Выпендрился блин. (Крик о помощи).

Модель роутера - в студию!

Скорее всего, ломают через уязвимость или через дефолтный скрытый пароль.
Прошей чем-то типа последней OpenWRT.

Ну или в личку пиши, посодействую ))

Обновление прошивки до последней версии
Полная смена дефолтных паролей
Фильтрация по MAC-адресам
WiFi - WPA2 + AES
SSID скрыть

Это сообщение отредактировал dzrgregory - 21.09.2016 - 16:33

Никакие фильтры по мак-адресам не помогут, только WPA-2-PSK и надежный пароль, который обычный комп, перехвативший хендшейки между вашими устройствами и роутером, будет подбирать годами. Надежность пароля можно проверить в интернетах, сайтов куча, даже примерное время подбора скажут.

В идеале простота.
По проводам таких проблем нет.

blow05
Да все тоже самое можно делать на удаленном хосте да и мощности с каналом у него поболе будет :) Я просто говорю, что не понимаю такой грошовой экономии. Ну да это сугубо личное дело каждого.

А вот vlan-ы я б все же поднял. После ряда взломов становишься параноиком :)

Один на домашнюю сеть, второй на рабочую - там делов то на полчаса от силы.

Если метод шифрования поставил WEP, то ломается на раз. Ставь WPA2/PSK (тип шифрования AES), придумай новый, и пущай он пробует еще раз сломать.

На вопрос "как прописать только те устройства, которые", могу ответить просто:
в гугле по этому DIR300 всё есть. Можете так напрямую вопрос и гуглить.
Там будет и с картинками, а может быть и с видео.

Это сообщение отредактировал bratvl - 21.09.2016 - 16:37

Пустота

мак-адреса нешифрованы точно.

не только WPS, но и WEP ломается легко. а такие еще достаточно часто попадаются (ради интереса посмотрел - 3 из 7 сейчас в зоне видимости телефоном).
WPA2 - уже сложнее, там пароль нужно только брутить. Если больше 8 символов - это практически нереально за разумное время. Ну и не словарный пароль. И да, никто не говорил, что взлом - это легко. Но если нужно пробить не конкретную защищенную точку, а любую в зоне видимости - выбирается самая менее защищенная. И фильтр MAC-адресов тут роли никакой не сыграет.

Рекомендации:
1) пароль админа на роутер сменить на нестандартный
2) Скрыть SSID
3) отфильтровать по MAC адресам (разрешение доступа только твоим устройствам)
4) шифрование WPA2-PSK с паролем чем длиннее и сложнее тем лучше.

Полностью это не обезопасит - WIFI полюбому ломается и никуда от этого не деться. Но усложнит процедуру на столько что пионеру тебя троллящему скорее всего станет жалко сил и времени заморачиваться.

Да еще 5-м пунктом WPS отрубить нафиг.

1. ОБНОВИТЬ прошивку Вашего роутера на последнюю официальную.
2. изменить логин-пароль на вход в роутер (не менее 12 знаков http://passgen.ru/ Внимание: некоторые устройства-сайты не любят спецсимволы!
3. отключить доступ извне по SSH (если есть)
4. отключить WPS (доступ по ПИН-коду)
5. включить доступ только по WPA2+AES (с паролем не менее 12 знаков http://passgen.ru/) Внимание: некоторые устройства-сайты не любят спецсимволы!
6. жёстко связать IP и MAC ваших устройств
7. внести MAC ваших устройств в белый лист
8. наслаждаться

З.Ы. всё эти шаги настройки гуглятся в сети, по имени Вашего роутера.

Это сообщение отредактировал JRotten - 21.09.2016 - 17:14

ForbiddenDW

банально - фильмы туда уже не закачаешь. Или вот сейчас нужно мне сделать бекап винта полутерабайтного - тоже в облако? Канал наружу мне не нужен широкий, зато локально гигабит. Да, еще syncthing на него поставил, и могу туда залить что угодно - хоть текстовичок, хоть флешку с регика слить (32гига). А vps с большим винтом - это уже никак не 5$

Мощность тоже особая не нужна - есть мощный десктоп. Наоборот на этом сервачке очень хорошо тестировать разные вещи - понижаешь частоту до 233MHz и смотришь, как быстро оно работает и в каком месте упирается именно в проц, а не в ввод/вывод. В общем, никого ни в чем не убеждаю, но мне лучше так.

Ну у меня пока взломов не было ;) Для этого нужно сначала ломануть ssh по ключу, чтобы тебя fail2ban не засек - а там 3 попытки всего и гуляй сутки. Потом еще рута получи (система обновляется регулярно). В общем, оно конечно можно, но овчинка выделки не стоит.

ммм, так рабочая сеть на работе. сквозное подключение я не делал, оно мне не нужно. дома разве только мобилки от десктопа и ноута с сервером разделить, но я не вижу в этом особого смысла, да и иногда нужен такой доступ.

Только белый список с привязкой к МАС подключаемого устройства, как сделать - гугл в помощь, там в зависимости от твоего роутера и действия будут отличатся

Еще производители могут оставлять backdoor в прошивке, например:
На информационном портале devttys0.com некто Craig Heffner – опытный специалист в области реверс-инжиниринга – выложил статью-исследование очередной (уже находили) программной закладки в роутерах D-Link. На этот раз закладка была выявлена в официальной прошивке для DIR-100 revA, но, по его мнению, присутствует в роутерах других серий:

DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604+
TM-G5240
Planex BRL-04UR
Planex BRL-04CW


Коротко говоря, если у вашего браузера установлен User-Agent как «xmlset_roodkcableoj28840ybtide», то вы автоматически получаете админский доступ к веб-панели управления роутером без всякой авторизации.

pruf

Тп-линк ОХУЕНЕН с OpenWRT (+ приклеить на чипы радиаторы)
Но если не хочешь(не знаешь) заморачиваться, то да, - Зиксел ваш выбор!

Это сообщение отредактировал JRotten - 21.09.2016 - 17:02

Как поможет?
Пробовал я как то на одной сети пакеты перехватывать... все мак адреса которые подключались было видно. И телевизор и смартфоны... У меня был линукс с флэшки запущен... я там просто мог поставить любой MAC, в общем то и ставил из циферок подряд.
Посмотрел какой мак у его ноута, поставил такой же и ломай дальше.

там есть возможность перебора рин кода при включенном WPS.

если только не подменить мак адрес

Да тплинки вообще охуенны. попривыкали все к вебмордам, да тыканью в далее двлее двлее.

Про WPS включенный спрашивали? Это упрощённая регистрация по кнопке.
Если включен, выключай. Ломается на раз.
И шифрование WPA2.

Игры с MAC - детский сад. Если кто-то ломает машрутизатор, то просканировать эфир и клонировать летающие там MAC-и ещё проще. Скрытый SSID из той же оперы.

Это сообщение отредактировал platonmsk - 21.09.2016 - 17:15

ага, а если проколол колесо - меняй машину!? (следуя Вашей логике)

Если в роутере есть функция WPS - отключаем её.
Ставим WPA2 и сложный пароль 25+ символов.
На вход в админку роутера ставим сложный пароль 25+ символов.

В принципе всё. Этого достаточно. Взломать можно только перебором, который будет длиться десятки лет.

Прописывать списки мак-адресов не вижу смысла. Скрывать SSID тоже не вижу смысла.

Это сообщение отредактировал GSR - 21.09.2016 - 17:49

Попроси жену не давать пароль соседу-любовнику.

Как сказали выше, белый список mac-адресов не поможет, это плацебо. Максимм поможет от брута ключа, чуть более грамотному человеку (софту) это не преграда

ресет полминуты