2wire 2701HG-T 모뎀에서 MAC 필터링이 작동하지 않음

Question

실제로 내 앞에 2701이 없으면(그리고 에뮬레이터를 찾는 데 어려움을 겪고 있습니다) 구성에 무엇이 잘못되었을 수 있는지에 대해 많이 말할 수 없습니다. 아마도 MAC 필터 설정과 관련하여 잘못 체크된 부분이 있을 것으로 추측됩니다. 일반적으로 SOHO 라우터는 화이트리스트 모드 중 하나에서 MAC 필터링을 수행합니다.또는블랙리스트 모드 - 둘을 결합하는 것은 실제로 의미가 없습니다. 라우터의 작동 방식에 맞게 올바른 모드가 설정되어 있는지 확인하세요. 화이트리스트 옵션을 설정하고 블랙리스트만 채우는 것(또는 그 반대로)은 아무 효과가 없습니다. (글쎄, 실제로는 모든 장치가 연결되는 것을 방지해야 하지만 반대의 경우에는 모든 장치를 허용해야 합니다. 요점은 보안상의 이점이 없다는 것입니다.)

블랙리스트: 허용제외한 모든 장치"금지된" 목록에 지정된 것입니다. (관리하기는 쉽지만 공격자를 차단하기는 더 어렵습니다.)

화이트리스트: 허용오직"허용" 목록에 지정된 장치. (기본적으로 승인되지 않은 장치를 차단하므로 둘 사이에서 선호되지만 일반적으로 방문자를 네트워크에 허용하는 경우 특히 관리하기가 더 어렵습니다.)

두 경우 모두 다음을 수행해야 합니다.~ 아니다MAC 필터링을 기본 방어 수단으로 사용하십시오!

MAC 필터링 모드는 MAC 주소가 영구 식별자가 아니고 항상 무선으로 전송되기 때문에 우회하기 매우 쉽습니다. 따라서 누구나 자신의 MAC 주소를 원하는 대로 변경할 수 있을 뿐만 아니라 범위 내에 있는 모든 장치의 MAC 주소를 볼 수도 있습니다.

그런 다음 공격자는 자신의 주소를 아직 블랙리스트에 추가하지 않은 주소로 변경하기만 하면 블랙리스트를 쉽게 우회할 수 있습니다.

화이트리스트 작성은 약간 더 어렵지만 여전히 매우 간단합니다. 공격자는 액세스 포인트와 활발하게 통신하는 장치의 MAC 주소를 확인한 다음 해당 MAC 주소를 일치하도록 변경합니다.

MAC 필터링이 일부 드라이브 바이 공격을 방지합니까? 확신하는. 그러나 만약 당신이 전담 공격자를 마주하고 있다면(그리고 당신도 그럴 것 같습니다), 실제로 그들을 많이 막을 수는 없을 것입니다.

언급하지는 않았지만 "SSID 숨기기", "비콘 비활성화" 또는 "SSID 브로드캐스트 비활성화"는 가치가 없을 뿐만 아니라 피해야 하는 또 다른 취약한 보안 조치입니다. 이것이 하는 일은 AP가 유휴 상태일 때 자신을 광고하는 것을 중지하는 것뿐입니다. 그러나 SSID는 활발하게 통신할 때마다 여전히 일반 형식으로 전송되므로 공격자는 이에 관계없이 SSID를 캡처하고 사용할 수 있습니다. 더 나쁜 점은 AP가 자신의 존재를 브로드캐스팅하지 않기 때문에 클라이언트 장치가 AP가 근처에 없을 때에도 AP를 찾도록 구성해야 한다는 것입니다. 그런 다음 공격자는 클라이언트 장치가 생성하는 비콘을 사용하여 자체 가짜 AP를 설정하고 클라이언트를 속여 연결하도록 할 수 있습니다.

당신은 무엇을~해야 한다대신 현재 WPA2-PSK(AES-CCMP 사용)와 같은 강력한 암호화 및 인증 프로토콜을 사용해야 합니다. 또한 사전 공유 키(PSK 또는 단순히 Wi-Fi 네트워크 비밀번호)가 비교적 길고 복잡하여 쉽게 추측하거나 해독할 수 없는지 확인해야 합니다. 합리적으로 강력한 PSK(3가지 문자 유형으로 최소 15자를 권장하지만 WPA2는 최대 63자를 지원하며 개인적으로 모든 문자를 완전히 무작위로 사용함)가 있는 한 Wi-Fi 암호화/인증 가까운 미래에 쉽게 깨지지 않아야 합니다. 아, 그리고 WEP(심각하게 망가짐)나 WPA-TKIP(역시 망가졌지만 그래도 WEP보다는 나음)에 신경쓰지 마세요. 어떤 이유로든 WPA2를 사용할 수 없다면 새 라우터를 구입할 수 있을 때까지 WPA-AES를 사용하는 것이 좋습니다.

그러나 한 가지 중요한 주의 사항이 있습니다. 바로 WPS입니다. Wi-Fi Protected Setup은 오늘날 대부분의 액세스 포인트에서 사용할 수 있는 멋지고 편리한 원버튼 연결 모드입니다. WPS의 문제점은 PIN 인증 모드에 약점이 있다는 것입니다. 현재 사용 중인 대부분의 SOHO 라우터에서는 이 모드를 통해 공격자가 쉽게 PIN을 해독한 다음 WPS를 통해 인증할 수 있습니다. WPS가 누군가에게 액세스 권한을 부여하면 해당 장치가 네트워크에 정상적으로 연결할 수 있도록 PSK를 제공합니다.PSK를 변경해도 이 문제는 완화되지 않습니다!공격자는 WPS를 다시 크랙하고(오래 걸리지 않음) 새 PSK를 얻을 수 있습니다. 이를 완화할 수 있는 유일한 방법은 사용자가 전적으로 제어할 수 있으며 WPS를 완전히 비활성화하는 것입니다. (일부 최신 라우터에는 이러한 공격을 억제하는 기능이 추가되었지만 최종 사용자가 직접 익스플로잇을 테스트할 준비가 되어 있지 않으면 쉽게 확실하게 확인할 수 있는 기능은 아닙니다.) 불행하게도 많은 라우터 제조업체, 특히 구형 모델의 경우 이것은 어렵거나 불가능합니다. 귀하의 라우터가 그러한 경우라면 새 라우터를 구입하거나 Tomato, DD-WRT 또는 OpenWRT와 같은 타사 이미지로 펌웨어를 플래시하는 것을 고려해 보시기 바랍니다.

요약하자면:

MAC 필터링에 의존하지 마세요.이는 훌륭한 보안 추가 기능이지만 우회하기가 정말 쉽습니다.
SSID를 숨기려고 애쓰지 마세요.누구나 계속 볼 수 있으며 방송되지 않으면 고객의 보안이 약화됩니다.
강력한 PSK와 함께 WPA2-PSK를 사용하세요. 이것Wi-Fi 대역폭 및 데이터 도둑에 대한 주요 방어 수단이 되어야 합니다.
WPS를 비활성화합니다.인증 및 암호화가 아무리 훌륭하더라도 이는 쉽게 악용될 수 있는 백도어입니다.
필요한 경우 새 장치나 펌웨어를 구입하세요.현재 라우터가 WPA2-PSK를 지원하지 않거나 WPS 비활성화를 허용하지 않는 경우 업그레이드할 시간입니다. 해당 라우터가 ISP에서 제공되는 경우 언제든지 직접 구입하여 ISP 라우터 뒤의 네트워크에 배치할 수 있습니다. 그런 다음 라우터의 Wi-Fi가 위에 설명된 대로 안전하게 구성되었는지 확인하고 ISP 라우터에서 Wi-Fi를 비활성화합니다.

Answer 1

실제로 내 앞에 2701이 없으면(그리고 에뮬레이터를 찾는 데 어려움을 겪고 있습니다) 구성에 무엇이 잘못되었을 수 있는지에 대해 많이 말할 수 없습니다. 아마도 MAC 필터 설정과 관련하여 잘못 체크된 부분이 있을 것으로 추측됩니다. 일반적으로 SOHO 라우터는 화이트리스트 모드 중 하나에서 MAC 필터링을 수행합니다.또는블랙리스트 모드 - 둘을 결합하는 것은 실제로 의미가 없습니다. 라우터의 작동 방식에 맞게 올바른 모드가 설정되어 있는지 확인하세요. 화이트리스트 옵션을 설정하고 블랙리스트만 채우는 것(또는 그 반대로)은 아무 효과가 없습니다. (글쎄, 실제로는 모든 장치가 연결되는 것을 방지해야 하지만 반대의 경우에는 모든 장치를 허용해야 합니다. 요점은 보안상의 이점이 없다는 것입니다.)

블랙리스트: 허용제외한 모든 장치"금지된" 목록에 지정된 것입니다. (관리하기는 쉽지만 공격자를 차단하기는 더 어렵습니다.)

화이트리스트: 허용오직"허용" 목록에 지정된 장치. (기본적으로 승인되지 않은 장치를 차단하므로 둘 사이에서 선호되지만 일반적으로 방문자를 네트워크에 허용하는 경우 특히 관리하기가 더 어렵습니다.)

두 경우 모두 다음을 수행해야 합니다.~ 아니다MAC 필터링을 기본 방어 수단으로 사용하십시오!

MAC 필터링 모드는 MAC 주소가 영구 식별자가 아니고 항상 무선으로 전송되기 때문에 우회하기 매우 쉽습니다. 따라서 누구나 자신의 MAC 주소를 원하는 대로 변경할 수 있을 뿐만 아니라 범위 내에 있는 모든 장치의 MAC 주소를 볼 수도 있습니다.

그런 다음 공격자는 자신의 주소를 아직 블랙리스트에 추가하지 않은 주소로 변경하기만 하면 블랙리스트를 쉽게 우회할 수 있습니다.

화이트리스트 작성은 약간 더 어렵지만 여전히 매우 간단합니다. 공격자는 액세스 포인트와 활발하게 통신하는 장치의 MAC 주소를 확인한 다음 해당 MAC 주소를 일치하도록 변경합니다.

MAC 필터링이 일부 드라이브 바이 공격을 방지합니까? 확신하는. 그러나 만약 당신이 전담 공격자를 마주하고 있다면(그리고 당신도 그럴 것 같습니다), 실제로 그들을 많이 막을 수는 없을 것입니다.

언급하지는 않았지만 "SSID 숨기기", "비콘 비활성화" 또는 "SSID 브로드캐스트 비활성화"는 가치가 없을 뿐만 아니라 피해야 하는 또 다른 취약한 보안 조치입니다. 이것이 하는 일은 AP가 유휴 상태일 때 자신을 광고하는 것을 중지하는 것뿐입니다. 그러나 SSID는 활발하게 통신할 때마다 여전히 일반 형식으로 전송되므로 공격자는 이에 관계없이 SSID를 캡처하고 사용할 수 있습니다. 더 나쁜 점은 AP가 자신의 존재를 브로드캐스팅하지 않기 때문에 클라이언트 장치가 AP가 근처에 없을 때에도 AP를 찾도록 구성해야 한다는 것입니다. 그런 다음 공격자는 클라이언트 장치가 생성하는 비콘을 사용하여 자체 가짜 AP를 설정하고 클라이언트를 속여 연결하도록 할 수 있습니다.

당신은 무엇을~해야 한다대신 현재 WPA2-PSK(AES-CCMP 사용)와 같은 강력한 암호화 및 인증 프로토콜을 사용해야 합니다. 또한 사전 공유 키(PSK 또는 단순히 Wi-Fi 네트워크 비밀번호)가 비교적 길고 복잡하여 쉽게 추측하거나 해독할 수 없는지 확인해야 합니다. 합리적으로 강력한 PSK(3가지 문자 유형으로 최소 15자를 권장하지만 WPA2는 최대 63자를 지원하며 개인적으로 모든 문자를 완전히 무작위로 사용함)가 있는 한 Wi-Fi 암호화/인증 가까운 미래에 쉽게 깨지지 않아야 합니다. 아, 그리고 WEP(심각하게 망가짐)나 WPA-TKIP(역시 망가졌지만 그래도 WEP보다는 나음)에 신경쓰지 마세요. 어떤 이유로든 WPA2를 사용할 수 없다면 새 라우터를 구입할 수 있을 때까지 WPA-AES를 사용하는 것이 좋습니다.

그러나 한 가지 중요한 주의 사항이 있습니다. 바로 WPS입니다. Wi-Fi Protected Setup은 오늘날 대부분의 액세스 포인트에서 사용할 수 있는 멋지고 편리한 원버튼 연결 모드입니다. WPS의 문제점은 PIN 인증 모드에 약점이 있다는 것입니다. 현재 사용 중인 대부분의 SOHO 라우터에서는 이 모드를 통해 공격자가 쉽게 PIN을 해독한 다음 WPS를 통해 인증할 수 있습니다. WPS가 누군가에게 액세스 권한을 부여하면 해당 장치가 네트워크에 정상적으로 연결할 수 있도록 PSK를 제공합니다.PSK를 변경해도 이 문제는 완화되지 않습니다!공격자는 WPS를 다시 크랙하고(오래 걸리지 않음) 새 PSK를 얻을 수 있습니다. 이를 완화할 수 있는 유일한 방법은 사용자가 전적으로 제어할 수 있으며 WPS를 완전히 비활성화하는 것입니다. (일부 최신 라우터에는 이러한 공격을 억제하는 기능이 추가되었지만 최종 사용자가 직접 익스플로잇을 테스트할 준비가 되어 있지 않으면 쉽게 확실하게 확인할 수 있는 기능은 아닙니다.) 불행하게도 많은 라우터 제조업체, 특히 구형 모델의 경우 이것은 어렵거나 불가능합니다. 귀하의 라우터가 그러한 경우라면 새 라우터를 구입하거나 Tomato, DD-WRT 또는 OpenWRT와 같은 타사 이미지로 펌웨어를 플래시하는 것을 고려해 보시기 바랍니다.

요약하자면:

MAC 필터링에 의존하지 마세요.이는 훌륭한 보안 추가 기능이지만 우회하기가 정말 쉽습니다.
SSID를 숨기려고 애쓰지 마세요.누구나 계속 볼 수 있으며 방송되지 않으면 고객의 보안이 약화됩니다.
강력한 PSK와 함께 WPA2-PSK를 사용하세요. 이것Wi-Fi 대역폭 및 데이터 도둑에 대한 주요 방어 수단이 되어야 합니다.
WPS를 비활성화합니다.인증 및 암호화가 아무리 훌륭하더라도 이는 쉽게 악용될 수 있는 백도어입니다.
필요한 경우 새 장치나 펌웨어를 구입하세요.현재 라우터가 WPA2-PSK를 지원하지 않거나 WPS 비활성화를 허용하지 않는 경우 업그레이드할 시간입니다. 해당 라우터가 ISP에서 제공되는 경우 언제든지 직접 구입하여 ISP 라우터 뒤의 네트워크에 배치할 수 있습니다. 그런 다음 라우터의 Wi-Fi가 위에 설명된 대로 안전하게 구성되었는지 확인하고 ISP 라우터에서 Wi-Fi를 비활성화합니다.

2wire 2701HG-T 모뎀에서 MAC 필터링이 작동하지 않음

답변1

관련 정보