Требуется блокировка по МАС адресу

[dittel.spb]

Коллеги, давно пользую Кинетик дома, без него жизнь не жизнь

В домашней сети есть устройства, требующие внешнего доступа: например, NAS, на котором крутится почтовый сервер и веб-сайты (мой, супруги итд). Заметил резкий рост попыток взлома устройств как брутфорсом так и более изощренных с использованием подмены IP адреса. Однако "тупые кулхацкеры" часто используют один и тот же домашний(?) компьютер с той же самой сетевой картой, МАС адрес которой легко бьётся по трейсам (который, кстати, еще снять надо! ). В итоге, большинство схем защиты просто не работают, потому что основаны на постоянном IP адресе (например в NAS от Synology, поддержка которой ныне ушла в пампасы и просить их сделать подобную схему защиты от взлома ныне бесполезно) .

Очень сильно нужна блокировка по MAC адресу!

Причем, в отличие от Wi-Fi подключения, - требуется блокировка на канале из интернета, а уж он может быть как проводной, так и беспроводной, как основной так и резервный...

[keenet07]

Вас что из стека адресов провайдера атакуют?

В противном случае не понятно о каком мак-адресе может идти речь. Мак удаленного компа где-то в интернете вот так напрямую вы не увидите. Это другой уровень OSI.

Edited August 1, 2023 by keenet07

[dittel.spb]

А я именно и говорю про "некий удаленный" компьютер. И таки пишу что "его еще надо увидеть и оттрасссировать". Но эта сложность не снимает задачи блокировать попытки взлома. Если не вручную, то, возможно, автоматически: например, зафиксировав три-четыре раза на одном MAC адресе разные IP адреса за определенный промежуток времени - отправить этот МАС в бан (если уж не доверять пользователю). Хотя тут тоже неоднозначно, если сам хозяин может зайти через пару-тройку разных VPN - его тоже в бан? Значит, нужен и белый список и черный...

[keenet07]

Мак адрес конечного устройства это физический адрес. Если он не находится в одной с вами подсети, вы его не увидите. И тем более не заблокируете. Увидеть вы можете только крайний IP адрес с которого к вам обращаются. Трассировка это тоже не об этом. Так вы лишь увидите маршрут из IP адресов от вашего IP до его IP адреса. Не более того. Там нет никаких MAC-адресов.

Банить можете либо по конкретному IP, либо сразу подсетями. Чтоб он не зашёл из того же пула. Если работают из под VPN, то нужно выявить что это за VPN по домену или по IP адресам и так же перебанить все его подсети по IP.

Edited August 1, 2023 by keenet07

[dittel.spb]

ОК. Будем думать

[Mamay]

3 часа назад, dittel.spb сказал:

 Если не вручную, то, возможно, автоматически: например, зафиксировав три-четыре раза на одном MAC адресе разные IP адреса за определенный промежуток времени - отправить этот МАС в бан

ip http lockout-policy 4 60 1

[krass]

31 минуту назад, Mamay сказал:

ip http lockout-policy 4 60 1

так это сработает если с одного айпишника атака, а если массированная атака, допустим с несколько  тысяч айпишников? 

[Mamay]

19 часов назад, krass сказал:

так это сработает если с одного айпишника атака, а если массированная атака, допустим с несколько  тысяч айпишников? 

Всю тыщу айпишников keenos и залочит.

[MDP]

У synology есть свой механизм для отправки в бан брутфорсеров и хранит он эту базу не в оперативной памяти. Странно, что автор этого не увидел. 

[Migel]