Jump to content

userok001

Forum Members
  • Posts

    14
  • Joined

  • Last visited

Equipment

  • Keenetic
    zyxel keetic

userok001's Achievements

Member

Member (2/5)

2

Reputation

  1. Известные XSS не проверял, лень. На примере страницы добавления пользователей посмотрел, как проверяется запрос. Есть проверка на content-type. В данный момент в HTML стандарте нет типа text/xml для <form, поэтому отправить запрос с фиктивной страницы не получится с этим типом. Давно не занимался вебом, могу ошибаться. Способна ли админка обработать обычный запрос в виде &aaa=bbb не знаю, не проверял. Проверки на рефер вообще нет. Тестил через RestMan Послать через ajax POST не получилось, все загнулось на OPTIONS, не передались автоматом данные для basic авторизации. Получил not auth. Если поддерживается только text/xml и OPTIONS не вернет OK для кросс запроса, то ситуация терпимая при текущем HTML стандарте 1. Но почему просто не добавить CSRF защиту ? 2. Заменить basic авторизацию на авторизацию с куками, то есть временной сессией, причем временной на серверной стороне. 3. Пытался через трансляцию адресов сменить порт 23 на другой в домашней сети. Почему-то не работает. Видимо я что-то делаю не так. На 80 рисковать не стал) (v2.04)
  2. Через правила заблочил доступ к 23 порту всем. К 80 порту оставил только от одного компа из локальной сети. Доступ к вебке можно отключить,а к телнету действительно не получается в правах юзера.
  3. 1. А ARP можно запретить безболезненно? Без полной изоляции. Обычным правилом( в другом роутере или прошивке,где правила работают для подсетей) 2.>> NoForwarding=1 и/или NoForwardingMBCast=1 в RT2860AP*.dat ХМ, посмотрел на гите. А за что именно отвечают эти параметры? Вижу переключатель интересного поля IsolateInterStaTraffic if (FromWhichBSSID == pEntry->apidx) {/* STAs in same SSID */ if ((pAd->ApCfg.MBSSID[pEntry->apidx].IsolateInterStaTraffic == 1)) { /* release the packet */ bDirectForward = FALSE; bAnnounce = FALSE; } } else {/* STAs in different SSID */ if (pAd->ApCfg.IsolateInterStaTrafficBTNBSSID == 1 || ((FromWhichBSSID < MAX_MBSSID_NUM(pAd)) && (FromWhichBSSID < HW_BEACON_MAX_NUM) && (pAd->ApCfg.MBSSID[pEntry->apidx].wdev.VLAN_VID != pAd->ApCfg.MBSSID[FromWhichBSSID].wdev.VLAN_VID))) /* destination VLAN ID != source VLAN ID */ { /* Do not need to care WDS mode because packets from a WDS interface will be passed to upper layer for bridging. */ bDirectForward = FALSE; bAnnounce = FALSE; } } Выглядит как изоляция в одной ssid и разных влан Предотвратит ли это сниффинг от ethernet устройств? 3. Думал включить EAP, но нужен радиус сервис, а локальный видимо только с openwrt.
  4. 1. https://habrahabr.ru/post/100176/ Посмотрел это, не очень понял. Пройдя аутенфикацию, можно снифать траффик или нет? Сниффать получится только wi-fi ? Если можно,то как уберечься ? 2. Ограничение на частоту попыток есть ? Можно ведь добавить промежуток около 15 сек хотя бы после неправильного ввода независимо от мак адреса, подбор пароля займет вечность.
  5. Хотелось бы иметь такую возможность из соображений безопасности. Очень актуально для wi-fi
  6. Вот так правильно ? 1.Protected = private + no isolate + access list 2.Private + isolate = private + no isolate + access list Если да, то protected можно рассматривать как предопределенные правила, которые будут иметь выше или ниже приоритет ,чем ручные ACL. То есть ничего нового protected не добавит. Кстати всегда ли ниже? >> Не совсем, не смотря на возможности ACL Это не понял.
  7. Protected = private + isolate = private + no isolate + access list ? Если да, то protected это просто безопасная плюшка , у которой естб альтернативы.
  8. AP Isolation. - Access Point isolation ? Входящие подключения у меня слушает только ethernet устройство. Раздает медиа. Для текущих задач + vlan на каждый ethernet порт - этого было бы достаточно.
  9. Добрый день. Имеется в наличии zyxel keenetic старый, прошивка v1. Первое и второе планирую обновить. Использую для дома, хочу максимально строго настроить запрет соединений между клиентами в любой сети.(WI-FI, в идеале ethernet,но тут как я понял , это решается созданием влана на каждый порт, wi-fi устройств у меня много, ethrnet мало). То есть я хочу открыть пару портов для раздачи медиа с ethernet устройства(пока что) и запретить все остальные локальные соединения. Есть ли такая возможность на 1 или 2 прошивке? Или мне требуется совсем другое устройство? Спасибо.
×
×
  • Create New...