802.11i действительно принят давно, обычно люди путают этот факт с недавним появлением драфтового документа по безопасности SP 800-48 Rev. 1 от NIST.
По поводу Rogue AP / Ewil Twin, важно понимать то, что наилучшим уходом от этой атаки будет занятие настройки не только клиентского адаптера, а конкретной беспроводной сети.
Внедрение 802.1x в качестве безопасности на уровне порта позволит избавиться от таких атак, в силу того, что данные клиента непосредственно связаны с back-end сервером, которые их проверяет. Если его нет, а ложная точка доступа есть, то соответственно пользователю не удасться достичь ресурсов беспроводной сети. Другой вопрос, что на его внедрение понадобится время. Есть ещё другое понятие, как взаимная аутентификация (это EAP-TTLS, PEAP, Cisco LEAP). Абстрактно в их рамках состоит авторизация не только клиента точке доступа, но и точки доступа клиенту. Другой вопрос, что например последний имеет проблемы с безопасностью (asleap). Ещё как вариант - двухфазовая авторизация.
Если уж такая тема, то по пунктам:
Цитата |
---|
Есть еще такое понятие как ЕSSID - расширенная зона обслуживание, в данном случае это тоже самое, что SSID? |
BSSID (Basic Service Set ID)- идентификатор базового набора служб (тривильно это 1 точка доступа и её же клиенты).
ESSID (Extended Service Set ID) - идентификатор сети, архитектура которой состоит из двух и более точек доступа, подключённых к одному логическому сегменту сети
Цитата |
---|
Вообще наверно в случае БЛВС с большим количеством клиентов сокрытие SSID вызывает большой гемор - каждому клиенту придется SSID прописать. Вопрос к тому, скрывать SSID или не скрывать? |
Вы можете сконфигурировать эти вещи на уровне группы Active Directory для беспроводного доступа. Group Policy Object Editor имеет добавочный Snap-in: Computer Configuration | Windows Settings | Security Settings | Wireless Network (IEEE 802.11) Policies. Кстати, по моему мнению, VISTA в этом плане представляет куда большие возможности, чем все остальные операционные системы.
Цитата |
---|
Я про каналы не очень осведомлен. Вот мы сеть развернули, у точек доступа нашей сети каналы разные будут (чтоб не пересекались) или один? Для каждой точки доступа канал придется вручную происать, выбрав канал с наименьшим количеством помех? |
Смотря как настроите, это опциональный фактор. Безусловно, желательно избегать интерференции каналов. Промелькнули фразы по WDS-сетям, отвечаю: такие сети обязаны использовать 1 общий канал по определению, из-за чего у них и возникают проблемы со скоростями и наводками.