Куда подевалась фильтрация по MAC адресам?

[blbulyandavbulyan]

Где в новом веб-интерфейсе фильтрация по mac адресам?

[ndm]

В 11.04.2018 в 17:56, blbulyandavbulyan сказал:

Где в новом веб интерфейсе фильтрация по mac адресам?

Есть новости. Мы с отделом продукции проанализировали, как использовались черные/белые списки. Публикуем выводы здесь. Давайте обсуждать. Возможно, какие-то детали изменятся.

 

Черные/белые списки Wi-Fi

Признаём, проблема, вызвавшая весьма негативную реакцию. Из-за удаления черных/белых списков у пользователей пропала возможность решать следующие задачи:

1. Блокировать доступ устройствам Wi-Fi к домашней сети.

2. Блокировать доступ к 2,4 ГГц, вынуждая клиента всегда выбирать 5 ГГц.

3. Блокировать подключение Wi-Fi репитера не к той точке доступа.

В исходном виде функцию вернуть невозможно. Она противоречит дальнейшим планам по реализации Wi-Fi системы. Каждая из перечисленных задач будет решена в версии 2.13 на новом уровне и гораздо удобнее, а именно:

1. Добавление более жесткого уровня запрета доступа в модуль ip hotspot. *

2. Гибкая настройка Band Steering для отдельных устройств.

3. Автоматическая блокировка MAC-адреса репитера при добавлении в Wi-Fi систему. (Подобные настройки должны делаться без вмешательства пользователя.)

В CLI черные/белые списки Wi-Fi по-прежнему доступны, их удаление не планируется.

* Здесь поясню. В API системы ip hotspot будет добавлен новый уровень запрета для сегментов и хостов. На странице "Приоритеты подключений" добавляется более жесткий режим: "Без доступа к Wi-Fi", куда можно перетаскивать сегменты и хосты. У черных и белых списков в драйвере нет жестких ограничений по размеру, поэтому сформированные списки можно передавать на все будущие устройства домашней Wi-Fi системы.

Использование текущего API "interface mac access-list" в веб-интерфейсе приведет в тупик, а нового API пока нет. Поэтому в 2.12 придется пожить без блокировки Wi-Fi в вебе.

---

04.08.2018: дальнейший анализ показал, что оптимально делать запрет доступа посегментно. (Первоначальная идея с ip hotspot не позволяет разрешить доступ, например, только в гостевую сеть.) В таком виде ACL реализован в версии 2.13.A.4.0-1 и добавлен в веб-интерфейс. Всем спасибо за конструктивную критику!

 

[T@rkus]

В 12.04.2018 в 13:12, Dmitry Tishkin сказал:

Расскажите, пожалуйста, как вы используете фильтрацию.

В офисе и прочих местах где установлены Keenetic загоняю в черный список товарищей непонятно откуда узнавших пароль от офисной сети и ползающих по ней с различных устройств. Функция однозначно нужна. Тем более она заявлена.

[blbulyandavbulyan]

В 13.04.2018 в 14:16, Le ecureuil сказал:

Эта, скажем так, кхм, "защита" - примерно как в доме со обычными стеклянными окнами от пола до потолка на первом этаже ставить крутую железную входную дверь, которую ломать автогеном пару часов.

Любой, кто захочет получить доступ подслушает эфир и поменит mac - для этого даже автоматические утилиты есть.

То есть конечно от совсем дураков оно может и поможет, но если вы таким образом пытаетесь сделать защиту от мало-мальски образованных злоумышленников - только раззадорите сильнее.

Это лучше чем ничего, тогда уже уберите и защиту сети полностью (в смысле выпилите WPA2 PSK), зачем оно надо, ведь любой хацкер с мощным кампухтером подберёт пароль, зачем ставить замок если его всё равно сломают. Такое ощущение что в вебе кинетика останется только ОДНА КРУГЛАЯ кнопка. И да, если ухудшаете функционал веба, ТОГДА СДЕЛАЙТЕ НОРМАЛЬНЫЙ CLI и чтоб CLI не по устаревшему Telnet работал, а чтоб по ssh + авторизация по приватным ключа. И да а что если я СПЕЦИАЛЬНО СТАВИЛ ФИЛЬТРАЦИЮ ПО MAC АДРЕСАМ ЧТОБ ПОТОМ ЕЁ ПРОТЕСТИРОВАТЬ НА БЕЗОПАСНОСТЬ? А? Как вам такое предложение?

[blbulyandavbulyan]

В 19.04.2018 в 22:29, TheBB сказал:

ы-ы-ы... где-то уже подобное было... ах, да! windows и кнопулька "Пуск". 99,9% пользователей засерили кирпичами от отсутствия оной. дескать, как же мы, бедняги, наши кампутеры !!!Внимание!!! - выключать будем? мы ж деградировали и иных способов не знаем. в результате кнопку вернули.

"... правильной дорогой идёте, товарисчи!.."

достали!

Не следует убирать полезный функционал из веба, только по тому что вы им не пользуетесь, если вы им не пользуетесь то это не значит что другие не пользуются.

[vasek00]

9 часов назад, Le ecureuil сказал:

А зачем это нужно, можете рассказать?

В новом интерфейсе (в отличие от старого) посчитали это уже не нужно (причину не назвали), т.е. если есть не зарегистрированное устройство то выход в интернет заблокирован все равно, а так выходит пусть гуляет по локальной сети роутера. Есть офис в нем работники, есть wi-fi, пароль от него может передаваться работником-работнику, а вот войти не получится если использовать фильтрацию по MAC.

 

9 часов назад, r13 сказал:

для этой цели надо разные имена для точек пользовать иначе все равно ломится будет хоть и березультатно.  

А как быть с теми точками которые имеют разные имена и не пользуются - "Band Steering " ?

[vasek00]

В 13.04.2018 в 22:52, Le ecureuil сказал:

Ну из cli-то ничего не делось, поэтому если вы скатились до унылого буквоедства, то вот вам ответ - идите в cli и настраивайте, заявленная фича есть.

тогда зачем WEB если все есть в cli, можно тогда уж и конфигом просто обойтись.

[iggo]

В 15.04.2018 в 10:34, TheBB сказал:

перегруженный свистоперделками веб это - зло

Извиняюсь, а предыдущий интерфейс был сильно перегружен свистоперделками и из-за этого плохо работал? 

Там этот базовый функционал никем не оспаривался  и работал.

[Mamay]

40 минут назад, VecH сказал:

между глаз пролетел кусок

Как бы сие не звучало, но это реально смешно!  

[Le ecureuil]

Возвращено в несколько измененном виде.

[Le ecureuil]

16 часов назад, blbulyandavbulyan сказал:

Где в новом веб интерфейсе фильтрация по mac адресам?  Или вы её убрали, если убрали возвращайте обратно.

А где в старом web фильтрация по MAC? 

[vasek00]

1 час назад, Le ecureuil сказал:

А где в старом web фильтрация по MAC? 

Скорей всего имелось ввиду "/?#wireless.acl-2ghz" - Контроль доступа по MAC для 2,4GHz и так же для 5GHz

[Dmitry Tishkin]

Расскажите, пожалуйста, как вы используете фильтрацию.

[vasek00]

Я например

known host Клиент_1 хх:хх:хх:хх:хх:73
known host Клиент_10 хх:хх:хх:хх:хх:95


interface WifiMaster0/AccessPoint0
    rename AccessPoint
    description "Wi-Fi access point"
    mac access-list type permit
    mac access-list address хх:хх:хх:хх:хх:73
...
	mac access-list address хх:хх:хх:хх:хх:95
    security-level private


interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type permit
    mac access-list address хх:хх:хх:хх:хх:73
...
    mac access-list address хх:хх:хх:хх:хх:95
    security-level private    


ip dhcp host хх:хх:хх:хх:хх:73 192.168.1.10
...
ip dhcp host хх:хх:хх:хх:хх:95 192.168.1.24

 

[iggo]

4 часа назад, Le ecureuil сказал:

А где в старом web фильтрация по MAC? 

Думаю это имелось ввиду

[Le ecureuil]

7 часов назад, iggo сказал:

Думаю это имелось ввиду

А зачем это нужно, можете рассказать?

[pachalia]

18 минут назад, Le ecureuil сказал:

8 часов назад, iggo сказал:

А зачем это нужно, можете рассказать?

Ну например чтоб заблокировать переход клиента с 5 ггц на 2.4 ггц.

[r13]

31 минуту назад, pachalia сказал:

Ну например чтоб заблокировать переход клиента с 5 ггц на 2.4 ггц.

для этой цели надо разные имена для точек пользовать иначе все равно ломится будет хоть и березультатно.  

[r13]

14 минуты назад, vasek00 сказал:

А как быть с теми точками которые имеют разные имена и не пользуются - "Band Steering " ?

не понял вопроса 

[iggo]

12 часа назад, Le ecureuil сказал:

А зачем это нужно, можете рассказать?

Я этим ни разу пока не пользовался, возможно  пользовался топспикер.

Есть чертежи устройства "велосипед" (читай роутер), там такая "деталь" есть на всех моделях, которые мне доводилось настраивать. Зачем велосипед изобретать заново?  Вот навскидку, из того, что под рукой. Это не Keenetic. Думается, это придумали не глупые люди, значит применение есть.

[vasek00]

3 часа назад, r13 сказал:

1. Ну например чтоб заблокировать переход клиента с 5 ггц на 2.4 ггц.

- для этой цели надо разные имена для точек пользовать иначе все равно ломится будет хоть и березультатно.  

2. А как быть с теми точками которые имеют разные имена и не пользуются - "Band Steering " ?

- не понял вопроса 

как в новом WEB продолжать использовать то что было в старом WEB - "Список доступа 2,4 и для 5"

[Le ecureuil]

Эта, скажем так, кхм, "защита" - примерно как в доме со обычными стеклянными окнами от пола до потолка на первом этаже ставить крутую железную входную дверь, которую ломать автогеном пару часов.

Любой, кто захочет получить доступ подслушает эфир и поменит mac - для этого даже автоматические утилиты есть.

То есть конечно от совсем дураков оно может и поможет, но если вы таким образом пытаетесь сделать защиту от мало-мальски образованных злоумышленников - только раззадорите сильнее.

[vasek00]

1 час назад, Le ecureuil сказал:

Эта, скажем так, кхм, "защита" - примерно как в доме со обычными стеклянными окнами от пола до потолка на первом этаже ставить крутую железную входную дверь, которую ломать автогеном пару часов.

Любой, кто захочет получить доступ подслушает эфир и поменит mac - для этого даже автоматические утилиты есть.

То есть конечно от совсем дураков оно может и поможет, но если вы таким образом пытаетесь сделать защиту от мало-мальски образованных злоумышленников - только раззадорите сильнее.

В прочем другого ответа и не ожидал услышать, так как всегда это идет в обоснование - злой сосед или даже первокласснику все это под силу.

Хочу только сказать ну нет такого соседа рядом который бы все описанное вами выше смог бы это сделать, а для примера почему же у вас на входной двери дома скорей всего два замка а не один.

Повторюсь данная страница была в старом WEB есть она и сейчас в старом, так почему же ее не оставить наверное нужно на голосование ставить?

Edited April 13, 2018 by vasek00

[Le ecureuil]

1 час назад, vasek00 сказал:

В прочем другого ответа и не ожидал услышать, так как всегда это идет в обоснование - злой сосед или даже первокласснику все это под силу.

Хочу только сказать ну нет такого соседа рядом который бы все описанное вами выше смог бы это сделать, а для примера почему же у вас на входной двери дома скорей всего два замка а не один.

Повторюсь данная страница была в старом WEB есть она и сейчас в старом, так почему же ее не оставить наверное нужно на голосование ставить?

Потому что я пытаюсь понять, зачем же она вообще может быть нужна.

А какие страницы оставить / добавить - решает @Dmitry Tishkin - это нужно ему рассказывать про необходимость.

[Le ecureuil]

2 часа назад, vasek00 сказал:

а для примера почему же у вас на входной двери дома скорей всего два замка а не один.

На деревянной двери один еще советский замок "от честных людей", да и его не закрываю, когда дома.

[vasek00]

15 минут назад, Le ecureuil сказал:

На деревянной двери один еще советский замок "от честных людей", да и его не закрываю, когда дома.

В это верится с трудом да и дверь из двп

Цитата

зачем же она вообще может быть нужна..... Любой, кто захочет получить доступ подслушает эфир и поменит mac - для этого даже автоматические утилиты есть.

найти бы такого любого

[iggo]

В 12.04.2018 в 13:12, Dmitry Tishkin сказал:

Расскажите, пожалуйста, как вы используете фильтрацию.

А как прежняя команда НДМ предполагала использование этой опции во всех предыдущих версиях собственных прошивок, в 1-ой и 2-ой?

Эта опция есть везде, всегда  и у всех производителей. Посмотрите эмуляторы вэб других вендоров. Зачем изобретать велосипед, его уже изобрели..., не стоит деградировать в плане функционала, особенно в разделе Wi-Fi, он и так в прошивках Кинетиков аскетичен до предела .

Думаю, тем, кому этот функционал может потребоваться, найдут ему применение для безопасности, или еще каких-либо целей.

К тому-же контроль доступа по MAC к сети Wi-Fi есть в техническом описании на роутеры и вы обязаны его сделать!

Edited April 13, 2018 by iggo

[Sfut]

7 минут назад, iggo сказал:

К тому-же контроль доступа по MAC к сети Wi-Fi есть в техническом описании на роутеры и вы обязаны его сделать!

Полностью поддерживаю. Точно такая же ситуация была с индикатором Fn (индикатор обновления прошивки). Функция была заявлена в техническом описании, но не была реализована даже через год после выпуска роутера. Официальная техподдержка отвечала, что еще не реализовали и когда будут реализовывать неизвестно и будут ли вообще. Пришлось долго долбить техподдержку и создать тему здесь на форуме. Только после этого дело сдвинулось.

[PoliceMan]

Поддерживаю, не хватает фильтрации по mac-адресам в вебе. Как для 2.4, так и для 5.

[TheBB]

15 минут назад, vasek00 сказал:

тогда зачем WEB если все есть в cli, можно тогда уж и конфигом просто обойтись.

правильно (если без сарказма). перегруженный свистоперделками веб это - зло.

[Дранкель]

В 13.04.2018 в 22:52, Le ecureuil сказал:

Ну из cli-то ничего не делось, поэтому если вы скатились до унылого буквоедства, то вот вам ответ - идите в cli и настраивайте, заявленная фича есть.

Не наш путь ездить из Москвы в Питер через Африку! Поддержу автора вопроса!