Jump to content
  • 0
anticr

Возможность загружать списики mac адресов устройств

Question

Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в  разделе "сеть Wi-Fi" вкладка список доступа

Share this post


Link to post
Share on other sites

26 answers to this question

Recommended Posts

  • 0
1 минуту назад, anticr сказал:

Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в  разделе "сеть Wi-Fi" вкладка список доступа

Telnet в помощь.

Скопировали весь блок, в окошко и готово.

ЗЫ сохранить можно выгрузив startup-config.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, anticr сказал:

Иногда очень не хватает возможности загружать и сохранять белые (черные) списки mac адресов в  разделе "сеть Wi-Fi" вкладка список доступа

Почему просто не сохранять startup-config целиком? Вы так часто меняете только эти списки?
Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, sergeyk сказал:

Почему просто не сохранять startup-config целиком? Вы так часто меняете только эти списки?
Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

адреса редко меняются. А сеть настроена пароль на сеть плюс фильтр по mac адресу. Но порой приходится настраивать сразу два роутера, один giga ii, а другой giga iii, устройства в них почти одни и те же. И вданном случае проще подготовить один файл, а потом его уже использовать.

Share this post


Link to post
Share on other sites
  • 0

Соглашусь с вариантом выше - берем готовый блок с MAC из config - giga ii и вставляем его в config - giga iii

Скрытый текст

    mac access-list address хх:хх:хх:хх:хх:3f
    mac access-list address хх:хх:хх:хх:хх:85
    mac access-list address хх:хх:хх:хх:хх:fb
    mac access-list address хх:хх:хх:хх:хх:47

 

Share this post


Link to post
Share on other sites
  • 0
9 часов назад, sergeyk сказал:

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что?

Share this post


Link to post
Share on other sites
  • 0
25 минут назад, vasek00 сказал:

Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что?

В разделе "Точка доступа ", в пункте защита сети стоит WPA2-PSK, а в разделе "Список доступа 2,4 ГГц"  выбран режим блокировки "белый список". Тем образом если mac адрес не находится в этом списке устройство не будет подключено к данной сети.

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, anticr сказал:

В разделе "Точка доступа ", в пункте защита сети стоит WPA2-PSK, а в разделе "Список доступа 2,4 ГГц"  выбран режим блокировки "белый список". Тем образом если mac адрес не находится в этом списке устройство не будет подключено к данной сети.

С этим все ясно, не ясно с другим постом, который был не вам.

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0
20 часов назад, vasek00 сказал:

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

Видимо имелось ввиду что фильтр по mac из Black/White list, и запрет на доступ не зарегистрированным устройствам + lockout-policy не помогают зловреду соседу отбить желание заглянуть в вашу сеть... 

Share this post


Link to post
Share on other sites
  • 0
В 7/14/2017 в 08:51, vasek00 сказал:

Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что?

А дальше выдает себя за клиента с этим маком, когда настоящий клиент в сети отсутствует.

Share this post


Link to post
Share on other sites
  • 0
22 часа назад, sergeyk сказал:

А дальше выдает себя за клиента с этим маком, когда настоящий клиент в сети отсутствует.

И что ну узнал MAC клиента и имя базовой, ну поставил его MAC, а дальше то что, остается пароль от базовой по логике того что везде написано в интернете - снифер сети и поиск ключей (от аутенфикации). На основании этого делаю вывод, что таких специалистов в районе действия БС найти трудно, это к вопросу

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса

Share this post


Link to post
Share on other sites
  • 0
11 минуту назад, vasek00 сказал:

И что ну узнал MAC клиента и имя базовой, ну поставил его MAC, а дальше то что, остается пароль от базовой по логике того что везде написано в интернете - снифер сети и поиск ключей (от аутенфикации). На основании этого делаю вывод, что таких специалистов в районе действия БС найти трудно, это к вопросу

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса

Каким образом наличие белого списка помогает защищать сеть?

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, sergeyk сказал:

Каким образом наличие белого списка помогает защищать сеть?

Ответ вопросом на вопрос с вашей стороны, как то не корректен, с моей стороны была просьба пояснить сказанное вами.

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса

Еще раз повторю ну узнал MAC клиента и имя базовой, ну поставил этот MAC на своем устройстве - белый список роутера отработал ПРОПУСТИЛ данного клиента только к следующему этапу аутенфикации на данной БС т.е. он не попал еще пока в сеть и IP не получил, так или попал и уже может "чудить"?

Защищать сеть с использованием белого списка - надо и нужно, тем самым уменьшите кол-во мусора от любопытных (злых или не злых соседей), для того чтоб узнать MAC нужны кой какие познания в этой области, для того чтоб влезть на БС как говориться нужен уже следующий уровень познаний и т.д.

Share this post


Link to post
Share on other sites
  • 0
14 минуты назад, vasek00 сказал:

Ответ вопросом на вопрос с вашей стороны, как то не корректен, с моей стороны была просьба пояснить сказанное вами.

Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса

Еще раз повторю ну узнал MAC клиента и имя базовой, ну поставил этот MAC на своем устройстве - белый список роутера отработал ПРОПУСТИЛ данного клиента только к следующему этапу аутенфикации на данной БС т.е. он не попал еще пока в сеть и IP не получил, так или попал и уже может "чудить"?

Защищать сеть с использованием белого списка - надо и нужно, тем самым уменьшите кол-во мусора от любопытных (злых или не злых соседей), для того чтоб узнать MAC нужны кой какие познания в этой области, для того чтоб влезть на БС как говориться нужен уже следующий уровень познаний и т.д.

Стойкость системы ко взлому нужно оценивать не из возможностей самого слабого атакующего ("злого" соседа), как вы себе нафантазировали, а из возможностей самого сильного (специалиста в области Wi-Fi и криптоанализа), обладающим всеми нужными инструментами и знаниями. Во втором случае блокировка по спискам может только слегка затруднить атаку, но никак не предотвратить.

Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, sergeyk сказал:

Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать.

как бы выбирать не приходится, WPA2-Enterprise в списке предлагаемых вариантов защиты сети отсутствует и к этому уровню дров удобно (и, как я себе это понимаю, доступ к дровам монопольный у прошивки) не подобраться даже если самостоятельно поднять остальную инфраструктуру.

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, sergeyk сказал:

Стойкость системы ко взлому нужно оценивать не из возможностей самого слабого атакующего ("злого" соседа), как вы себе нафантазировали, а из возможностей самого сильного (специалиста в области Wi-Fi и криптоанализа), обладающим всеми нужными инструментами и знаниями. Во втором случае блокировка по спискам может только слегка затруднить атаку, но никак не предотвратить.

Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать.

Этот специалист который как вы назвали "сильным" находиться у вас через стенку или сидит на улице и только и ждет того момента когда вы войдете в сеть. Фантазии ваши у меня реальность и я спокоен с 2010г. как-то.

IgaX можно даже и по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень.

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0

В ходе этого обсуждения, у меня возник вопрос вообще насколько реально сменить(подменить) мак адрес у устройства. На сколько я знаю на винде начиная с восьмёрки я так и не нашел как это можно сделать было. Про Линукс вроде примерно понимаю как это сделать, хотя на практике это делать не надо было.

Share this post


Link to post
Share on other sites
  • 0
22 минуты назад, vasek00 сказал:

Этот специалист который как вы назвали "сильным" находиться у вас через стенку или сидит на улице и только и ждет того момента когда вы войдете в сеть. Фантазии ваши у меня реальность и я спокоен с 2010г. как-то.

IgaX можно даже и по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень.

Не важно, где он находится, главное, что ваша блокировка по MAC-адресам для него не помеха. Значение в конечном счете имеет только криптостойкость алгоритма шифрования и длина ключа.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, vasek00 сказал:

по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень

WPA2-EAP дает выход на динамическое ключевание с AP в любом случае и скомпрометировать всю сеть не выйдет, макс. только учетку/клиента и то на два делить т.к. там уже другие механизмы следят (должны/принято) за пользователем в плане типичного профиля использования сети, пойдут девиации и паранойя учетку вырубит, дальше уже как протокол велит; без него (WPA2-EAP) просто WPA2-PSK (сам пасс) можно, в теории, "100-пудово" защитить в рамках разделения ключевого материала при 802.11r-2008 (FT-PSK), но клиент должен поддерживать. Во втором случае как бы достаточно, чтобы тот же Hostapd из Entware встал нормально в нужных ролях без конфликта с дровами, для первого все равно вроде нужно менять вектор AuthMode=WPA2PSK -> AuthMode=WPA2. На мой взгляд, каких-то глобальных сложностей в настройке/поднятии всего этого дела пользователем по грамотной инструкции - нет. Но за пользователя уже ответили, что ему это на* не надо, а кто-то будет ждать (а кто-то, может, и не будет, переживет, поставит ворон пугать на входе).

Share this post


Link to post
Share on other sites
  • 0
1 час назад, sergeyk сказал:

Не важно, где он находится, главное, что ваша блокировка по MAC-адресам для него не помеха. Значение в конечном счете имеет только криптостойкость алгоритма шифрования и длина ключа.

НЕ помеха чего - получить возможность передать несколько пакетов ( Probe Request / Probe Response они не мешают ) и УТКНУТЬСЯ ( Association Request / Association Response  ) или проще ждемс пароль для БС. Не путайте понятие "защищать" свою сеть тут даже сетью сложно что-то представить.

 

 

Share this post


Link to post
Share on other sites
  • 0
В 16.07.2017 в 15:06, anticr сказал:

В ходе этого обсуждения, у меня возник вопрос вообще насколько реально сменить(подменить) мак адрес у устройства. На сколько я знаю на винде начиная с восьмёрки я так и не нашел как это можно сделать было. Про Линукс вроде примерно понимаю как это сделать, хотя на практике это делать не надо было.

В Windows 10 это встроенная функция подмены MAC

А почему в списках доступа по 2.4GHz и по 5GHz MAС разные, хотя и там и там они присутствуют и от кабельных устройств, и в списке 5GHz например от 2.4GHz only.

Нельзя ли сделать ОДИН список фильтрации MAC, с колонкой способ подключения, с возможностью импорта/экспорта и сортировки. А в идеале ещё и с колонкой производитель устройства.

например:

MAC - IP - Connection (WiFi2.4/WiFi5/Cable10/100/100) - Allow/Deny - Internet(Yes/No) - Manufacturer

Share this post


Link to post
Share on other sites
  • 0

А почему в списке "Список устройств домашней сети" DHCP сервера можно записать только 64 хоста?

Больше не даёт - ругается. И это на Ультра 2 - максимальном роутере в линейке кинетиков-то....

Share this post


Link to post
Share on other sites
  • 0

У вас реально больше 64 устройств в сети?

За все эти годы вы всего лишь _второй_ человек, добравшийся до этого лимита. А значит, он в целом адекватен.

Share this post


Link to post
Share on other sites
  • 0

Так а почему у двухголового роутера с нормальной конфигурацией такое ограничение? Чтобы его в смоллофис не пользовали? В более древнем NetGear WNDR3700v1 такого не наблюдалось.

И кто был первым?

То есть мелкий офис с 25 клиентами на ноутбуках (2 MAC Ethernet + Wifi) + столько же мобильников + столько же айпи телефонов - и всё?

Или мелкий офис разработчиков железок с кучей девайсов - и верхний в линейке кинетик в пролёте? Странное позиционирование. Ладно бы с омни или в лайте, но в ультра 2?

Share this post


Link to post
Share on other sites
  • 0

А в списке DHCP одновременно видеть Description и MAC и IP можно?

И ИТОГО хотелось бы - а то даже количество устройств на видно.

Edited by Le ecureuil
Реклама погрызена

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, Alexandr Alexandrovich Petnitsky сказал:

А в списке DHCP одновременно видеть Description и MAC и IP можно?

И ИТОГО хотелось бы - а то даже количество устройств на видно.

Пишите в хотелки по New NDW. В текущей версии веб уже ничего меняться не будет.

  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...