绝对蹭不到的无线网方案，个人设计实现，欢迎指正

sharptime

虽然早就听说TKIP被破的消息，但是一直没见到相应的工具，再加上手工操作难度比较大，所以多少觉得网上的铺天盖地的宣传实在有些杞人忧天。802.15安全性那么烂，蓝牙不是一样大行其道；MD5算法都给破解了多少年了，现在不少论坛还是在用这个加密用户信息，想来WAP2应该也能撑住吧。可惜很遗憾，傻瓜版的TKIP破解工具还真被某些无聊人士搞出来了，无奈。虽然到目前为止，俺的网还没被人蹭过，不过未雨绸缪还是很重要的，尤其是对于我等7x24小时下载的狂人来说。

     其实想想，蹭网的人之所以要来蹭，主要目的是想找一个免费接入Internet的通道，那么把这个无线AP的上网通道封死，无线路由纯粹当做三层交换来用，WAN口根本不接，就算被蹭进来也只能在局域网里面打转，再加上些小手段伪装一下，估计被蹭的机会就会大大减少，就算被蹭了也没啥损失，如果真遇到能破MPPE的高人……那我只能认命了。

    拓扑如下，本来打算把局域网改成用IPV6，但是现在家用的无线路由似乎没有支持IPV6的。目前的解决方案是把BT机做成VPN Server，局域网中的其他主机通过这个VPN代理上网。



    Modem用的就是办ADSL时候电信送的，登陆密码已经破出来了，可以直接用它来拨号，起到一个隐藏内部IP的作用，当成简易防火墙用。

    BT机用的是VIA的小版，集成CPU，功耗很低，当然性能也弱到一塌糊涂，装Gentoo的目的就是可以自己随意搭配系统，自己编译，运行起来能快一点。但这个主机实在是太慢了，用Stage3装还折腾了2天，好在没发疯用Stage1，直接用LiveCD装可能更方便点。该主机有两块网卡，网卡1直接连MODEM，IP设置为192.168.225.210/24，这个IP没啥意义，纯粹是随机生成的，目的就是为了不让别人猜到。网卡2连到无限路由的LAN1口，IP设置为10.10.10.7/22。

   无线路由是Buffalo WHR-HP-AG108，反正WAP2也不安全了，所以这个没怎么设置，关DHCP，关SSID广播，WAP2，MAC过滤，IP设定成10.10.10.117/22。

   HTPC和股票机分别接无线路由的LAN2和LAN3，笔记本用无线，IP参照BT机设置，需要上网就通过BT机的VPN Server 走VPN通道出去。

   设定完成，这样无线路由实际上只起到了一个连接局域网各主机的作用，被蹭的话也不过是进入本局域网而已，想上外网除非破掉我的VPN。

   这个系统的缺陷……VPN隧道模式，这个比较郁闷；加密系统没实现数字证书验证，本来还打算做上几十个证书，增强安全性，暂时是不行了。

aboutblank

VLAN是虚拟网络吗？虚拟分区域？
workwork 发表于 2009-4-23 13:40

说白了就是一台交换机人格分裂成N台互不相干的交换机

flankye

我什么安全性都没设,也没见有人蹭网.

aboutblank

AES 这种对称加密算法被破也是早晚的事...
其实楼主何必呢, 我的做法是自己用的隐藏 SSID 关 DHCP WPA+TKIP, 另外再开个不认证不加密的 Guest SSID 单给它划个 VLAN, 限速64kbps并发连接数10条独立IP网段开 DHCP, 要蹭就蹭呗, 反正上网绝对不卡, 只要不大量占用我的带宽, 给人家免费上一上网又有什么, 与人方便于己方便嘛, 朋友来了要上网也不麻烦, 人家一看有不用破的也还懒得破你加密去了呢. VLAN 又能保证内网安全性. 咱都这么仗义了再破我无线也就太说不过去了吧.
不过最怕就是有人用手机连, 然后手机还只支持 802.11b, 他一连上全变 11b, 就傻眼了...

panghwi

这样太累了！！！

sharptime

纯粹是做个试验，最近正在从Ubuntu转到Gentoo下，练练手而已

reynold

搞这么麻烦做什么……
太平点用mac过滤好了，复制mac很容易不过如果你在用就会有显示冲突，这样蹭网就给人知道了；当然我不用的时候你蹭进来也无所谓，反正都包月的不能让电信happy了~

radius服务器是企业级使用的，服务器和AP通过有线连接，认证信息是由AP本身发送给radius服务器之间完成的，除非你进有线网络，无线上是抓取不到其登录信息的

buddyli

只要别太过分，蹭就蹭吧，别便宜了中国电信

GZ_Ranger

越看越看不懂。越看不懂越不想看。

cybernik

不过移动和电信已经准备强制厂家加入WAPI了.....

cybernik

radius只管登陆，通信过程中的数据没有加密，被监听之后容易被破解

论安全性不如VPN
sharptime 发表于 2009-4-17 14:40

登不上如何监听啊?

据我所知,电信和移动现在做wlan覆盖都是开放式认证,然后radius认证......
MESH似乎也是这么做......

ghw

实在不行，和我们公司一样搞个windows的域用户认证。

sharptime

搭个radius服务器,用radius认证,保证进不来,哈哈,运营级的做法.....
cybernik 发表于 2009-4-17 13:50

radius只管登陆，通信过程中的数据没有加密，被监听之后容易被破解

论安全性不如VPN

ghw

在路由器上设MAC过滤不行么？

cybernik

搭个radius服务器,用radius认证,保证进不来,哈哈,运营级的做法.....

ljfbb

高手 。看的我云里雾里。。WAN口不接。自己不是都上不了网了吧。。

hcgxp

直接无线关掉，接网线。

mengduo

39# sharptime

在你那破bt机上 直接搞个radius 启用个802.1x认证就好了哈

sharptime

真正的破解高手恐怕也不会在乎破您的网络吧，况且现在有几个真正这样的高手呢？怕蹭网的有点杞人忧天了，呵呵！我自己也不过是隐藏SSID WPA 密匙3600秒更新，外加MAC认证，再外加IP地址限定。退一万步来说破的了的我 ...
tianlan 发表于 2009-4-16 13:55

WPA2-PSK基本上安全性是够用了，但是兼容问题还是比较麻烦，尤其是对于很多移动设备，手机，PSP等等

sharptime

做这个东西有两个目的

首先路由本身的处理能力很弱，用QOS来控制BT机的连接数就有点力不从心，另外并发连接数量比较大的时候路由的响应会变慢。换成这种拓扑之后，就不用考虑这个问题了，流量控制由BT机的系统来解决，能够很好地实现动态流量限制

另外就是安全问题了，这个系统的VPN实现并不完善，在这里做VPN的目的一是加密无线广播的数据，防止监听破解；再有就是万一WAP被破掉，蹭网者也无法接入Internet。协议采用的PPTP，安全性方面比IPSec要弱，但是好在实现简单。