Afhankelijk van je doel.
Een voorbeeld van al behoorlijk veilig,
Aan de hand van algoritme of codering op de Access Point MAC addressen rouleren, zegge op grond van wachtwoord, client side script wat conform dit algoritme/codering MAC adres spooft.
Dan per MAC een aparte versleuteling, dus per MAC apart wachtwoord op grond waarvan MAC dagelijks rouleert.
Daarbovenop user-agent (uniek, dus niet real, ook gespoofed) als extra authenticatie aan dat MAC adres knopen, dan een DHCP lease voor max. 24 uur en daarna verbinding verbreken.
Dan bij verbinding een javascript pagina die een client hardware sleutel genereert om te matchen met ook weer aan MAC verbonden waarde, die wanneer geaccepteerd, je uit een untrusted VLAN in een trusted VLAN een on-the-fly voor die verbinding opgebouwde OpenVPN account biedt, eventueel nog na SMS/gebruiker/wachtwoord authenticatie, voor bovenop je basis wifi versleuteling.
Wanneer je dan via die VPN een AP router gebruikt die via aparte WAN, op ander backbone, altijd SSL wrapped DNS queries en routes controleert, daarbij ook nog willekeurig je metadata en cookies anonimiseert behalve de bestemmingen in je whitelist, daarbij ook nog tracking, advertising, phishing domeinen filtert, wordt het al aardig richting military grade.
suc6.
[edit]beetje edit, meer begrijpelijk. Oh ja, uiteraard statische wifi versleuteling instelling, geen enkele propagatie en AP nergens anders laten antwoorden dan behalve bij correcte instelling, iedere incorrecte verbindingspoging loggen, en bij aantal incorrecte verbindingspogingen binnen bepaalde tijd admin laten waarschuwen en eventueel AP/repeater eruit. geen wifi roaming. dan zou je ook nog je spoofed user-agent en je vpn versleuteling kunnen laten rouleren, IDS'je/AV erbovenop en dan komt het al nog meer richting military grade. wel beetje overdreven voor huis tuin keuken ap, maar kan wel hoor. en iedere gebruiker in eigen subnet/vlannetje proppen. gecentraliseerd delen uiteraard. hehe, lekker hobbyen.
je behoort dan ook nog, beter dan alleen dhcp lease, je wicd of ap iedere 24 uur te killen/herstarten en als je dat dan in een speciaal gebakken chrooted doet met willekeurige offset adresjes enzo, wordt het pas echt lastig. retteketet.
en dan is het nog niet echt veilig, digitale techniek is nu eenmaal omgekeerde piramides van combinaties van nullen en enen, hoe meer combinaties, hoe meer mogelijkheid, hoe minder afsluitbaar. mensen vergeten vaak dat iedere vorm van afsluiting eigenlijk meer nullen en enen combinaties, dus mogelijkheden of openingen, zijn. digitale techniek is gemaakt voor openheid, hoe meer ontwikkeling, hoe meer openheid. security these days means trying to call doors walls and just try and make people accept it as if. security zou continuety moeten zijn, wat security tegenwoordig probeert is het tegenovergestelde van wat digitale ontwikkeling heet, digitale ontwikkeling noemen. retteketetteketet!