Как раздать Интернет по квартире

17.01.2011 35204   Комментарии (69)

В вашу квартиру провели Интернет - по кабелю (районный провайдер, "Корбина-Телеком" и так далее) или через телефонную линию ("Стрим" и прочие). Пока к Сети должен был быть подключенным только один ваш компьютер, все было в порядке. Но вы неосмотрительно купили второй компьютер - жене. А потом еще и теще подарили нетбук, чтобы она искала в Сети рецепты вкусных и питательных блюд. Затем еще сынишке-школьнику купили ноут, чтобы он скачивал из Сети сочинения "С чего начинается Родина" и не полоскал вам мозги.

Однако всю эту компанию теперь надо как-то обеспечить Интернетом, правильно? Причем крайне желательно это сделать так, чтобы вы могли в любой момент выключать ваш компьютер, не боясь, что из-за этого прервется доступ в Сеть других домашних устройств (персоналок, ноутбуков, коммуникаторов).

Этот вопрос решается покупкой и установкой устройства, которое называется роутер или маршрутизатор (от англ. router). Роутер обязательно должен быть с поддержкой Wi-Fi (точки доступа Wi-Fi), чтобы вы могли подключать другие компьютеры и коммуникаторы по беспроводному соединению.

Для Интернета, поступающего через телефонную линию, покупается роутер со встроенным модемом ADSL (ADSL-2). Для кабельного Интернета - обычный роутер.


Роутер ASUS RT-N10

Цены на них находятся в диапазоне примерно 1200-5000 рублей. У дорогих роутеров есть всевозможные дополнительные функции (сетевой экран, поддержка USB-устройств для доступа к ним из сети и так далее), однако для ваших задач вполне подойдет простенький роутер ценой в 1200-1500 рублей. Дорогие устройства покупают те пользователи, которые хорошо понимают, зачем им нужны дополнительные функции.

Из производителей лично я предпочитаю ASUS (прежде всего), ZyXEL и LinkSys, однако вполне достойные устройства выпускают и десятки других разработчиков. (У меня дома установлен роутер ASUS RT-N16. Он достаточно дорогой, но один из самых продвинутых и обладает кучей полезнейших функций.)

Подключается роутер следующим образом. Кабель с Интернетом включается в гнездо с надписью WAN (для Интернета через телефонную линию - в аналогичное гнездо соответствующего роутера с надписью ADSL). К остальным гнездам с надписью LAN (это домашняя сеть) подключаются те компьютеры, которые в Интернет выходят по проводу (обычно это персоналки).


Голубое гнездо - ADSL (WAN для обычного роутера без ADSL), желтые - для поключения компьютеров и устройств домашней сети

С настройками роутера может быть все очень просто (подключил - оно и заработало), а может быть все очень сложно. Это зависит исключительно от провайдера - от тех схем подключения, которые он применяет.


Подключения к Интернету на примере интернет-центра ZyXEL NBG460N

Роутеры компании ZyXEL (например, NBG460N) поставляются с программой NetFriend, которая большинство нужных настроек производит самостоятельно, а пользователю остается только ответить на несколько простых вопросов и выбрать своего провайдера.


Стартовое окно программы Netfriend

Для роутеров ASUS есть аналогичная программа под названием EZSetup.

Роутеры других производителей, если они не предоставляют подобных программ настройки, как правило, приходится конфигурировать через браузер: там в адресной строке вводится адрес роутера, который обычно установлен как 192.168.1.1, после чего вы попадете в специальную админку (надо ввести логин и пароль, которые обычно по умолчанию admin/admin или admin/1234).


Админка роутера ASUS

Для проводного Интернета обычно мало что приходится прописывать и настраивать. Нередко все может спокойно заработать с настройками по умолчанию. Кроме того, почти во всех админках предусмотрены специальные быстрые режимы настройки - аналогично NetFriend от ZyXEL. 

Если провайдер привязывается к так называемому MAC-адресу (физическому адресу) вашей сетевой карты (такое бывает нередко - это может делаться для биллинга и для защиты от дополнительных подключений), то этот адрес нужно прописать в настройках роутера. Узнать MAC достаточно просто: нужно открыть свойства сетевого подключения и там щелкнуть по кнопке "Сведения".


Физический адрес сетевой карты

Настройка встроенного ADSL-модема в режиме роутера - значительно более геморройное занятие, тем более что ADSL-провайдеры (тот же "Стрим") принципиально не желают помогать пользователям устанавливать подобный режим. Впрочем, и это вполне решаемо. Вот, например, моя статья, в которой расписываются настройки для одного из роутеров ZyXEL с ADSL-модемом. Для своего роутера вы наверняка найдете в Сети аналогичные инструкции.

Ноутбуки и коммуникаторы (смартфоны), как правило, значительно удобнее подключать через Wi-Fi. Поэтому далее перейдем к настройке Wi-Fi (беспроводного подключения). И тут нужно очень четко усвоить следующее:

Никогда и ни под каким видом нельзя оставлять незащищенным (открытым) Wi-Fi-соединение!

А оно по умолчанию, как правило, именно открытое и незащищенное! Опасность открытого Wi-Fi не только и не столько в том, что любой сосед сможет через вас подключаться к Интернету, что чревато "проседанием" канала и, возможно, денежными потерями, если у вас не безлимит. Главная опасность заключается в том, что подключенное постороннее устройство получит доступ к вашей локальной сети, то есть к файлам и папкам, для которых установлен режим общего использования.

Чтобы этого избежать, Wi-Fi надо обязательно настраивать на защищенный режим.

Какие основные виды защиты предусмотрены для Wi-Fi?

1. Разрешенные MAC-адреса

В таблице разрешенных MAC-адресов роутера прописываете MAC-адрес сетевых карт домашних устройств (мы выше уже говорили о том, что это такое и как узнать MAC-адрес) и включаете режим контроля MAC-адресов. Способ изрядно геморройный (надо сначала узнать эти адреса, что не всегда просто, потом их прописать) и защищает на самом примитивном уровне. Сейчас редко используется.

2. WEP-шифрование

Технология WEP (Wired Equivalent Privacy) была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Однако этот вид защиты достаточно легко вскрывается с помощью несложных подручных средств. В настоящий момент считается устаревшей и практически не используется.

3. WPA/WPA2-шифрование

WPA (Wi-Fi Protected Access) – достаточно стойкий алгоритм шифрования, высокий уровень безопасности которого достигается за счет использования специальных протоколов.

WPA2 - новый, еще более стойкий алгоритм шифрования.

Как правило, для защиты домашних сетей сейчас используется технология WPA-PSK или WPA2-PSK - там для входа в сеть используется ключевая фраза, которую нужно задать в настройках роутера и потом один раз ввести в устройстве, которое к этому роутеру подключается.

При использовании ZyXEL Netfriend, где есть специальная настройка беспроводных сетей, достаточно выбрать вид шифрования (WEP, WPA или WPA2) и задать ключевую фразу (пароль). Желательно, чтобы ключевая фраза отвечала всем требованиям к стойкости пароля, поэтому постарайтесь не использовать всякие "123456" или "password".

Для многих других роутеров подобные настройки делаются в админке - вот, например, для ASUS.


Настройки защиты Wi-Fi

Обратите внимание в настройках на верхнюю строчку SSID - это имя Wi-Fi-сети вашего роутера. Его нужно запомнить (при необходимости можно отредактировать) - чтобы не путать вашу сеть с соседскими, коих может обнаружиться вовсе не одна.

После того как все будет настроено, можно подключать другие устройства (компьютеры, коммуникаторы). Для проводных подключений больше ничего не должно потребоваться - просто втыкаете провод в компьютер, и через несколько секунд там должны появиться локальная сеть и Интернет.

Для подключений по Wi-Fi - включаете в ноутбуке (коммуникаторе) использование Wi-Fi, из списка доступных сетей (название вашей содержится в SSID) выбираете вашу, щелкаете по ней, после чего у вас попросят ввести пароль - такой же, как вы вводили в настройках роутера в строке "Пароль" (WPA Pre-Shared Key). После ввода пароля ноутбук (коммуникатор) должен получить выход в Интернет.

Старые ноутбуки-коммуникаторы могут не поддерживать новые виды шифрования. Если будут какие-то проблемы при использовании WPA2, тогда попробуйте на роутере изменить вид шифрования на WPA.

И еще. Часто задают вопрос, какое подключение лучше использовать: проводное или беспроводное. Разумеется, проводное подключение заметно надежнее (и быстрее) беспроводного. Но далеко не всегда есть возможность проложить провод, а кроме того, в случае ноутбуков и нетбуков, конечно, намного комфортнее подключаться к Сети в любом месте квартиры, а это обеспечивается именно беспроводным подключением.

Вот, пожалуй, и все. Конечно, здесь есть еще масса тонкостей и сложностей, но это все при необходимости можно найти в других статьях (в том числе и моих). У данной же статьи была задача рассказать самую основу подхода к раздаче Интернета по квартире.

© 1998–2024 Alex Exler
17.01.2011

Комментарии 69

Алекс, подскажите пожалуйста. Некоторое время назад вы писали в своем блоге, что вместо умершего Asus WL-500W купили RT-12. В этой статье вы пишите, что сейчас у вас RT-16. Вас RT-12 чем-то не устраивал или это просто опечатка? Спасибо.
20.01.11 18:43
0 0

Несколько лет пользуюсь wi-fi и не задумывался о безопасности. Сеть все время была открыта, но после этой статьи таки решил закрыть. Открыл доступные сети и обнаружил, что половина людей держит свои сети открытыми, половина закрытыми. Одно из название wifi сети было "JennyStopUsingOurIntenet" навело на мысль, что все таки правильно, что решил закрыть.
19.01.11 16:27
0 0

Кроме wi-fi есть еще один простой способ прокинуть сеть в удаленное место квартиры, если туда невозможно протянуть витую пару - через обычные электрические розетки. Я юзаю девайс WD Livewire:

www.wdc.com

www.thg.ru

В комплекте 2 устройства-близнеца. Втыкаешь их в 2 электрические розетки у себя дома - между ними появляется компьютерная сеть. В каждом устройстве 4 сетевых розетки - это типа хабы.

Преимущества:

- простота подключения: никаких настроек нигде делать не надо, для далекого от техники человека это может быть определяющим преимуществом;

- стабильность соединения: в отличие от wi-fi коннект не рвется;

- автоматическое шифрование канала, т.е. настраивать не надо.

Недостаток: никаких заявленных 200 Мбит/с нет в помине, есть 15-20 Мбит/с. Тестировал в разных помещениях с разным оборудованием, в т.ч. в запараллеленых розетках. Вообще-то и у wi-fi скорости очень далеки от заявляемых.

Цена: 3900 руб.

Знаю, что есть аналоги от других производителей, читал отчет о тестировании одного из них - скорость аналогично низкая.


19.01.11 10:16
0 0

Подключение IPTV-тюнера Билайн должно осуществляться между WiFi-рутером и провайдером. Таким образом трафик идет в свитч (Билайн дает его в комплекте), из него один провод идет в ТВ-приставку, а второй - в WiFi-рутер. В этом случае и рутер не перегружается, и ТВ не зависит от рутера.

Впрочем, если IPTV-тюнер берет потоки из Интернета, тогда, конечно, он должен идти через рутер. Например, у меня так подключен телевизор LG с Интернет-сервисами.
19.01.11 00:27
0 0



Я правильно понимаю, что для перехвата пакетов, передающихся по сети, злоумышленнику вообще не нужно регистрироваться в этой сети и быть ее членом?


На то она и беспроводная, что всё транслируется в эфир. На физическом уровне нет способа отличить "честный" приемник от "злоумышленника". Защита начинается на транпортном уровне с протоколом tls.
18.01.11 17:22
0 0



Насколько я понимаю, даже после обхождения всех защит подбор статического IP-адреса клиента и шлюзаможет оказаться нетривиальной задачей для взломщика...


ip адрес приемника и источника пакета входят в заголовок любого ip-пакета. Злоумышленнику не нужно ничего подбирать. Как бы этот кусок информации в беспроводной сети ему достается даром.



Когда компы из списка разрешенных МАС-адресов имеют полноправный доступ, одновременно же любой "посторонний" получает доступ только в инет, причем с сильно зажатой скоростью (до уровня проводного модема - сосед раздает на 33,6 кбит/с).

Сосед не колется - типа, секрет фирмы - может, хоть вы расскажете?


так в чем вопрос? Как разделить права доступа для "чужих" компьютеров и своих? Пользователь, пришедший с "черного" ip может залогинится только гостем, вот и не пускают его внутрь. Как ограничить скорость? Поставить трафик-шейпер. В нормальных операционых системах эта функциональность файрвола, в виндах отдельная программа.



Тогда первую неделю человек использует свою коробочку "как есть", потом ставит на нее переделанную прошивку, а еще через месяц лезет в шейпер и форумы со скриптами.


А после оказывается с голой жопой на уже. Поскольку никакого понимания своих действий этот человек не имеет, то постоянно наступает на грабли в системе безопасноти. Скажем, обкрывает доступ по телнету в беспроводной сети.
18.01.11 12:17
0 0

Derfflinger: ip адрес приемника и источника пакета входят в заголовок любого ip-пакета. Злоумышленнику не нужно ничего подбирать. Как бы этот кусок информации в беспроводной сети ему достается даром.
Я правильно понимаю, что для перехвата пакетов, передающихся по сети, злоумышленнику вообще не нужно регистрироваться в этой сети и быть ее членом?
18.01.11 16:55
0 0

Спасибо за статью.
18.01.11 11:56
0 0

И кстати - перед использованием девайса, если ваш уровень знаний позволяет это сделать, ПЕРЕПРОШИТЬ свежей прошивкой.

Желательно начать с официальной прошивки.

А то один хитрый девайс от Длинка встал однажды у меня в сети ПРОВАЙДЕРА DNS -сервером.

Провайдер мне потом настучал по репе.
17.01.11 22:23
0 0

AlexeyS: А то один хитрый девайс от Длинка встал однажды у меня в сети ПРОВАЙДЕРА DNS -сервером.



Для Длинка ОБЯЗАТЕЛЬНО заливать свежую прошивку - у меня был опыт с Dlink DIR-320, заводская прошивка оказалась кривая, и вообще они любят экспериментировать на пользователях. Еще интересно, что у них для России совсем другая линейка продуктов, отличная от общемировой.
17.01.11 22:31
0 0

После подключения всех устройств можно попробовать уменьшить мощность передатчика на роутере.

Если пониженной мощности будет везде хватать, то зачем лишний раз светить свою точку в эфире.
17.01.11 22:16
0 0

Алекс, мне кажется, в статье недостаточно подчеркнуто, что, если для содинения с интернет требуется установка дополнительного соединения (типа pppoe в стриме или pptp в билайне), то настраивать их надо именно на роутере, а не на компьютере.

Вы не представляете, сколько на профильных форумах жалоб типа: "купил роутер, настроил, но когда подключаюсь к интернет с ноута, то основной комп теряет связь", несмотря на все FAQ-и и предуперждения красными буквами.
17.01.11 21:14
0 0

Dir-320 проработал 2 месяца и пал смертью храбрых.

Пришлось срочно покупать из того, что в магазине было: ASUS WL-520GC.

Асусы почему-то не понимают DNS от нашего провайдера: ни в автоматическом режиме, ни в ручную прописанном, пришлось гугловский ставить. 2 часа потратил, пока допёр почему интернет не раздаётся.
17.01.11 21:02
0 0

Прокоменнтирую это так: статья полезная, но не до конца 😄

А именно: надо сформулировать, какие сейчас есть на рынке правильные роутеры сегмента SOHO, а их, заметим, всего три 😄

1. Dlink DIR-320 <=== WiFi b/g

2. Netgear WNR3500L <=== WiFi N

3. Asus RT-N16 <=== WiFiN, лучше не бывает 😄

Все остальное - компромиссы и недоделки. Эти три особенны тем, что под первые два есть

прошивка от vampik.ru , а для третьего есть как бы оригинал прошивки для первых двух 😄 - wl500g.googlecode.com/ И должен сказать, друзья, эти прошивки гораздо стабильнее и безглючнее всех этих dd-wrt и/или openwrt.

И последнее - не блок питания дохнет в Asus, а конкретно в блоке питания один конденсатор (в 90% случаев). Перепаиваешь на такой же или побольше/получше - сразу все опять начинает работать. Это все быстрее, чем ездить на Митино за подходящим БП.
17.01.11 20:12
0 0

jiri: Эти три особенны тем, что под первые два есть прошивка от vampik.ru, а для третьего есть как бы оригинал прошивки для первых двух 😄 - wl500g.googlecode.com/ И должен сказать, друзья, эти прошивки гораздо стабильнее и безглючнее всех этих dd-wrt и/или openwrt.





люди для которых написана эта статья вряд ли будут перепрошиваться или перепаивать конденсаторы. Надо, скорее, рекомендовать модель с самой простой админкой .
17.01.11 22:43
0 0

jiri: Asus RT-N16 <=== WiFiN, лучше не бывает



Ага, не бывает...

А еще у этого асуса нет 5 ГГц передатчика, что автоматически означает не более 150 Мб/с для интеловких сетевух.
18.01.11 17:11
0 0

Алекс - хотелось бы еще такую возможность рассмотреть (я сейчас так резервный канал имею, но как сосед его настроил - не представляю):
Когда компы из списка разрешенных МАС-адресов имеют полноправный доступ, одновременно же любой "посторонний" получает доступ только в инет, причем с сильно зажатой скоростью (до уровня проводного модема - сосед раздает на 33,6 кбит/с).
Сосед не колется - типа, секрет фирмы - может, хоть вы расскажете?
17.01.11 19:36
0 0

ailcat: Когда компы из списка разрешенных МАС-адресов имеют полноправный доступ, одновременно же любой "посторонний" получает доступ только в инет, причем с сильно зажатой скоростью (до уровня проводного модема - сосед раздает на 33,6 кбит/с). Сосед не колется - типа, секрет фирмы - может, хоть вы расскажете?



Может, у него Эпловский аэропорт или ещё что с возможностью гостевой сети?
17.01.11 22:44
0 0

Тут или роутер умеет держать несколько SSID (имен сетей) со своими приоритетами (это решение "из коробки"), и "хозяин" сидит в другой, приоритетной сети, или вручную настроен шейпер по своим правилам - тут уже требуется знание черной магии типа конфигурирования линукса/iptables
18.01.11 00:01
0 0

ailcat: Когда компы из списка разрешенных МАС-адресов имеют полноправный доступ, одновременно же любой "посторонний" получает доступ только в инет, причем с сильно зажатой скоростью (до уровня проводного модема - сосед раздает на 33,6 кбит/с).



Обычный гостевой режим, должен легко настраиваться в любом роутере.
18.01.11 19:10
0 0

Отт! Грамотно изложена та информация, которую я, далекий от темы, месяц назад собирал по кусочкам в интернет. Но, таки выбрал роутер, подключил, настроил и успешно раздаю. Вышла бы чуть раньше - сэкономил бы время и нервы. Спасибо, буду кидаться ссылкой 😄
17.01.11 19:26
0 0

Интересуюсь, а почему при обсуждении безопасности беспроводной сети никто не упомянул возможность отключения DHCP на роутере? Насколько я понимаю, даже после обхождения всех защит подбор статического IP-адреса клиента и шлюза может оказаться нетривиальной задачей для взломщика...
17.01.11 18:39
0 0

Jossy: почему при обсуждении безопасности беспроводной сети никто не упомянул возможность отключения DHCP на роутере?



А какой смысл - геморроя значительно больше на всех компьютерах IP вручную прописывать (И если это делается нечасто, обязательно что-нибудь забудете). Вот закрыть возможность удаленного администрирования и поменять логин и пароль в админке - это обязательно. Внутренний ip-адрес роутера тоже можно поменять - только бы его не забыть после этого.
17.01.11 22:16
0 0

Алекс, спс за статью, хотя все это и так знаю. Но есть вопрос - у ASUS RT-N16 есть USB-порт, к к-рому можно подключить внешний накопитель, а также прошиты некий примитивный torrent-клиент и какая-то простая качалка, к-рые работают без участия компа - Вы проверяли их работу? Очень хочется узнать, т.к. именно из-за этих возможностей планирую взять такой роутер.
17.01.11 18:02
0 0



то есть одновременно в сети могут находиться два и более устройств с одинаковым мак-адресом?


Одновременно -- геморройно. Но можно, если нужно (сносить крышу у "честных" будет только так, но злоумышленнику то плевать). Обычно злоумышленник ждет, пока честная сетевуха отваливается и открывает новое соединение уже для своей сетевухи.



для аутентификации пользую WPA2-Enterprise (есть еще маленькая тушка с радиусом) c кодированием TKIP+AES. Отключена трансляция SSID, включен фильтр МАС адресов, ключ - фраза из творчества Леся Подерв"янського на суржике - запоминается легко, набирается на английской раскладке ,длина около 40 символов.


tkip -- это протокол шифрования данных по WEP, aes -- WEP2. Шифровать повторно данные смысла не имеет (будет хуже, чем однократное шифрование сильным протоколом). В известных мне рутерах tkip and aes означает выбор шифрования клиентом по желанию. То есть WPA2 + AES для систем, все клиенты которых вам известны, более сильный вариант (tkip давно скомпрометирован). А, и сверхдлинные ключи обычно менее надежны, чем короткие, но с всякими кракозябрами.
17.01.11 16:10
0 0

Алекс. СПАСИБО ВАМ ОГРОМНОЕ !

Вы делаете очень важную штуку - ПРОСТЫМИ СЛОВАМИ , ОЧЕНЬ ДОСТУПНО И ЯСНО - ОБЪЯСНЯЕТЕ СЛОЖНЫЕ ВЕЩИ . А это , извините, - талант, такое уметь надо. Говорю вам это без шуток и сарказма - вы молодец !



Статья хорошая. Просто и без вывертов описаны начальные установки для работы с интернетом. Кому побольше знать - велкам на почитать, кому лень читать - велкам к специалистам. Статья хороша еще и для нашего городка - у нас в роли спецов от провайдера выступают молодые люди , нахватавшиеся умных слов. но не могущие их воплотить в жизнь, мне знакомым ,после них , доводилось не раз и не два отлаживать роутеры. у меня стоит linksys WRT54GL с томато на борту, для аутентификации пользую WPA2-Enterprise (есть еще маленькая тушка с радиусом) c кодированием TKIP+AES. Отключена трансляция SSID, включен фильтр МАС адресов, ключ - фраза из творчества Леся Подерв"янського на суржике - запоминается легко, набирается на английской раскладке ,длина около 40 символов.

По поводу вскрытия сети - да. вскрывается вроде бы любая сеть, но для того, чтобы взломать мою - у злоумышленника уйдет масса времени и средств, он плюнет да и уйдет - неинтересно оно ему будет. Вокруг масса сетей попроще с WEP-кодированием и коротенькими ключиками. Попытки взлома видел - пытались подбирать ключ, глушить канал ...минут 10 - и отваливались.
17.01.11 14:54
0 0

спасибо Алекс, можно сказать открыли глаза 😄))
17.01.11 14:24
0 0

Alex, спасибо за статью и поздравляю с успешным продолжением рубрики!
17.01.11 13:42
0 0

Вопрос. А можно ли как-то сделать в админке роутера, чтобы при необходимости отключать раздачу интернета на некоторые компы? У меня стоит Длинк ДИР-300. Раздача по квартире по Вай-Фай. Бывает необходимо запретить интернет на комп сына школьника, и хотелось бы это делать из админки.
17.01.11 12:56
0 0

docs56: А можно ли как-то сделать в админке роутера, чтобы при необходимости отключать раздачу интернета на некоторые компы?
Внести IP компа сына (или МАК сетевой карты) в список запрещенных адресов. Такая возможность должа быть.
17.01.11 13:03
0 0

docs56: А можно ли как-то сделать в админке роутера, чтобы при необходимости отключать раздачу интернета на некоторые компы? У меня стоит Длинк ДИР-300. Раздача по квартире по Вай-Фай. Бывает необходимо запретить интернет на комп сына школьника, и хотелось бы это делать из админки.



Да, можно. Надо посмотреть в разделе, кажется, "Файрвол" или "Правила доступа" (точнее не помню, но в админке находится легко), там можно задать разрешенное время работы по расписанию для конкретного MAC-адреса. При этом MAC-адрес руками вбивать не нужно - там есть выбор из списка имен подключенных компьютеров, а подставляется в результате MAC-адрес. Там же можно запретить доступ к отдельным URL/IP-адресам.
17.01.11 17:09
0 0

Есть еще одна тонкость - даже если у вас интернет по ADSL покупать, на мой взгляд, лучше все равно обычный роутер + АДСЛ-модем. Фиг его знает, куда завтра придется подключится, может быть к витой паре, может быть к телевизионному проводк - а роутер то АДСЛ.... И чего еще один роутер? Проще сменой модема проблему решать. (У меня так до сих пор АДСЛ роутер стримовский лежит, так никуда и не пригодился...).
17.01.11 12:51
0 0



научите, плз


Если ваше беспроводное соединение не шифруется, то любой спуфер слышит все ваши разговоры. А это значит, что злоумышленник знает ваши мак-адреса. Все современные сетевухи умеют подменять свой мак-адрес (это банально, мак-адрес сетевуха может сказать любой). Различить две сетевухи с одним мак-адресом внутри сети невозможно. Мак-адрес меняется ifconfig'ом (в винде -- где-то в реестре).
17.01.11 12:43
0 0

Derfflinger: Различить две сетевухи с одним мак-адресом внутри сети невозможно.

то есть одновременно в сети могут находиться два и более устройств с одинаковым мак-адресом?
17.01.11 12:48
0 0

У самого уже не первый год стоит в углу D-Link DIR-320 с open-wrt (до этого была "прошивка от Олега"). Все работает как часы, будучи один раз настроенным. Раздает интернеты на ноуты, стационарник и на Sony PS3 - все пучком.

Про обход авторизации по МАС тоже бы послушал с удовольствием. Сам пользуюсь WPA2-PSK с паскеем 10+ символов - вроде достаточно. Не понимаю людей, которые ставят все 64 знака на паскей. Особенно хотелось бы понаблюдать, как они вводят его при подключении той же PS3, когда под рукой нет свободной USB-клавиатуры.
17.01.11 12:37
0 0

darklion: Про обход авторизации по МАС тоже бы послушал с удовольствием. Сам пользуюсь WPA2-PSK с паскеем 10+ символов - вроде достаточно. Не понимаю людей, которые ставят все 64 знака на паскей. Особенно хотелось бы понаблюдать, как они вводят его при подключении той же PS3, когда под рукой нет свободной USB-клавиатуры.



100% защиты wi-fi сетей нет. Все, да именно ВСЕ способы защиты обходятся, при желании, умении и времени. МАК адрес, действительно, обходится легче всего, но и остальные споосбы не гагантируют полной защиты, об этом надо просто знать и помнить.

Если интересно как это делается - информации полно в интернете, включая готовые программные решения - единственное - нужно чтобы вайфайная карта поддерживала режим "прослушивания эфира" - все остальное делается анализом трафика. Больше трафика - больше информации для анализа - быстрее сеть будет взломана. Спасает от повсеместного взлома сетей хакерами-самоучками, скачавшими нужный софт только то, что карты с возможностью сканирования эфира нужно еще достать.

У меня в сети включена вся возможная защита, включая скрытие сети и фильтрации МАК адресов, а внутри сети - все что имеет ценность защищено дополнительно. Другое дело, что большинству пользователей домашнего итернета это все может и не понадобится. Существуют также корпоративные решения, сервера RADIUS и т.п. - но это уже другая история 😄
17.01.11 13:02
0 0

Алекс, а какая прошивка стоит на вашем рутере - оригинал или альтернатива одна из?
17.01.11 11:46
0 0

kbakkbak :Альтернативная от энтузиастов. Плохо только то, что этот роутер вчера сдох 😉
17.01.11 11:48
0 0

Было бы неплохо добавить, что у каждого крупного провайдера есть 4-6 "излюбленных" моделей роутеров. И имеет смысл выбирать именно среди них.

Но в принципе, согласен с azulen - для неразбирающихся в компьютерах и сетях, лучше и дешевле пригласить специалиста - из поддержки того же провайдера. Ибо нюансов куча, и роутер прекрасно работающий с Корбиной, может запросто встать под Нетбайнетом (о чем, вообщем-то в статье вскользь упомянуто).

PS. NetFriend имеет смысл ставить только совершенным новичкам - да, она (в половине случаев) сама автоматом устанавливает все параметры, но 1) весит тучу мегабайт 2) работает очень медленно 3) и самое главное, все эти параметры прекрасно ставятся через web-интерфейс. И детально описаны в инструкции. Вообще, ZyXEL молодцы - у них и инструкция прекрасная и саппорт очень оперативен.


aag
17.01.11 11:34
0 0

aag: NetFriend имеет смысл ставить только совершенным новичкам - да, она (в половине случаев) сама автоматом устанавливает все параметры, но 1) весит тучу мегабайт



Про тучу мегабайт - спасибо. Рыдал.
17.01.11 11:49
0 0

aag: Было бы неплохо добавить, что у каждого крупного провайдера есть 4-6 "излюбленных" моделей роутеров. И имеет смысл выбирать именно среди них.



Присоединяюсь!

Ничего нет хуже чем начинать разговор с саппортом с "у вас раутер который мы не поддерживаем, отключите его, тогда поговорим"

И как совет: я бы после фразы

Роутеры других производителей, если они не предоставляют подобных программ настройки, как правило, приходится конфигурировать через браузер:

добавил:

"подключите компьютер кабелем к одному из LAN портов"


17.01.11 22:40
0 0

Ваш пост был признан прекрасным и с уважением проанонсирован в дайджесте «FLASH 3.0» Мы готовы перевести на Ваш яндекс-кошелёк или телефон скромное вознаграждение в 100 рублей от фонда предпринимателя Артура Перепёлкина “V Rome”. Для этого сообщите нам, пожалуйста, необходимые цифры. Так же мы можем переадресовать Ваш гонорар в фонд «Справедливая помощь» doctor-liza.livejournal.com. Большое спасибо!
17.01.11 11:26
0 0

Хорошая статья. Хочу только добавить - после того как все wi-fi клиенты подключены, вполне можно запретить SSID broadcast. Будет безопаснее.


17.01.11 11:25
0 0

Только как предложение: может стоит упомянуть, что Windows XP поддерживает WPA2 только после ручной установки соответствующего апдейта от мелкомягких? Самое смешное - этот апдейт появился где-то во времена второго сервиспака, но не входит ни в него ни в третий сервис пак.

Upd: по поводу незащищенного соединения. Не знаю как в России, а в западной Европе главная опасность даже не в проникновении в домашнюю сеть, а в том, что если "прицепившийся" не дай Бог скачает или выложит в Интернет какой-то нелегальный контент (от музыки и видео до детского порно), то вам прийдется долго общаться с соответствующими органами, и еще не факт, что отмоетесь
17.01.11 11:07
0 0

Michaell: Windows XP поддерживает WPA2 только после ручной установки соответствующего апдейта от мелкомягких?



Если не ошибаюсь, то с сервиспак 3, он же и последний, никаких апдейтов дополнительно ставить не нужно. Все настраивается и прекрасно работает со штатными средствами.

По поводу NetFriend: довольно бесполезная штука. Не всегда корректно работает с ADSL-модемами, в частности, если у провайдера несколько зон (VPI\VCI). НетФренд выставляет как правило главую зону, а дополнительными могут быть проблемы. Иногда даже не находит само устройство. В общем глюков немеряно. Именно по этому я всегда пользуюсь только ручной настройкой. Хватает и 10 минут чтобы все настроить.



Andrey_M: одновременно в сети могут находиться два и более устройств с одинаковым мак-адресом?



Вы случайно не путаете с IP-адресом?



Snarky73: на мой взгляд, лучше все равно обычный роутер + АДСЛ-модем. Фиг его знает, куда завтра придется подключится



Абсолютно согласен и поддерживаю.


17.01.11 12:50
0 0

Жаль эта статья не появилась где-то полгода назад))

Все доступно, как раз для новичков.

Сам пользуюсь ASUS RT-N10, за свои деньги очень хороший выбор.
17.01.11 10:56
0 0

Спасибо за статью. Очень доступно и подробно.
17.01.11 10:43
0 0

Спасибо за подробную статью!

Единственное, что не понравилось, это следующая цитата:

В таблице разрешенных MAC-адресов роутера прописываете MAC-адрес сетевых карт домашних устройств (мы выше уже говорили о том, что это такое и как узнать MAC-адрес) и включаете режим контроля MAC-адресов. Способ изрядно геморройный (надо сначала узнать эти адреса, что не всегда просто, потом их прописать) и защищает на самом примитивном уровне. Сейчас редко используется.
Только им и пользуюсь. Самый удобный способ. Работает на 1-2-3.

1. Снимаю ограничение по MAC адресам.

2. Подключаю новое устройство по Wi-Fi.

3. В программе управление роутером (у меня от DR-WRT) смотрим МАС-адреса подключённых устройств, находим новый и добавляем в список. Всё! Остаётся опять включить фильтр по MAC.
17.01.11 10:39
0 0

Rostislav :

1. Все равно сложно.

2. Фильтр по MAC-у, как я написал, обходится ЭЛЕМЕНТАРНО.
17.01.11 10:49
0 0

На днях подключал iPad, так наоборот вышло - под WPA-PSK он отказывался входить в сеть, а после ручного изменения настроек на WPA2-PSK все заработало. Получается, старый вид шифрования он криво поддерживает, а новый - нормально.
17.01.11 10:33
0 0

А лучше пригласить специалиста и все сделать нормально...

Ибо, в любом случае, дилетантство - это дилетантство. А если человека в Google забанили - ему и эта статья не поможет.


17.01.11 10:23
0 0

Алекс, огроменное спасибище, ибо я уже замучился разному народу в своей конторе по паре раз в месяц все это рассказывать (каждый раз новому счастливцу с новым ноутом - заново). Хотя конечно не все вопросы это снимет (а может родит и еще больше), но на основные "как это?" и "что покупать?" ответы есть.


17.01.11 10:16
0 0