anticr Posted July 13, 2017 Share Posted July 13, 2017 Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в разделе "сеть Wi-Fi" вкладка список доступа Quote Link to comment Share on other sites More sharing options...
0 r13 Posted July 13, 2017 Share Posted July 13, 2017 1 минуту назад, anticr сказал: Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в разделе "сеть Wi-Fi" вкладка список доступа Telnet в помощь. Скопировали весь блок, в окошко и готово. ЗЫ сохранить можно выгрузив startup-config. Quote Link to comment Share on other sites More sharing options...
0 sergeyk Posted July 13, 2017 Share Posted July 13, 2017 1 минуту назад, anticr сказал: Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в разделе "сеть Wi-Fi" вкладка список доступа Почему просто не сохранять startup-config целиком? Вы так часто меняете только эти списки? Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса. Quote Link to comment Share on other sites More sharing options...
0 anticr Posted July 13, 2017 Author Share Posted July 13, 2017 1 минуту назад, sergeyk сказал: Почему просто не сохранять startup-config целиком? Вы так часто меняете только эти списки? Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса. адреса редко меняются. А сеть настроена пароль на сеть плюс фильтр по mac адресу. Но порой приходится настраивать сразу два роутера, один giga ii, а другой giga iii, устройства в них почти одни и те же. И вданном случае проще подготовить один файл, а потом его уже использовать. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted July 14, 2017 Share Posted July 14, 2017 Соглашусь с вариантом выше - берем готовый блок с MAC из config - giga ii и вставляем его в config - giga iii Скрытый текст mac access-list address хх:хх:хх:хх:хх:3f mac access-list address хх:хх:хх:хх:хх:85 mac access-list address хх:хх:хх:хх:хх:fb mac access-list address хх:хх:хх:хх:хх:47 Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted July 14, 2017 Share Posted July 14, 2017 9 часов назад, sergeyk сказал: Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса. Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что? Quote Link to comment Share on other sites More sharing options...
0 anticr Posted July 14, 2017 Author Share Posted July 14, 2017 25 минут назад, vasek00 сказал: Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что? В разделе "Точка доступа ", в пункте защита сети стоит WPA2-PSK, а в разделе "Список доступа 2,4 ГГц" выбран режим блокировки "белый список". Тем образом если mac адрес не находится в этом списке устройство не будет подключено к данной сети. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted July 14, 2017 Share Posted July 14, 2017 (edited) 3 часа назад, anticr сказал: В разделе "Точка доступа ", в пункте защита сети стоит WPA2-PSK, а в разделе "Список доступа 2,4 ГГц" выбран режим блокировки "белый список". Тем образом если mac адрес не находится в этом списке устройство не будет подключено к данной сети. С этим все ясно, не ясно с другим постом, который был не вам. Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса. Edited July 14, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
0 Mamay Posted July 15, 2017 Share Posted July 15, 2017 20 часов назад, vasek00 сказал: Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса. Видимо имелось ввиду что фильтр по mac из Black/White list, и запрет на доступ не зарегистрированным устройствам + lockout-policy не помогают зловреду соседу отбить желание заглянуть в вашу сеть... Quote Link to comment Share on other sites More sharing options...
0 sergeyk Posted July 15, 2017 Share Posted July 15, 2017 В 7/14/2017 в 08:51, vasek00 сказал: Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что? А дальше выдает себя за клиента с этим маком, когда настоящий клиент в сети отсутствует. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted July 16, 2017 Share Posted July 16, 2017 22 часа назад, sergeyk сказал: А дальше выдает себя за клиента с этим маком, когда настоящий клиент в сети отсутствует. И что ну узнал MAC клиента и имя базовой, ну поставил его MAC, а дальше то что, остается пароль от базовой по логике того что везде написано в интернете - снифер сети и поиск ключей (от аутенфикации). На основании этого делаю вывод, что таких специалистов в районе действия БС найти трудно, это к вопросу Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса Quote Link to comment Share on other sites More sharing options...
0 sergeyk Posted July 16, 2017 Share Posted July 16, 2017 11 минуту назад, vasek00 сказал: И что ну узнал MAC клиента и имя базовой, ну поставил его MAC, а дальше то что, остается пароль от базовой по логике того что везде написано в интернете - снифер сети и поиск ключей (от аутенфикации). На основании этого делаю вывод, что таких специалистов в районе действия БС найти трудно, это к вопросу Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса Каким образом наличие белого списка помогает защищать сеть? Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted July 16, 2017 Share Posted July 16, 2017 2 часа назад, sergeyk сказал: Каким образом наличие белого списка помогает защищать сеть? Ответ вопросом на вопрос с вашей стороны, как то не корректен, с моей стороны была просьба пояснить сказанное вами. Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса Еще раз повторю ну узнал MAC клиента и имя базовой, ну поставил этот MAC на своем устройстве - белый список роутера отработал ПРОПУСТИЛ данного клиента только к следующему этапу аутенфикации на данной БС т.е. он не попал еще пока в сеть и IP не получил, так или попал и уже может "чудить"? Защищать сеть с использованием белого списка - надо и нужно, тем самым уменьшите кол-во мусора от любопытных (злых или не злых соседей), для того чтоб узнать MAC нужны кой какие познания в этой области, для того чтоб влезть на БС как говориться нужен уже следующий уровень познаний и т.д. Quote Link to comment Share on other sites More sharing options...
0 sergeyk Posted July 16, 2017 Share Posted July 16, 2017 14 минуты назад, vasek00 сказал: Ответ вопросом на вопрос с вашей стороны, как то не корректен, с моей стороны была просьба пояснить сказанное вами. Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса Еще раз повторю ну узнал MAC клиента и имя базовой, ну поставил этот MAC на своем устройстве - белый список роутера отработал ПРОПУСТИЛ данного клиента только к следующему этапу аутенфикации на данной БС т.е. он не попал еще пока в сеть и IP не получил, так или попал и уже может "чудить"? Защищать сеть с использованием белого списка - надо и нужно, тем самым уменьшите кол-во мусора от любопытных (злых или не злых соседей), для того чтоб узнать MAC нужны кой какие познания в этой области, для того чтоб влезть на БС как говориться нужен уже следующий уровень познаний и т.д. Стойкость системы ко взлому нужно оценивать не из возможностей самого слабого атакующего ("злого" соседа), как вы себе нафантазировали, а из возможностей самого сильного (специалиста в области Wi-Fi и криптоанализа), обладающим всеми нужными инструментами и знаниями. Во втором случае блокировка по спискам может только слегка затруднить атаку, но никак не предотвратить. Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать. Quote Link to comment Share on other sites More sharing options...
0 IgaX Posted July 16, 2017 Share Posted July 16, 2017 1 час назад, sergeyk сказал: Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать. как бы выбирать не приходится, WPA2-Enterprise в списке предлагаемых вариантов защиты сети отсутствует и к этому уровню дров удобно (и, как я себе это понимаю, доступ к дровам монопольный у прошивки) не подобраться даже если самостоятельно поднять остальную инфраструктуру. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted July 16, 2017 Share Posted July 16, 2017 (edited) 3 часа назад, sergeyk сказал: Стойкость системы ко взлому нужно оценивать не из возможностей самого слабого атакующего ("злого" соседа), как вы себе нафантазировали, а из возможностей самого сильного (специалиста в области Wi-Fi и криптоанализа), обладающим всеми нужными инструментами и знаниями. Во втором случае блокировка по спискам может только слегка затруднить атаку, но никак не предотвратить. Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать. Этот специалист который как вы назвали "сильным" находиться у вас через стенку или сидит на улице и только и ждет того момента когда вы войдете в сеть. Фантазии ваши у меня реальность и я спокоен с 2010г. как-то. IgaX можно даже и по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень. Edited July 16, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
0 anticr Posted July 16, 2017 Author Share Posted July 16, 2017 В ходе этого обсуждения, у меня возник вопрос вообще насколько реально сменить(подменить) мак адрес у устройства. На сколько я знаю на винде начиная с восьмёрки я так и не нашел как это можно сделать было. Про Линукс вроде примерно понимаю как это сделать, хотя на практике это делать не надо было. Quote Link to comment Share on other sites More sharing options...
0 sergeyk Posted July 16, 2017 Share Posted July 16, 2017 22 минуты назад, vasek00 сказал: Этот специалист который как вы назвали "сильным" находиться у вас через стенку или сидит на улице и только и ждет того момента когда вы войдете в сеть. Фантазии ваши у меня реальность и я спокоен с 2010г. как-то. IgaX можно даже и по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень. Не важно, где он находится, главное, что ваша блокировка по MAC-адресам для него не помеха. Значение в конечном счете имеет только криптостойкость алгоритма шифрования и длина ключа. Quote Link to comment Share on other sites More sharing options...
0 IgaX Posted July 16, 2017 Share Posted July 16, 2017 1 час назад, vasek00 сказал: по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень WPA2-EAP дает выход на динамическое ключевание с AP в любом случае и скомпрометировать всю сеть не выйдет, макс. только учетку/клиента и то на два делить т.к. там уже другие механизмы следят (должны/принято) за пользователем в плане типичного профиля использования сети, пойдут девиации и паранойя учетку вырубит, дальше уже как протокол велит; без него (WPA2-EAP) просто WPA2-PSK (сам пасс) можно, в теории, "100-пудово" защитить в рамках разделения ключевого материала при 802.11r-2008 (FT-PSK), но клиент должен поддерживать. Во втором случае как бы достаточно, чтобы тот же Hostapd из Entware встал нормально в нужных ролях без конфликта с дровами, для первого все равно вроде нужно менять вектор AuthMode=WPA2PSK -> AuthMode=WPA2. На мой взгляд, каких-то глобальных сложностей в настройке/поднятии всего этого дела пользователем по грамотной инструкции - нет. Но за пользователя уже ответили, что ему это на* не надо, а кто-то будет ждать (а кто-то, может, и не будет, переживет, поставит ворон пугать на входе). Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted July 16, 2017 Share Posted July 16, 2017 1 час назад, sergeyk сказал: Не важно, где он находится, главное, что ваша блокировка по MAC-адресам для него не помеха. Значение в конечном счете имеет только криптостойкость алгоритма шифрования и длина ключа. НЕ помеха чего - получить возможность передать несколько пакетов ( Probe Request / Probe Response они не мешают ) и УТКНУТЬСЯ ( Association Request / Association Response ) или проще ждемс пароль для БС. Не путайте понятие "защищать" свою сеть тут даже сетью сложно что-то представить. Quote Link to comment Share on other sites More sharing options...
0 Alexandr Alexandrovich Petnitsky Posted September 8, 2017 Share Posted September 8, 2017 В 16.07.2017 в 15:06, anticr сказал: В ходе этого обсуждения, у меня возник вопрос вообще насколько реально сменить(подменить) мак адрес у устройства. На сколько я знаю на винде начиная с восьмёрки я так и не нашел как это можно сделать было. Про Линукс вроде примерно понимаю как это сделать, хотя на практике это делать не надо было. В Windows 10 это встроенная функция подмены MAC А почему в списках доступа по 2.4GHz и по 5GHz MAС разные, хотя и там и там они присутствуют и от кабельных устройств, и в списке 5GHz например от 2.4GHz only. Нельзя ли сделать ОДИН список фильтрации MAC, с колонкой способ подключения, с возможностью импорта/экспорта и сортировки. А в идеале ещё и с колонкой производитель устройства. например: MAC - IP - Connection (WiFi2.4/WiFi5/Cable10/100/100) - Allow/Deny - Internet(Yes/No) - Manufacturer Quote Link to comment Share on other sites More sharing options...
0 Alexandr Alexandrovich Petnitsky Posted September 22, 2017 Share Posted September 22, 2017 А почему в списке "Список устройств домашней сети" DHCP сервера можно записать только 64 хоста? Больше не даёт - ругается. И это на Ультра 2 - максимальном роутере в линейке кинетиков-то.... Quote Link to comment Share on other sites More sharing options...
0 Alexandr Alexandrovich Petnitsky Posted September 22, 2017 Share Posted September 22, 2017 Sep 22 22:26:14ndm Dhcp::Server: host limit (64) exceeded. Sep 22 22:26:14ndm Core::KnownHosts: host limit exceeded, the maximum of 64 hosts reached. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted September 22, 2017 Share Posted September 22, 2017 У вас реально больше 64 устройств в сети? За все эти годы вы всего лишь _второй_ человек, добравшийся до этого лимита. А значит, он в целом адекватен. Quote Link to comment Share on other sites More sharing options...
0 Alexandr Alexandrovich Petnitsky Posted September 27, 2017 Share Posted September 27, 2017 Так а почему у двухголового роутера с нормальной конфигурацией такое ограничение? Чтобы его в смоллофис не пользовали? В более древнем NetGear WNDR3700v1 такого не наблюдалось. И кто был первым? То есть мелкий офис с 25 клиентами на ноутбуках (2 MAC Ethernet + Wifi) + столько же мобильников + столько же айпи телефонов - и всё? Или мелкий офис разработчиков железок с кучей девайсов - и верхний в линейке кинетик в пролёте? Странное позиционирование. Ладно бы с омни или в лайте, но в ультра 2? Quote Link to comment Share on other sites More sharing options...
0 Alexandr Alexandrovich Petnitsky Posted October 9, 2017 Share Posted October 9, 2017 (edited) А в списке DHCP одновременно видеть Description и MAC и IP можно? И ИТОГО хотелось бы - а то даже количество устройств на видно. Edited October 9, 2017 by Le ecureuil Реклама погрызена Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted October 9, 2017 Share Posted October 9, 2017 2 часа назад, Alexandr Alexandrovich Petnitsky сказал: А в списке DHCP одновременно видеть Description и MAC и IP можно? И ИТОГО хотелось бы - а то даже количество устройств на видно. Пишите в хотелки по New NDW. В текущей версии веб уже ничего меняться не будет. 1 Quote Link to comment Share on other sites More sharing options...
Question
anticr
Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в разделе "сеть Wi-Fi" вкладка список доступа
Link to comment
Share on other sites
26 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.