terminale di rete aperto - proteggere dorsale

[zebedeo]

Salve a tutti
auspicherei conoscere i vs preziosi suggerimenti sul seguente problema:
- rete (di km 5 con Nano M5 + Ps 2hP) ROU -> AP -> STA -> STA -> AP -> STA - pico + pico + pico;
- la parte terminale (3 pico) costituisce l'area con wi-fi utilizzabile da tutti.

D: Come proteggere adeguatamente la dorsale (km 4.5) da connessioni di terzi?
D: Come posso accorgermi se un intruso si collega lungo la dorsale?

Avevo pensato a modalità tipo MAC Address ma mi viene il dubbio che , fitrando gli accessi, autorizzando quindi i rispettivi MAC di ciascun apparato (disattivando il DHCP automatico) impedirei di fatto la possibilità di connettersi pubblicamente sulle PICO!
Qualche idea?

[zebedeo]

Sempre io
Considerato che:
- gli AP sono di fatto ad inizio e fine rete;
- che le STA non diffondono non diffondono (anche se ..... )
il rischio intrusi è intuitivamente maggiore nei bridge AP -> STA.
ciò detto non sarebbe possibile (almeno nel bridge iniziale (AP1 -> STA1) variare l'AP1 (collagato al router di inizio rete) in STA e di utilizzare il router (o un secondo in cascata) con funzioni di AP.
Se possibile, ciò consentirebbe di diminuire (preferirei annullarla) la vulnerabilità almeno del primo tratto.

Rimango in attesa di leggerVi.

[thema3x]

Ciao, sui due AP specifica i MAC delle STA. Dato che l ACL è sulla parte radio e non di rete non dovresti avere problemi. Cifra WPA-2 e nascondi gli SSID. Se vuoi usa una VLAN radio per rendere ogni tratto inaccessibile al 100%.

Sulle sta usa il LOCK TO AP.

Su tutti gli AP usa il CLIENT ISOLATION.

Per monitorare la rete usa AirControl.

Le parti client finale usale in router e dagli una sottorete diversa rispetto al resto; in questo modo hai anche il firewall.

Ciao

TheMa3x



Ciao

TheMa3x

[zebedeo]

hello TheMa3x
scusa se non ho risposto prima ma nel mettere in pratica i tuoi suggerimenti da un pc - da altro pc un diverso operatore ha pensato bene di mettersi a giocherellare con il router e gli IP per migliore la velocità di scaricamento dati. Il DHPC - in automatico - gli ha assegnato casualmente uno degli IP utilizzati dall' AP posto all'inizio della mia rete, ingenerando così un conflitto IP proprio nell'attimo in cui memorizzavo delle ACL (memorizzazione rimasta a metà!). Rispermiami il resto; un tornado avrebbe fatto meno casino.
Oltre che ringraziarti - vorrei chiarimenti su alcuni passaggi della tuo risposta. Sopportami ma mi sono avvicinato al mondo delle antenne da appena una settimana;

Dato che l ACL è sulla parte radio e non di rete non dovresti avere problemi

Sarebbe a dire che le ACL fanno parte di quel gruppo di informazioni che le antenne si scambiano continuamente e che non si mischiano con i dati trasportati?

Se vuoi usa una VLAN radio per rendere ogni tratto inaccessibile al 100%.

D. Come faccio a realizzare tale tipo di VLAN? ed a cosaltro si presta?
ti pregherei di esporre i concetti sottesi in maniera semplice poichè a giorni la rete assumerà un aspetto assai più complesso e non vorrei entrare in tilt sin da ora.

Le parti client finali usale in router e dagli una sottorete diversa rispetto al resto; in questo modo hai anche il firewall.

In atto l'area wireless è coperta da tre pico 2HP (ap wds) in modalità bridge (IP statico);
D. come realizzo, in pratica, la sottorete?
D. se setto le pico a router devo intervenire su qualche altro aspetto/campo?
D. il firewall che si viene a creare come funziona?
D. sempre in tema di ACL, una POLICY = SCARTA pacchetto (già vista, se non erro, in un tuo tred)
se <ind. IP sorgente> == 192.168.1.x SCARTA pacchetto IP quale device?
se <porta TCP dest > == 400 AND <ind. IP dest> == 192.168.4.x ACCETTA IP quale evice?
se <ind. IP dest.> appartiene alla rete 10.0.5.0/24 SCARTA pacchetto
se <protocollo> != TCP SCARTA pacchetto
in una rete come la mia (AP->St->St->AP->St->((pico><pico><pico)ap)) funziona?
D. l'account "red only" in airOS ->system->system account, accedendo al pannello di un device, vede tutto e non consente di variare nulla? nei campi protetti da spunte consente di aprirle, guardarne i contenuti (vd.ACL) anche se non modificarle?

Mi rendo conto di avere messo troppa carne al fuoco;
A presto leggerTi
Zeb

[thema3x]

Ciao,

ACL esatto.

VLAN, non è un concetto semplice da spiegare... ce un solo modo e non è semplice ... Prova con wikipedia.

Per quanto il discorso router ... la prima delle pico va in router con LAN = WAN e WLAN = LAN.

La WLAN sarà DHCP server per la nuova sottorete, la lan o in ip fisso o in dhcp client.

Le altre saranno semplici bridge sulla nuova sottorete.

Ciao

TheMa3x

[zebedeo]

Ciao thema! "grande filantropo" del forum!
grazie per la sopportazione

Ok, seguendo i tuoi consigli comincio subito a smanettare.
Sarà un po difficile dovendo tenere le dita incrociate
Ti terrò aggiornato