userok001
-
Posts
14 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by userok001
-
-
В 27.10.2016 в 19:53, MDP сказал:
Просто интересует вопрос по "стучащим" извне не званным гостям к сервису FTP в частности.
SFTP ?
-
В 31.10.2016 в 22:15, qpeeqp сказал:
это понятно, просто заинтересовался вопросом именно удаления учетки... т.к. через telnet доступ остается.
Через правила заблочил доступ к 23 порту всем. К 80 порту оставил только от одного компа из локальной сети.
Доступ к вебке можно отключить,а к телнету действительно не получается в правах юзера.
-
2 часа назад, IgaX сказал:
...
1. А ARP можно запретить безболезненно?
Без полной изоляции. Обычным правилом( в другом роутере или прошивке,где правила работают для подсетей)
2.>> NoForwarding=1 и/или NoForwardingMBCast=1 в RT2860AP*.dat
ХМ, посмотрел на гите. А за что именно отвечают эти параметры? Вижу переключатель интересного поля IsolateInterStaTraffic
if (FromWhichBSSID == pEntry->apidx) {/* STAs in same SSID */ if ((pAd->ApCfg.MBSSID[pEntry->apidx].IsolateInterStaTraffic == 1)) { /* release the packet */ bDirectForward = FALSE; bAnnounce = FALSE; } } else {/* STAs in different SSID */ if (pAd->ApCfg.IsolateInterStaTrafficBTNBSSID == 1 || ((FromWhichBSSID < MAX_MBSSID_NUM(pAd)) && (FromWhichBSSID < HW_BEACON_MAX_NUM) && (pAd->ApCfg.MBSSID[pEntry->apidx].wdev.VLAN_VID != pAd->ApCfg.MBSSID[FromWhichBSSID].wdev.VLAN_VID))) /* destination VLAN ID != source VLAN ID */ { /* Do not need to care WDS mode because packets from a WDS interface will be passed to upper layer for bridging. */ bDirectForward = FALSE; bAnnounce = FALSE; } }Выглядит как изоляция в одной ssid и разных влан
Предотвратит ли это сниффинг от ethernet устройств?
3. Думал включить EAP, но нужен радиус сервис, а локальный видимо только с openwrt.
-
14 часа назад, IgaX сказал:
Лишним не будет, конечно, чтобы заодно и на Radius потом выйти, но это уже не совсем SOHO, хотя многие стоки предлагают уровень Enterprise. Уже спрашивали. Можно попробовать накидать голосов. Из того, что я видел в мануале, в принципе, настроить можно на уровне драйвера.
Если конкретно по теме изоляции - не поможет, если атакующий пройдет авторизацию. GTK на броадкасте все равно будет общим. Без AP Isolation атака пройдет по всем подключенным к конкретной AP устройствам. Другое дело, что без фантазии авторизацию вряд ли пройдешь.
1.
https://habrahabr.ru/post/100176/
Посмотрел это, не очень понял.
Пройдя аутенфикацию, можно снифать траффик или нет?
Сниффать получится только wi-fi ?
Если можно,то как уберечься ?
2. Ограничение на частоту попыток есть ? Можно ведь добавить промежуток около 15 сек хотя бы после неправильного ввода независимо от мак адреса, подбор пароля займет вечность.
-
Хотелось бы иметь такую возможность из соображений безопасности.
Очень актуально для wi-fi
-
1
-
-
46 минут назад, IgaX сказал:
Не совсем, не смотря на возможности ACL. Посмотрите на разницу в мануале в секции: 3.22.88 interface security-level.
- Само устройство принимает сетевые подключения (разрешает управление) только с интерфейсов private.
- protected интерфейсы не имеют доступа к устройству и другим private/protected подсетям, но они имеют доступ к public интерфейсам и интернету. Устройство обеспечивает защищенным сегментам только доступ к службам DHCP и DNS.
Вот так правильно ?
1.Protected = private + no isolate + access list
2.Private + isolate = private + no isolate + access list
Если да, то protected можно рассматривать как предопределенные правила, которые будут иметь выше или ниже приоритет ,чем ручные ACL.
То есть ничего нового protected не добавит.
Кстати всегда ли ниже?
>> Не совсем, не смотря на возможности ACL
Это не понял.
-
49 минут назад, IgaX сказал:
При прочих равных.
В общем, в чем смысл: тут все, так или иначе, упирается в сборку бриджей. Если для воздуха хотите через гостевую пустить, то она уже на своем отдельном "невидимом" бридже висит, который, по идее, наследует настройки WifiMaster0/AccessPoint1, где security-level protected,
Protected = private + isolate = private + no isolate + access list ? Если да, то protected это просто безопасная плюшка , у которой естб альтернативы.
-
AP Isolation. - Access Point isolation ?
Входящие подключения у меня слушает только ethernet устройство. Раздает медиа.
Для текущих задач + vlan на каждый ethernet порт - этого было бы достаточно.
-
Добрый день.
Имеется в наличии zyxel keenetic старый, прошивка v1. Первое и второе планирую обновить.
Использую для дома, хочу максимально строго настроить запрет соединений между клиентами в любой сети.(WI-FI, в идеале ethernet,но тут как я понял ,
это решается созданием влана на каждый порт, wi-fi устройств у меня много, ethrnet мало).
То есть я хочу открыть пару портов для раздачи медиа с ethernet устройства(пока что) и запретить все остальные локальные соединения.
Есть ли такая возможность на 1 или 2 прошивке? Или мне требуется совсем другое устройство?
Спасибо.
Банальная узъявимость веб-админки CSRF
in Развитие
Posted · Edited by userok001
Известные XSS не проверял, лень.
На примере страницы добавления пользователей посмотрел, как проверяется запрос.
Есть проверка на content-type. В данный момент в HTML стандарте нет типа text/xml для <form,
поэтому отправить запрос с фиктивной страницы не получится с этим типом.
Давно не занимался вебом, могу ошибаться.
Способна ли админка обработать обычный запрос в виде &aaa=bbb не знаю, не проверял.
Проверки на рефер вообще нет. Тестил через RestMan
Послать через ajax POST не получилось, все загнулось на OPTIONS, не передались автоматом данные для basic авторизации. Получил not auth.
Если поддерживается только text/xml и OPTIONS не вернет OK для кросс запроса, то ситуация терпимая при текущем HTML стандарте
1. Но почему просто не добавить CSRF защиту ?
2. Заменить basic авторизацию на авторизацию с куками, то есть временной сессией, причем временной на серверной стороне.
3. Пытался через трансляцию адресов сменить порт 23 на другой в домашней сети. Почему-то не работает. Видимо я что-то делаю не так.
На 80 рисковать не стал) (v2.04)