контроллер домена на 2003R2 Standart, неуправляемый свич asus 16 портов и с десяток рабочих станций в домене (WinXp,Win7)
То есть впринципе ничего.
Существует две сети (на шлюзе выставлено на LAN IP два адреса из разных подсетей, рабочей и гостевой)

Разграничения все сделаны. И работают хорошо и правильно... но как то от честных людей.
До тех пор, пока руками не выставить на интерфейс устройства, цепляющегося через WiFi IP адрес из рабочей подсети.

Вся секурность в этот момент едет по одному месту.
Вопрос: как программно ограничить доступ в рабочую сеть?
Думаю сделать белый список по MAC адресам (полагаю, что их подбирать можно очень долго и нудно, особенно если доступ будет закрыт т.о, чтобы arp опросы не получилось сделать) для выдачи на DHCP на DC. Всех остальных отшивать. Список для создания "белого списка" не такой и большой, не переломлюсь руками

На данный момент установлены по админ блоку статические IP.

Предвосхищая ваши вопросы: денег не будет ни на что, во всяком разе денег не будет пару месяцев, а дыра уже сегодня.

Как увеличить секурность при таком раскладе?


Также в теме приветствуются телефоны киевских барыг сетевым железом, дабы у них приобрести чтото приличное, но б\у в эту говносеть при случае

[tvn2009]

С одним физическим интерфейсом и двумя подсетями их разграничить по нормальному наверное никак.
А с другой стороны, если сеть в домене и настроено все более менее по уму то она отчасти изолирована от компьютеров не являющихся членами домена... На это полностью полагаться нельзя, но переконтоваться до покупки еще одной точки доступа и дополнительной сетевой карты в шлюз наверное можно

Итого, вопрос в 1 точке доступа, 1 сетевой реалтек и сколько-то там метров кабеля

ИМХО...

[famous]

Зарежь на керио доступ гостей в рабочую сеть.

[tvn2009]

Зарежь на керио доступ гостей в рабочую сеть.

А если гость попадется продвинутый и пропишет IP-адрес из рабочей подсети? Интерфейс судя по всему один общий, как для гостей - так и для офиса

[famous]

А если гость попадется продвинутый и пропишет IP-адрес из рабочей подсети? Интерфейс судя по всему один общий, как для гостей - так и для офиса

Ну, у меня сделано так: по дхцп выдается отдельная гостевая подсеть. Для этой подсети на керио зарезано все кроме хттп и днс. Если умник пропишет свой ип, он просто никуда не подключится.
Хотя согласен с тобой, отдельная точка решила бы проблему без всякого головоломства

[tvn2009]

Ну, у меня сделано так: по дхцп выдается отдельная гостевая подсеть. Для этой подсети на керио зарезано все кроме хттп и днс. Если умник пропишет свой ип, он просто никуда не подключится.

А гостевая сеть и рабочая физически одна и та-же? и VLAN-ами не разделена? если умник пропишет айпи из Вашей локалки он действительно никуда не попадет кроме Вашей локальной сети..
Такие вещи нужно разделять на физическом уровне

[atx.dp.ua]

Из несложных и недорогих решений прошить точку доступа в dd-wrt и получить в результате две отдельных сети для гостей и рабочую
точка доступа TP-Link WA901ND 1.0 , поддерживает эту прошивку http://www.dd-wrt.com/site/support/router-database.
дать адрес шлюзу в гостевой сети и настроить маршрутизацию пакетов.
Успехов.

[tvn2009]

Из несложных и недорогих решений прошить точку доступа в dd-wrt и получить в результате две отдельных сети для гостей и рабочую
точка доступа TP-Link WA901ND 1.0 , поддерживает эту прошивку http://www.dd-wrt.com/site/support/router-database.
дать адрес шлюзу в гостевой сети и настроить маршрутизацию пакетов.
Успехов.

Как вы с ОДНИМ сетевым интерфейсом TP-Link WA901ND 1.0 собрались разделить его на 2 сети?

P.S. Судя по картинкам WA901ND интерфейс ethernet там один, мож я или гугль конечно ошибаемся

[famous]

А гостевая сеть и рабочая физически одна и та-же? и VLAN-ами не разделена? если умник пропишет айпи из Вашей локалки он действительно никуда не попадет кроме Вашей локальной сети..
Такие вещи нужно разделять на физическом уровне

не, до вланов я пока не докатился
Так в том то и дело что не попадет он никуда, ибо попадать некуда (простите мою французскую тавтологию). Либо дхцп и вайфай по отдельной сети либо пусть пишет что захочет, попадать ему будет некуда.
Но некоторые ростки сомнения во мне зародились. В понедельник надо будет провести эксперимент.

[BlackPhantom]

название темы напомнило спам, тоже предлагающий "увеличить ...."

[Gobzavr]

Из несложных и недорогих решений прошить точку доступа в dd-wrt и получить в результате две отдельных сети для гостей и рабочую
точка доступа TP-Link WA901ND 1.0 , поддерживает эту прошивку http://www.dd-wrt.com/site/support/router-database.

Да он и на стандартной прошивке отлично делит. Только вот для тех, кто цепляется на WiFi. А мне надо, что бы для тех, кто выше WiFi. Али Туполинк может на этой прошивке выступать в роли мастер-хоста виланов?

Либо дхцп и вайфай по отдельной сети либо пусть пишет что захочет, попадать ему будет некуда.

Пробовал. Нихрена. Эту проблему я и думаю, как решить минимальными средствами

[famous]

А будут ли они вообще лезть в рабочую сеть? По моим наблюдениям скучающие посетители в большинстве своем смотрят фильмы-ролики со всяких ексов, либо минимально проверили почту и отключились.
Еще как вариант поставить раб. сеть позаковырестей, что бы замучились угадывать

[tvn2009]

А будут ли они вообще лезть в рабочую сеть? По моим наблюдениям скучающие посетители в большинстве своем смотрят фильмы-ролики со всяких ексов, либо минимально проверили почту и отключились.
Еще как вариант поставить раб. сеть позаковырестей, что бы замучились угадывать

Всегда найдутся "доброжелатели" или например конкуренты

[famous]

Всегда найдутся "доброжелатели" или например конкуренты

От доброжелателей, а тем более конкурентов, если они зададутся целью не поможет никакая защита. Поэтому не стоит так запариваться.

[atx.dp.ua]

вероятно таки стоит поставить прошивку dd-wrt и составить правила для iptables
например запретить форвард пакетов в/из рабочей сети для интерфейса гостевой сети

[MetalJazz]

А поставить RADIUS для своих?

[tvn2009]

От доброжелателей, а тем более конкурентов, если они зададутся целью не поможет никакая защита. Поэтому не стоит так запариваться.

Ну так рассуждать как минимум непрофессионально

[famous]

Ну так рассуждать как минимум непрофессионально

Ничего подобного. Непрофессионально это ни делать ничего. А выполнить необходимые действия в рамках поставленной задачи и бюджета, где же тут не профессионализм? Если собственник предприятия желает большего, либо страдает параноидальным синдромом, не вопрос, выделяется бюджет и вперед, штурмовать просторы неизведанного.

[Gobzavr]

вероятно таки стоит поставить прошивку dd-wrt и составить правила для iptables
например запретить форвард пакетов в/из рабочей сети для интерфейса гостевой сети

Это и без прошивки делается. А толку то, если подмена мака очень даже и решает эту защиту?

[atx.dp.ua]

Это и без прошивки делается. А толку то, если подмена мака очень даже и решает эту защиту?

никакая подмена мака не обходит правила iptables, вероятно имелось ввиду что-то другое.
Если на интерфейсе запрещен форвард пакетов из всех сетей кроме той, которая выдается по dhcp,то подмена мака/ip и прочие хитрости не помогут.