Я бы не сказал, что технологии беспроводной сети относительно дешевые. Относительно чего??? проводной сети??? это смешно! особенно после того, как автор привел цены на IDS. Не проще ли вообще не использовать WIFI или использовать его сугубо для связи менеджеров друг с другов внутри офиса.
Насчет сложных матиматических вычислений - тоже неправда:  AES и RC4 - не настолько уж сложны.
По поводу взлома 64 битного ключа - не актуально, так как в настоящий момент его используют исключительно на старом оборудовании. Используют ключи от 128 бит. Чтоб сломать 128 бит необходимо поймать около миллиона пакетов, что возможно сделать при затрате около 5 часов: сама точка начнет повторять ключ, далее следует расшифровка - доло далеко не нескольких секунд, а скорее часов.
кому интересно, смотрите форум netstambler.
Вообще статья очень хорошая, мне понравилось. Все замечания высказал!

К сожелению, автор сильно плавает в терминологии (в TKIP Integrity значит целостность), и в "понятиях". Атаки на wep далеко перешагнули "повторы" векторов инициализации. Кроме того, повторившийся вектор инициализации позволяет нам востановить только отрезок гаммы, т.е. расшифровать только один пакет с тем же ключем. Подобрать секретный ключ wep он не помогает.
Атаки на слабые векторы инициализации, типа реализованных в AirSnort очень зависят от используемого оборудования. Многие вендоры фильтруют weak iv.

Стандарт 802.1x не имеет прямого отношения к беспроводным сетям - он использутся в сетях технологий 802 (т.е. ethernet, token ring, и wi-fi) для аутентификации физического подключения к порту. Шифрования этот стандарт не описывает, только распределение ключей.

TLS в 802.1x задействутся только при использовании стандарта PEAP или EAP-TTLS, которые к стати не явлются пока RFC.

Радиус поддреживает огромное количество методов аутентификации, в том числе и упомянутый автором EAP, который позволяет гонять практически что угодно, от md5 до запрос-отклик и цифровых сертификатов. Или имеется ввиду взаимная аутентификация клиента радиуса (т.е. точки доступа) и сервера?

TKIP - не алгоритм шифрования, это способ подготовки ключа, который "скармливается" затем WEP-у.

Снижение пропускной способности в связи с IPSec при полной загрузке 100 мегабит на современном железе без акселераторов - до 50%. При стандартной загрузке 4-10%.

wpa2 это и есть 802.11i. Только "публицистический вариант".


<q> если есть возможность - запретите доступ для клиентов с SSID;
</q>
чего? а как же они будут подключаться бедняжки?

в варианте с wep shared key менее безопасен чем open system ибо дает возможность востановить гамму.

"защита" 802.11i с использованием 802.1X ни чуть не хуже чем у VPN, а в вопросах защиты клиентов даже лучше, ибо нет ip до соединения.

<для организации разделяемых ресурсов используйте NetBEUI.>

ээээ... чего? что бы хацкеру не надо было париться с определением топологии сети, а просто добавить нетбю в настройках интерфейса? или автор считает что сниферы нетбю не понимают?

про системы обнаружения атак и сканеры безопасности - их существует великое множество, при чем многие - бесплатны. например, мой любимый kismet.

в общем - автору - большой rtfm а лучше - сначала посмотреть на точку доступа, а потом о них писать.

Что-то очень похожее есть здесь. Видимо, метод Copy-Paste в этой статье использовался широко.

2 Acid - не позорь мои седины - информзащита такой пурги не несет.

И хотя многое уже сказано, тоже вставлю свои пять копеек  Есть подозрение, что либо статья переводная, либо ее писал человек, не очень хорошо разбирающийся в безопасности (либо и то и другое). Используемая терминология присуща именно переводным статьям. Например, "цифровой ключ шифрования".

SSID никогда не был средством защиты беспроводных сетей и паролем он тоже никогда не был. Это всего лиш идентификатор сети, не более того.

Насчет 802.1x уже сказали, что это протокол аутентификации. Добавлю, что он поддерживается не только XP и 2003. Более того, учитывая уровень реализации, лучше было бы упомянуть про производителей сетевого оборудования, поддерживающего 802.1x.

А причем тут AES и VPN? AES - это стандарт шифрования и абсолютно неважно его применение.

И откуда автор взял, что VPN был придуман Intelом? И с каких пор L2TP, PPTP и IPSec являются технологиями шифрования? Это протоколы, не более того. И давно ли MD5 стал алгоритмом шифрования?

Я и не знал, что Windows, Solaris и Linux были выпущены для VPN. И что такое Cisco VPN 5000? Я у нас такой линейки не знаю ;-(  Может быть автор имел ввиду Cisco VPN 3000 Concentrator Series? И какую это бесплатную лицензию на использование марки мы даем? Акцизными марками занимается другое ведомство

Как связана точка доступа и маршрутизатор Cisco, о дыре в котором говорит автор? Тоже не совсем понятно.

WPA2 (который автор в одном месте сопоставляет с 802.11i, а в другом говорит, что это одно и тоже) никогда не позиционировался как технология защиты от вторжений.

"Не устанавливайте точку доступа ВНЕ брандмауэра" - это как?

А как понимать рекомендацию автора о запрете доступа клиентов с SSID? В принципе понятно, что имел ввиду автор, но писать надо более внятно.

Автор рекомендует использовать в WLAN метод аутентификации CHAP, видимо забыв, что ранее он уже писал, что в беспроводных сетях есть замечательный стандарт EAP и куча его производных - EAP-TLS, EAP-FAST, PEAP и т.д.

Что такое уникальность SSID? Ну какая мне разница, уникален он или нет, если он и так в открытом виде передается? Может проще порекомендовать не использовать заданные по умолчанию SSIDы.

А автор вообще-то понимает разницу между файерволлом и брандмауэром?

А названные им Wireless IDS таковыми вообще-то не являются. Существуют гораздо более функциональные решения, направленные не только на обнаружение несанкционированных точек доступа, но и на обнаружение атак в беспроводном сегменте.

Мда... Думал и добавить к вышенаписанному нечего, а тут столько всего проявилось ;-(   Жаль. Тема интересная, но раскрыта настолько ..., что просто обидно.

Бред сумасшедшего !

Есть отличная книга по Wi-Fi безобасности "Wi-Foo The Secrets of Wireless Hacking" тем кто действительно интересуется Wi-Fi безопасностью читать в обязательном порядке (сайт книги - Wi-Foo.com).

2 dc: у нас в стране её можно где нить найти?

2 dc: огромное спасибо 2tl@mail.ru

на озоне есть - 1800 рублей из за бугра 45.5$ будет стоить,
мда...