Jak zabezpieczyć sieć WiFi(ISP) przed nieautoryzowanym dostępem?

Witam!

Mam od kilku latek sieć osiedlową. Router zbudowany na debianie, kilka switchy, 2x AP. Wszystko działa jak należy.

Pewnego dnia odciąłem internet jednemu kolesiowi za nieopłacone rachunki, a ten zaczął podszywać się pod sąsiadów (zmienia MAC'i)... Mam 100% pewności ponieważ dostaję logi od arpwatch'a.. Wydaje mi sie jedynym sensownym rozwiazaniem w tej sytuacji postawienie jakiejs strony autoryzacyjnej ktora dopuszcza klientow wifi do neta i jest to wszytko powiazane z macami i ip... Co i jak nalezy postawic? Slyszalem o radius i o pppoe ale nie wiem z czym to sie je i o co w ogole chodzi, moze ktos mi da jakies linki czy cus? albo jakies inne wyjscie z sytuacji. dodam iz nie ma mowy o "odpieciu kabelka" poniewaz na tym kabelku sa jeszcze 3 osoby

Czy możesz napisać jaki mechanizm zabezpieczenia stosujesz ? (WEP, WPA...)

Jeżeli masz WEP to podszycie się i podłączenie w sieć jest naprawdę łatwe i zajmuje niewiele czasu.

nie stosuje zadnego, z reszta to nie ma znaczenia bo to "swoj" koles.... zaraz pewnie uslysze slowa krytyki "jak to nie stosujesz, przeciez to glupota"... wiem, ale nie bede latal do ludzi bo nie moga sie polaczyc bo zle wpisuja jakies tam haslo WEP/WPA czy jeszcze inne..... ale teraz chyba i tak bede musial na hasla zrobic...

Dodano po 38 [minuty]:

wlasnie przyszlo mi cos do glowy... a jesli jest jakis radius czy pppoe czy jakies inne cos i prawdziwy user sie zautoryzuje i ma internet i ta osoba sie pod niego podszyje to tez bedzie miala tak?????

Jak zrobisz PPPoE to nie będzie miał możliwości podsłuchania hasła, bo leci zaszyfrowane a pożyczenie hasła od sąsiada skutkuje rozłączeniem wcześniejszego użytkownika, więc nikt mu nie da swojego loginu i hasła.

Tutaj WEP czy WPA nic nie pomoże - hasło user i tak zna, musiałbyś co chwila wszystkim innym zmieniać, a to raczej nie wchodzi w grę.

A co do sznurków - w google rzuca linkami jak dobry budowlaniec mięsem - chociażby http://www.freeantennas.com/PPPoE-Server-HOWTO.html

To jaki kolego z Ciebie administrator jak nie chronisz ani danych ani łącz klientów? Za co bierzesz pieniądze? Do roboty zakładaj co najmniej WPA i nie słownikowe hasło bo połowa osiedla się podłączy, z hasłami problemów nie ma żadnych zapisujesz na umowie i po kłopocie. Pomyśl tylko jak ktoś podsłucha transmisje wyłapie hasła i pokasuje konta pocztowe, gg itd. do kogo przyjdą klienci z pretensjami?

Dodano po 6 [minuty]:

piterus99 napisał:

Tutaj WEP czy WPA nic nie pomoże - hasło user i tak zna, musiałbyś co chwila wszystkim innym zmieniać, a to raczej nie wchodzi w grę.

Hasła user nie zna bo hasła nie ma. Dlaczego według Ciebie WPA nic nie pomoże?
PPPoE pewnie, że byłoby najlepsze tylko pytanie czy kolega ma możliwości.

wep/wpa uwazam ze nie pomoze, gdyz musze podac haslo userowi (user ma wlasna karte sieciowa), a co za tym idzie skoro zna haslo to i tak moze sobie maca zmienic i tak....

tutaj potrzebuje jakiegos systemu coby zareagowal jak klient zmieni maca.... zastanawialem sie nad jakims softem ktory by klient u siebie odpalal i na podstawie tego softu router tworzyl routing ale raczej odpada bo czesc osob ma xp czesc viste a jedna jakiegos macbooka czy cus....

PPPoE ma tutaj rację bytu - nie ma lepszego rozwiązania. Dałem Ci howto, popróbuj sobie na VirtualPC jak to działa i wdroż, byle szybko bo tracisz kasę

Użytkownikom powiedz, że przyspieszy to ich połączenia, przyczyni się do bezpieczeństwa itd.

oki, popróbuje ale jak narazie to nic z tego nie kumam o co w ogóle chodzi ...

a czy nie będzie takiej sytuacji ze jak uzytkownik sie zautoryzuje to mozna podszyc sie pod jego maca i miec internet??

Nie. Autoryzacja tworzy tunel, możesz wtedy w ogóle wyłączyć kontrolę po MACach. Gdyby podszywanie się coś dawało, cały mechanizm byłby bez sensu.

ja to jestem chyba jednak na to za glupi.... czy zainstalowanie tego pppoe umozliwi mi cos takiego ze klientowi pojawi sie strona z autoryzacja i dopoki nie przepusci go dalej nie bedzie mial neta czy to umozliwa tylko zrobienie tunelu miedzy np. AP a serwerem???

Jest to tunel między użytkownikiem a serwerem.
Fajniej to zrobić nie stroną a po prostu logowaniem takim jak np w neostradzie. Jest to wygodniejsze dla użytkownika, sam niewpakowałbym się raczej w dostęp do sieci z takim "logowaniem"