Возможность загружать списики mac адресов устройств

[anticr]

Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в  разделе "сеть Wi-Fi" вкладка список доступа

[r13]

1 минуту назад, anticr сказал:

Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в  разделе "сеть Wi-Fi" вкладка список доступа

Telnet в помощь.

Скопировали весь блок, в окошко и готово.

ЗЫ сохранить можно выгрузив startup-config.

[sergeyk]

1 минуту назад, anticr сказал:

Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в  разделе "сеть Wi-Fi" вкладка список доступа

Почему просто не сохранять startup-config целиком? Вы так часто меняете только эти списки?
Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

[anticr]

1 минуту назад, sergeyk сказал:

Почему просто не сохранять startup-config целиком? Вы так часто меняете только эти списки?
Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

адреса редко меняются. А сеть настроена пароль на сеть плюс фильтр по mac адресу. Но порой приходится настраивать сразу два роутера, один giga ii, а другой giga iii, устройства в них почти одни и те же. И вданном случае проще подготовить один файл, а потом его уже использовать.

[vasek00]

Соглашусь с вариантом выше - берем готовый блок с MAC из config - giga ii и вставляем его в config - giga iii

Скрытый текст

    mac access-list address хх:хх:хх:хх:хх:3f
    mac access-list address хх:хх:хх:хх:хх:85
    mac access-list address хх:хх:хх:хх:хх:fb
    mac access-list address хх:хх:хх:хх:хх:47

 

[vasek00]

9 часов назад, sergeyk сказал:

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что?

[anticr]

25 минут назад, vasek00 сказал:

Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что?

В разделе "Точка доступа ", в пункте защита сети стоит WPA2-PSK, а в разделе "Список доступа 2,4 ГГц"  выбран режим блокировки "белый список". Тем образом если mac адрес не находится в этом списке устройство не будет подключено к данной сети.

[vasek00]

3 часа назад, anticr сказал:

В разделе "Точка доступа ", в пункте защита сети стоит WPA2-PSK, а в разделе "Список доступа 2,4 ГГц"  выбран режим блокировки "белый список". Тем образом если mac адрес не находится в этом списке устройство не будет подключено к данной сети.

С этим все ясно, не ясно с другим постом, который был не вам.

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

Изменено 14 июля, 2017 пользователем vasek00

[Mamay]

20 часов назад, vasek00 сказал:

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

Видимо имелось ввиду что фильтр по mac из Black/White list, и запрет на доступ не зарегистрированным устройствам + lockout-policy не помогают зловреду соседу отбить желание заглянуть в вашу сеть... 

[sergeyk]

В 7/14/2017 в 08:51, vasek00 сказал:

Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что?

А дальше выдает себя за клиента с этим маком, когда настоящий клиент в сети отсутствует.

[vasek00]

22 часа назад, sergeyk сказал:

А дальше выдает себя за клиента с этим маком, когда настоящий клиент в сети отсутствует.

И что ну узнал MAC клиента и имя базовой, ну поставил его MAC, а дальше то что, остается пароль от базовой по логике того что везде написано в интернете - снифер сети и поиск ключей (от аутенфикации). На основании этого делаю вывод, что таких специалистов в районе действия БС найти трудно, это к вопросу

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса

[sergeyk]

11 минуту назад, vasek00 сказал:

И что ну узнал MAC клиента и имя базовой, ну поставил его MAC, а дальше то что, остается пароль от базовой по логике того что везде написано в интернете - снифер сети и поиск ключей (от аутенфикации). На основании этого делаю вывод, что таких специалистов в районе действия БС найти трудно, это к вопросу

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса

Каким образом наличие белого списка помогает защищать сеть?

[vasek00]

2 часа назад, sergeyk сказал:

Каким образом наличие белого списка помогает защищать сеть?

Ответ вопросом на вопрос с вашей стороны, как то не корректен, с моей стороны была просьба пояснить сказанное вами.

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса

Еще раз повторю ну узнал MAC клиента и имя базовой, ну поставил этот MAC на своем устройстве - белый список роутера отработал ПРОПУСТИЛ данного клиента только к следующему этапу аутенфикации на данной БС т.е. он не попал еще пока в сеть и IP не получил, так или попал и уже может "чудить"?

Защищать сеть с использованием белого списка - надо и нужно, тем самым уменьшите кол-во мусора от любопытных (злых или не злых соседей), для того чтоб узнать MAC нужны кой какие познания в этой области, для того чтоб влезть на БС как говориться нужен уже следующий уровень познаний и т.д.

[sergeyk]

14 минуты назад, vasek00 сказал:

Ответ вопросом на вопрос с вашей стороны, как то не корректен, с моей стороны была просьба пояснить сказанное вами.

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса

Еще раз повторю ну узнал MAC клиента и имя базовой, ну поставил этот MAC на своем устройстве - белый список роутера отработал ПРОПУСТИЛ данного клиента только к следующему этапу аутенфикации на данной БС т.е. он не попал еще пока в сеть и IP не получил, так или попал и уже может "чудить"?

Защищать сеть с использованием белого списка - надо и нужно, тем самым уменьшите кол-во мусора от любопытных (злых или не злых соседей), для того чтоб узнать MAC нужны кой какие познания в этой области, для того чтоб влезть на БС как говориться нужен уже следующий уровень познаний и т.д.

Стойкость системы ко взлому нужно оценивать не из возможностей самого слабого атакующего ("злого" соседа), как вы себе нафантазировали, а из возможностей самого сильного (специалиста в области Wi-Fi и криптоанализа), обладающим всеми нужными инструментами и знаниями. Во втором случае блокировка по спискам может только слегка затруднить атаку, но никак не предотвратить.

Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать.

[IgaX]

1 час назад, sergeyk сказал:

Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать.

как бы выбирать не приходится, WPA2-Enterprise в списке предлагаемых вариантов защиты сети отсутствует и к этому уровню дров удобно (и, как я себе это понимаю, доступ к дровам монопольный у прошивки) не подобраться даже если самостоятельно поднять остальную инфраструктуру.

[vasek00]

3 часа назад, sergeyk сказал:

Стойкость системы ко взлому нужно оценивать не из возможностей самого слабого атакующего ("злого" соседа), как вы себе нафантазировали, а из возможностей самого сильного (специалиста в области Wi-Fi и криптоанализа), обладающим всеми нужными инструментами и знаниями. Во втором случае блокировка по спискам может только слегка затруднить атаку, но никак не предотвратить.

Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать.

Этот специалист который как вы назвали "сильным" находиться у вас через стенку или сидит на улице и только и ждет того момента когда вы войдете в сеть. Фантазии ваши у меня реальность и я спокоен с 2010г. как-то.

IgaX можно даже и по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень.

Изменено 16 июля, 2017 пользователем vasek00

[anticr]

В ходе этого обсуждения, у меня возник вопрос вообще насколько реально сменить(подменить) мак адрес у устройства. На сколько я знаю на винде начиная с восьмёрки я так и не нашел как это можно сделать было. Про Линукс вроде примерно понимаю как это сделать, хотя на практике это делать не надо было.

[sergeyk]

22 минуты назад, vasek00 сказал:

Этот специалист который как вы назвали "сильным" находиться у вас через стенку или сидит на улице и только и ждет того момента когда вы войдете в сеть. Фантазии ваши у меня реальность и я спокоен с 2010г. как-то.

IgaX можно даже и по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень.

Не важно, где он находится, главное, что ваша блокировка по MAC-адресам для него не помеха. Значение в конечном счете имеет только криптостойкость алгоритма шифрования и длина ключа.

[IgaX]

1 час назад, vasek00 сказал:

по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень

WPA2-EAP дает выход на динамическое ключевание с AP в любом случае и скомпрометировать всю сеть не выйдет, макс. только учетку/клиента и то на два делить т.к. там уже другие механизмы следят (должны/принято) за пользователем в плане типичного профиля использования сети, пойдут девиации и паранойя учетку вырубит, дальше уже как протокол велит; без него (WPA2-EAP) просто WPA2-PSK (сам пасс) можно, в теории, "100-пудово" защитить в рамках разделения ключевого материала при 802.11r-2008 (FT-PSK), но клиент должен поддерживать. Во втором случае как бы достаточно, чтобы тот же Hostapd из Entware встал нормально в нужных ролях без конфликта с дровами, для первого все равно вроде нужно менять вектор AuthMode=WPA2PSK -> AuthMode=WPA2. На мой взгляд, каких-то глобальных сложностей в настройке/поднятии всего этого дела пользователем по грамотной инструкции - нет. Но за пользователя уже ответили, что ему это на* не надо, а кто-то будет ждать (а кто-то, может, и не будет, переживет, поставит ворон пугать на входе).

[vasek00]

1 час назад, sergeyk сказал:

Не важно, где он находится, главное, что ваша блокировка по MAC-адресам для него не помеха. Значение в конечном счете имеет только криптостойкость алгоритма шифрования и длина ключа.

НЕ помеха чего - получить возможность передать несколько пакетов ( Probe Request / Probe Response они не мешают ) и УТКНУТЬСЯ ( Association Request / Association Response  ) или проще ждемс пароль для БС. Не путайте понятие "защищать" свою сеть тут даже сетью сложно что-то представить.

 

 

[Alexandr Alexandrovich Petnitsky]

В 16.07.2017 в 15:06, anticr сказал:

В ходе этого обсуждения, у меня возник вопрос вообще насколько реально сменить(подменить) мак адрес у устройства. На сколько я знаю на винде начиная с восьмёрки я так и не нашел как это можно сделать было. Про Линукс вроде примерно понимаю как это сделать, хотя на практике это делать не надо было.

В Windows 10 это встроенная функция подмены MAC

А почему в списках доступа по 2.4GHz и по 5GHz MAС разные, хотя и там и там они присутствуют и от кабельных устройств, и в списке 5GHz например от 2.4GHz only.

Нельзя ли сделать ОДИН список фильтрации MAC, с колонкой способ подключения, с возможностью импорта/экспорта и сортировки. А в идеале ещё и с колонкой производитель устройства.

например:

MAC - IP - Connection (WiFi2.4/WiFi5/Cable10/100/100) - Allow/Deny - Internet(Yes/No) - Manufacturer

[Alexandr Alexandrovich Petnitsky]

А почему в списке "Список устройств домашней сети" DHCP сервера можно записать только 64 хоста?

Больше не даёт - ругается. И это на Ультра 2 - максимальном роутере в линейке кинетиков-то....

[Alexandr Alexandrovich Petnitsky]

Sep 22 22:26:14ndm

Dhcp::Server: host limit (64) exceeded.

Sep 22 22:26:14ndm

Core::KnownHosts: host limit exceeded, the maximum of 64 hosts reached.

[Le ecureuil]

У вас реально больше 64 устройств в сети?

За все эти годы вы всего лишь _второй_ человек, добравшийся до этого лимита. А значит, он в целом адекватен.

[Alexandr Alexandrovich Petnitsky]

Так а почему у двухголового роутера с нормальной конфигурацией такое ограничение? Чтобы его в смоллофис не пользовали? В более древнем NetGear WNDR3700v1 такого не наблюдалось.

И кто был первым?

То есть мелкий офис с 25 клиентами на ноутбуках (2 MAC Ethernet + Wifi) + столько же мобильников + столько же айпи телефонов - и всё?

Или мелкий офис разработчиков железок с кучей девайсов - и верхний в линейке кинетик в пролёте? Странное позиционирование. Ладно бы с омни или в лайте, но в ультра 2?

[Alexandr Alexandrovich Petnitsky]

А в списке DHCP одновременно видеть Description и MAC и IP можно?

И ИТОГО хотелось бы - а то даже количество устройств на видно.

Изменено 9 октября, 2017 пользователем Le ecureuil
Реклама погрызена

[Le ecureuil]

2 часа назад, Alexandr Alexandrovich Petnitsky сказал:

А в списке DHCP одновременно видеть Description и MAC и IP можно?

И ИТОГО хотелось бы - а то даже количество устройств на видно.

Пишите в хотелки по New NDW. В текущей версии веб уже ничего меняться не будет.