Допустим, у нас есть DHCP-сервер и предусмотрена система фильтрации MAC-адресов. Можем ли мы заблокировать следующий поддельный MAC-адрес? Следующему устройству не будет предоставлен IP-адрес.
Или обычно он уже заблокирован DHCP-сервером?
Заранее спасибо.
решение1
Не все так просто. Может потребоваться вторичный протокол, но в большинстве случаев требуется постоянная сетевая бдительность. Что-то похожее на то, что упоминается ниже.
https://infoexpress.com/content/practical/142
Программа/скрипт, которые я видел, в основном просматривали/контролировали все системы в сети и в основном периодически искали различия в производительности, чтобы увидеть, не происходит ли что-то странное (например, потеря пакетов). Более современные решения, такие как 802.1x и т. д., также работают примерно так же, как подход, который я упомянул, но также страдают от тех же ограничений. Достаточно фоновой разведки в целевой сети/системе, и у вас проблемы, что является одной из причин, по которой пришлось обновить некоторое время назад. Это означает, что вы следите за двумя вещами. Больше фоновой информации об исходной системе и периодические проверки...
http://en.wikipedia.org/wiki/IEEE_802.1X http://en.wikipedia.org/wiki/IEEE_802.1X#Уязвимости_в_802.1X-2001_и_802.1X-2004
решение2
Причина, по которой аутентификация Mac не работает очень хорошо (по моему опыту), заключается в том, что если бы я был злоумышленником, я бы сначала отправил пакет деаутентификации клиенту, чей Mac я хотел бы подделать, и использовал бы для этого другой поддельный Mac. Тогда маршрутизатор не сможет заметить разницу. Однако, пока вы используете WPA или WPA2 и имеете надежную парольную фразу, злоумышленнику будет чрезвычайно сложно взломать ваш ключ, что предотвратит аренду dchp.
Сервер Radius работает с мобильными устройствами и является лучшим способом защитить сеть Wi-Fi при использовании с wpa2. Он обеспечивает метод двойной аутентификации с сертификатом, я полагаю.