Почему фильтрация MAC не работает на модеме 2wire 2701HG-T? Раньше я полагался на фильтрацию MAC, чтобы блокировать злоумышленников с другими модемами, но у моей мамы дома есть модем 2wire 2701HG-T, и есть несколько человек, которые крадут ее сигнал Wi-Fi. Она несколько раз меняла свой пароль, но злоумышленники продолжают возвращаться. Видимо, у них есть какое-то чертово программное обеспечение для выяснения паролей.
В попытке заблокировать их от сети я настроил фильтрацию mac на модеме, но это не работает. Я даже «заблокировал» одно из своих устройств, но я могу подключиться и получить интернет-сигнал даже после включения и выключения маршрутизатора и Wi-Fi на устройстве.
Мне не нравится, как настроена фильтрация mac в этом модеме. Вместо одного списка разрешенных устройств, у него есть список разрешенных устройств и один для заблокированных устройств, но меня бы это устроило, если бы это действительно работало.
Есть идеи, почему это может происходить?
решение1
Не имея 2701 перед собой (и мне сложно найти эмулятор), я не могу сказать много о том, что может быть не так в конфигурации. Я бы предположил, что вы, вероятно, неправильно отметили что-то в настройках фильтра MAC. Обычно маршрутизаторы SOHO выполняют фильтрацию MAC в любом режиме белого спискаилиРежим черного списка — на самом деле нет смысла объединять эти два режима. Убедитесь, что вы установили правильный режим для того, как должен вести себя ваш маршрутизатор. Включение опции белого списка, но заполнение только черного списка (или наоборот) не даст никакого эффекта. (Ну, на самом деле это должно запретить всем устройствам подключаться, в то время как наоборот — разрешить всем. Суть в том, что никакой выгоды для безопасности.)
Черный список: Разрешитьвсе устройства, кромеуказанные в списке «запрещенных». (Ими легче управлять, но сложнее блокировать злоумышленников.)
Белый список: Разрешитьтолькоустройства, указанные в списке «разрешенных». (Предпочтительнее из двух, так как он блокирует неавторизованные устройства по умолчанию, но им сложнее управлять, особенно если вы часто разрешаете посетителям входить в свою сеть.)
В любом случае вам следуетнетполагайтесь на фильтрацию MAC-адресов как на основную защиту!
Любой режим фильтрации MAC-адресов довольно тривиален для обхода, поскольку MAC-адреса не являются постоянным идентификатором и всегда передаются в открытом виде по воздуху. Таким образом, любой может изменить свой MAC-адрес на любой другой, а также увидеть MAC-адреса любого устройства в зоне действия.
Затем злоумышленник может легко обойти черный список, просто изменив свой адрес на любой другой, который вы еще не внесли в черный список.
Белый список лишь немного сложнее, но все еще довольно прост. Злоумышленник просто ждет, чтобы увидеть MAC-адреса всех устройств, которые активно общаются с вашей точкой доступа, а затем меняет их MAC-адреса, чтобы они совпадали.
Предотвратит ли MAC-фильтрация некоторые атаки drive-by? Конечно. Но если вы столкнулись с целенаправленным злоумышленником (а, похоже, так оно и есть), это не сильно их остановит.
Хотя вы об этом не упомянули, «сокрытие SSID» или «отключение маяков» или «отключение трансляции SSID» — это еще одна слабая мера безопасности, которая не только бесполезна, но и ее следует избегать. Все, что она делает, — это не дает вашей точке доступа рекламировать себя, когда она бездействует. Однако SSID все равно отправляется в открытом виде, когда она активно общается, так что злоумышленники все равно смогут перехватить и использовать его в любом случае. Хуже того, поскольку ваша точка доступа не транслирует свое присутствие, ваши клиентские устройства должны быть настроены на поиск точки доступа, даже если они не находятся рядом с ней. Затем злоумышленники могут использовать маяки, которые генерируют ваши клиентские устройства, чтобы настроить свою собственную поддельную точку доступа и обманом заставить ваших клиентов подключиться.
Что тыдолженВместо этого следует полагаться на надежный протокол шифрования и аутентификации, такой как текущий WPA2-PSK (который использует AES-CCMP). Кроме того, вы должны убедиться, что ваш предварительный ключ (PSK или просто пароль вашей сети Wi-Fi) достаточно длинный и сложный, чтобы его было трудно угадать или взломать. Пока у вас достаточно надежный PSK (я предлагаю минимум 15 символов с 3 различными типами символов, но WPA2 поддерживает до 63 символов, и я лично использую все из них полностью рандомизированными), ваше шифрование/аутентификацию Wi-Fi не должно быть легко взломано в обозримом будущем. О, и даже не беспокойтесь о WEP (ужасно сломанном) или WPA-TKIP (тоже сломанном, но все равно лучше, чем WEP). Если вы действительно не можете использовать WPA2 по какой-либо причине, WPA-AES является достойным запасным вариантом, пока вы не купите новый маршрутизатор.
Однако есть одно важное предостережение: WPS. Wi-Fi Protected Setup — это прекрасный, удобный режим подключения одной кнопкой, который доступен на большинстве точек доступа сегодня. Проблема с WPS заключается в том, что в режиме аутентификации PIN-кода есть уязвимость, которая — на многих, если не на большинстве, маршрутизаторов SOHO, используемых в настоящее время — позволяет злоумышленникам легко взломать PIN-код, а затем пройти аутентификацию через WPS. После того, как WPS предоставил кому-либо доступ, он затем передает ему ваш PSK, чтобы его устройство могло нормально подключиться к сети.Изменение вашего PSK не решит эту проблему!Злоумышленник может просто снова взломать WPS (это не займет много времени) и получить новый PSK. Единственный способ смягчить это, который полностью находится под вашим контролем, — полностью отключить WPS. (Некоторые новые маршрутизаторы имеют дополнительную функциональность для предотвращения таких атак, но это не то, что конечные пользователи могут легко проверить с уверенностью, если они не готовы протестировать эксплойт самостоятельно.) К сожалению, многие производители маршрутизаторов — особенно на старых моделях — сделали это сложным или невозможным. Если это касается вашего маршрутизатора, я настоятельно рекомендую вам купить новый или рассмотреть возможность перепрошивки сторонним образом, таким как Tomato, DD-WRT или OpenWRT.
В итоге:
- Перестаньте полагаться на фильтрацию MAC-адресов.Это хорошее дополнение к безопасности, но его очень легко обойти.
- Даже не беспокойтесь о том, чтобы скрыть свой SSID.Его по-прежнему может увидеть кто угодно, и ваши клиенты оказываются в менее защищенном состоянии, если он не транслируется.
- Используйте WPA2-PSK с надежным PSK. Этотдолжно стать вашей основной защитой от кражи пропускной способности Wi-Fi и данных.
- Отключить WPS.Независимо от того, насколько хороши ваши аутентификация и шифрование, это легкодоступная лазейка.
- При необходимости приобретите новое устройство или прошивку.Если ваш текущий маршрутизатор не поддерживает WPA2-PSK и/или не позволяет вам отключить WPS, пришло время для обновления. Если такой маршрутизатор предоставлен вашим провайдером, вы всегда можете купить свой собственный и подключить его к сети за маршрутизатором провайдера. Затем убедитесь, что Wi-Fi вашего маршрутизатора надежно настроен, как описано выше, и отключите Wi-Fi на маршрутизаторе провайдера.