Выпендрился блин. (Крик о помощи).

Модель роутера - в студию!

Скорее всего, ломают через уязвимость или через дефолтный скрытый пароль.
Прошей чем-то типа последней OpenWRT.

Ну или в личку пиши, посодействую ))

Обновление прошивки до последней версии
Полная смена дефолтных паролей
Фильтрация по MAC-адресам
WiFi - WPA2 + AES
SSID скрыть
Это сообщение отредактировал dzrgregory - 21 сен. 2016 г. в 16:33

Никакие фильтры по мак-адресам не помогут, только WPA-2-PSK и надежный пароль, который обычный комп, перехвативший хендшейки между вашими устройствами и роутером, будет подбирать годами. Надежность пароля можно проверить в интернетах, сайтов куча, даже примерное время подбора скажут.

В идеале простота.
По проводам таких проблем нет.

blow05
Да все тоже самое можно делать на удаленном хосте да и мощности с каналом у него поболе будет :) Я просто говорю, что не понимаю такой грошовой экономии. Ну да это сугубо личное дело каждого.

А вот vlan-ы я б все же поднял. После ряда взломов становишься параноиком :)

Один на домашнюю сеть, второй на рабочую - там делов то на полчаса от силы.

Если метод шифрования поставил WEP, то ломается на раз. Ставь WPA2/PSK (тип шифрования AES), придумай новый, и пущай он пробует еще раз сломать.

На вопрос "как прописать только те устройства, которые", могу ответить просто:
в гугле по этому DIR300 всё есть. Можете так напрямую вопрос и гуглить.
Там будет и с картинками, а может быть и с видео.
Это сообщение отредактировал bratvl - 21 сен. 2016 г. в 16:37

Пустота

Цитата

Ну ладно. По воздуху у нас летают нешифрованные данные? Допустим, оно так или удалось расшифровать и вытащить этот мак адрес.

мак-адреса нешифрованы точно.

Цитата

Дальше чтобы роутер тебя по нему пустил, надо по-любому подцепиться к wi-fi, ввести пароль... Допустим, пароль простой и включен этот пресловутый WPS. Тогда залезаем. Но представляете какая это совокупность "если"?

не только WPS, но и WEP ломается легко. а такие еще достаточно часто попадаются (ради интереса посмотрел - 3 из 7 сейчас в зоне видимости телефоном).
WPA2 - уже сложнее, там пароль нужно только брутить. Если больше 8 символов - это практически нереально за разумное время. Ну и не словарный пароль. И да, никто не говорил, что взлом - это легко. Но если нужно пробить не конкретную защищенную точку, а любую в зоне видимости - выбирается самая менее защищенная. И фильтр MAC-адресов тут роли никакой не сыграет.

Рекомендации:
1) пароль админа на роутер сменить на нестандартный
2) Скрыть SSID
3) отфильтровать по MAC адресам (разрешение доступа только твоим устройствам)
4) шифрование WPA2-PSK с паролем чем длиннее и сложнее тем лучше.

Полностью это не обезопасит - WIFI полюбому ломается и никуда от этого не деться. Но усложнит процедуру на столько что пионеру тебя троллящему скорее всего станет жалко сил и времени заморачиваться.

Да еще 5-м пунктом WPS отрубить нафиг.

1. ОБНОВИТЬ прошивку Вашего роутера на последнюю официальную.
2. изменить логин-пароль на вход в роутер (не менее 12 знаков http://passgen.ru/ Внимание: некоторые устройства-сайты не любят спецсимволы!
3. отключить доступ извне по SSH (если есть)
4. отключить WPS (доступ по ПИН-коду)
5. включить доступ только по WPA2+AES (с паролем не менее 12 знаков http://passgen.ru/) Внимание: некоторые устройства-сайты не любят спецсимволы!
6. жёстко связать IP и MAC ваших устройств
7. внести MAC ваших устройств в белый лист
8. наслаждаться

З.Ы. всё эти шаги настройки гуглятся в сети, по имени Вашего роутера.
Это сообщение отредактировал JRotten - 21 сен. 2016 г. в 17:14

ForbiddenDW

Цитата

Да все тоже самое можно делать на удаленном хосте да и мощности с каналом у него поболе будет :) Я просто говорю, что не понимаю такой грошовой экономии. Ну да это сугубо личное дело каждого.

банально - фильмы туда уже не закачаешь. Или вот сейчас нужно мне сделать бекап винта полутерабайтного - тоже в облако? Канал наружу мне не нужен широкий, зато локально гигабит. Да, еще syncthing на него поставил, и могу туда залить что угодно - хоть текстовичок, хоть флешку с регика слить (32гига). А vps с большим винтом - это уже никак не 5$

Мощность тоже особая не нужна - есть мощный десктоп. Наоборот на этом сервачке очень хорошо тестировать разные вещи - понижаешь частоту до 233MHz и смотришь, как быстро оно работает и в каком месте упирается именно в проц, а не в ввод/вывод. В общем, никого ни в чем не убеждаю, но мне лучше так.

Цитата

А вот vlan-ы я б все же поднял. После ряда взломов становишься параноиком :)

Ну у меня пока взломов не было ;) Для этого нужно сначала ломануть ssh по ключу, чтобы тебя fail2ban не засек - а там 3 попытки всего и гуляй сутки. Потом еще рута получи (система обновляется регулярно). В общем, оно конечно можно, но овчинка выделки не стоит.

Цитата

Один на домашнюю сеть, второй на рабочую - там делов то на полчаса от силы.

ммм, так рабочая сеть на работе. сквозное подключение я не делал, оно мне не нужно. дома разве только мобилки от десктопа и ноута с сервером разделить, но я не вижу в этом особого смысла, да и иногда нужен такой доступ.

Только белый список с привязкой к МАС подключаемого устройства, как сделать - гугл в помощь, там в зависимости от твоего роутера и действия будут отличатся

Еще производители могут оставлять backdoor в прошивке, например:
На информационном портале devttys0.com некто Craig Heffner – опытный специалист в области реверс-инжиниринга – выложил статью-исследование очередной (уже находили) программной закладки в роутерах D-Link. На этот раз закладка была выявлена в официальной прошивке для DIR-100 revA, но, по его мнению, присутствует в роутерах других серий:

DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604+
TM-G5240
Planex BRL-04UR
Planex BRL-04CW


Коротко говоря, если у вашего браузера установлен User-Agent как «xmlset_roodkcableoj28840ybtide», то вы автоматически получаете админский доступ к веб-панели управления роутером без всякой авторизации.

pruf

Цитата (ForbiddenDW @ 21.09.2016 - 15:37)

ПроФФесор Тплинк выкинь и забудь, это тоже самое кетайское гуано, что и длинк. Постоянно с ними проблемы.

Тп-линк ОХУЕНЕН с OpenWRT (+ приклеить на чипы радиаторы)
Но если не хочешь(не знаешь) заморачиваться, то да, - Зиксел ваш выбор!
Это сообщение отредактировал JRotten - 21 сен. 2016 г. в 17:02

Цитата (Rozenkranc @ 21.09.2016 - 14:25)

ТС, настрой список разрешенных к подключению MAC-адресов, он же белый лист. После этого проблем со взломом с большей вероятностью больше не будет

Как поможет?
Пробовал я как то на одной сети пакеты перехватывать... все мак адреса которые подключались было видно. И телевизор и смартфоны... У меня был линукс с флэшки запущен... я там просто мог поставить любой MAC, в общем то и ставил из циферок подряд.
Посмотрел какой мак у его ноута, поставил такой же и ломай дальше.

там есть возможность перебора рин кода при включенном WPS.

Цитата (Rozenkranc @ 21.09.2016 - 14:25)

ТС, настрой список разрешенных к подключению MAC-адресов, он же белый лист. После этого проблем со взломом с большей вероятностью больше не будет

если только не подменить мак адрес

Цитата (JRotten @ 21.09.2016 - 16:59)

Цитата (ForbiddenDW @ 21.09.2016 - 15:37) ПроФФесор Тплинк выкинь и забудь, это тоже самое кетайское гуано, что и длинк. Постоянно с ними проблемы. Тп-линк ОХУЕНЕН с OpenWRT (+ приклеить на чипы радиаторы) Но если не хочешь(не знаешь) заморачиваться, то да, - Зиксел ваш выбор!

Да тплинки вообще охуенны. попривыкали все к вебмордам, да тыканью в далее двлее двлее.

Про WPS включенный спрашивали? Это упрощённая регистрация по кнопке.
Если включен, выключай. Ломается на раз.
И шифрование WPA2.

Игры с MAC - детский сад. Если кто-то ломает машрутизатор, то просканировать эфир и клонировать летающие там MAC-и ещё проще. Скрытый SSID из той же оперы.
Это сообщение отредактировал platonmsk - 21 сен. 2016 г. в 17:15

Цитата (руша @ 21.09.2016 - 16:26)

Все комменты - херня. Покупай новый роутер. У меня такое же было. Сначала не было скорости. Потом и инет исчез. Купила новый-все в порядке.

ага, а если проколол колесо - меняй машину!? (следуя Вашей логике)

Если в роутере есть функция WPS - отключаем её.
Ставим WPA2 и сложный пароль 25+ символов.
На вход в админку роутера ставим сложный пароль 25+ символов.

В принципе всё. Этого достаточно. Взломать можно только перебором, который будет длиться десятки лет.

Прописывать списки мак-адресов не вижу смысла. Скрывать SSID тоже не вижу смысла.
Это сообщение отредактировал GSR - 21 сен. 2016 г. в 17:49

Попроси жену не давать пароль соседу-любовнику.

Как сказали выше, белый список mac-адресов не поможет, это плацебо. Максимм поможет от брута ключа, чуть более грамотному человеку (софту) это не преграда

ресет полминуты