Полигон-2

Mihail-1 МАС каждый раз разный? Отфильтровать его по MAC`у.

Ни в коем разе не стоит цель его поймать, набить морду, запретить на всех роутерах. Просто повеселиться над товарищем хочется, какую-нибудь подляну устроить. Мака два, видать комп и что-то мобильное, может телефон.
Я не очень в сетях спец, но чую, что повеселиться можно

Т.е. чужак ломает пароли на раз ?
Если увеличение пароля до 80 кодов не помогает - дело плохо, лучше вообще отключиться от эфирной раздачи, т.к чужак может работать через спецпароль ГБ и устраивать чудовищные провокации - по типу оскорбления представителей высшей власти и т.п., за что хозяин эфирной точки реально может поехать на Севера, причем на долго.

Mihail-1 написал:

[q]

[/q]

Шифрование wpa2 с длинной пароля минимум 15 символов (разный регистр, цифры).
Если и такое сломает, то найти и пожать руку.

Вообще надо нормально сеть строить, что бы избегать проблем с wifi, например: вынос точки в отдельный влан, роутинг влана только в инет, трафик в инет жестко шейпить, фаирволить все, кроме 80 порта, 80-ый пускать через транспарент прокси, как выше уже советовали, на проксе следить куда ходит, закрывать ресурсы по acl.
Но на бюджетном обороудовании ты такое не провернешь.

easyjohnMM, если не сложно, удалите свои сообщения, не засоряйте тему ( см. мое сообщение от 22 августа 2015 0:22)

MM ещё раз пишу, что у меня пароль 12345, мне кажется тоько дебил его не подберет.
Я не ставлю тут вопрос как защитить Вай-Фай.

Mihail-1 написал:

[q]

easyjohn, [skip] не засоряйте тему

[/q]

О, ну с таким подходом, ты быстро добъешься результата. Гений.


Mihail-1 написал:

[q]

easyjohn а что может сделать фильтринг АйПи?

[/q]

Ага, ты даже общего представления об ip сетях не имеешь, судя по тому, что даже правильно прочитать написанное не смог.

Mihail-1 написал:

[q]

easyjohn СМ., ПОЖАЛУЙСТА, первую строку первого сообщения. Михаил

[/q]

Успокойся, Михаил. Зачем так кричать. Все прекрасно видят твое сообщение.
Просто ты не в состоянии понять, что тебе отвечают.

Mihail-1 написал:

[q]

пока ни одного предложения как подшутить над присосанцем не услышал

[/q]

Лучшей шуткой, в твоём случае, будет "неожиданная" невозможность присосанцу подключиьтся к твоей сети. Сие заставит человечка совершать дополнительные телодвижения, например, поменять своё оборудование. Шутка наиболее безопасна для тебя, ибо нахал морду бить на предмет "почему, :№;"@, меня отключил?" не пойдёт, запалу мало и другие соседи имеются...
Достигается сие именно блокировкой хоста по МАС-адресу, что легко выполнить даже на бытовых коробкороутерах, особой квалификации не надобно. Суть явления: DHCP сервак твоего роутера будет сперва проверять МАС запрашивающего соединение компа, и в случае совпадения со "штрафником", IP-адрес выдан не будет. Нахалу помашет крылом "розовая птица Обломинго".

Более интересный вариант - поднять на коробкороутере простой веб-сервер, с единственной, абсолютно пустой страницей, стартующей автоматически, при заходе на роутер по http протоколу. Единственное наполнение - простая фраза "Не влезай - убьёт", "У тебя 2 минуты, чтоб покинуть эту страницу и не быть пойманным" или иная, того-ж толку. Толька не стоит явно хамить, вроде "Йа до тэбэ дабэрузь!", эффект будет обратным: амбал с битой нарисуется аккурат за дверью.
Для сего метода потребуется кастомная прошивка, с возможностью подтянуть в неё сервак из репозитория. Или переделать фабричную прошивку, чтоб взамен "веб-морды" роутера выводилась эта страница.
Не настолько просто, и потребуется некое знание Linux-а.

Следующий шаг по пути усложнения - поставить некий сервак аутентификации и перенаправить на него поток с коробкороутера. Практически все они умеют RADIUS-технологию. Аббревиатуру можно расшифровать в инете. Радиус-сервер достаточно хорош, чтоб заблокировать доступ хосту исходя из "почерка его работы" в сети, а не только по стандартным параметрам вроде IP и МАС.

Можно совместить радиус со хранилищем вирусни. Например, выдавать адрес и тут-же перенаправлять присосанца на отдельный HoneyPot-сервак, где уже и пасутся зловреды, и стоит ПО слежения от тех-же "гэбистов", и просто "стукачок в органы" какой-нть...
Но сие - опасно, за дверью могут оказаться как тот-ж амбал, так и спецы-ФСБ-шники, если твоя "коллекция" каким-то боком протечёт в сеть.

PS. Не ругайся на easyjohn или MM, они предложили то-ж самое, токма весьма сухим "гиковским" языком с примесью "белого порошка ЧСВ" (зовётся "перхоть" , всегда сыпется с "тру гиков" ). Не научились оне говорить по-человечески, всё норовят "по-королевски". См. мультфильм "12 месяцев".

Alex_Vac написал:

[q]

создал прикольную страничку с шуткой, и перенаправлял все запросы с чужих МАК-ов на неё.

[/q]

Берётся старый компик с Виндой, на него накатывается банальный Small HTTP Server (https://ru.wikipedia.org/wiki/Small_HTTP_Server), на котором поднимается свой DNS с перенаправлением всех вызовов на 127.0.0.1, т.е. на "страничку с шуткой". К машинке подключается полностью открытая точка доступа. Вот пусть халявщик там и лазиет, однозначно при наличии открытой сети его не будут интересовать закрытые.
А все остальные предложенные способы требуют как минимум хороший софтовый роутер или микротик на крайний случай...

ViktorAG написал:

[q]

Теперь никто не взломает сервер пентагона из под моего айпишнега.

[/q]

Не факт!
1. Если он ломает Wi-Fi, то он видит все мак адреса подключенные к роутеру. Сегодня гость есть - завтра нет, а мак Адрес прописан в таблице на роутере, подменил мак и подключился.
2. Каждый раз не будешь заходить на роутер и менять кол-во пользователей, а если и будешь, и при этом заходиш через Wi-Fi так это вообще сказка - он просто подслушает, а логин и пароль при входе на роутер передается нешифрованным.
3. Есть направленные антенны и чувствительные девайсы.

MaxFox написал:

[q]

Если он ломает Wi-Fi, то он видит все мак адреса подключенные к роутеру.

[/q]

Увы, на роутере пароль у меня нормальный и имя кривое, так что более чем уверен, что в настройки роутера он не войдет, хотя, если ошибаюсь, то подскажите какой есть способ обойти логин и пароль входа в настройки роутера.

Fe-Restorator
Alex_Vacrw6hrm Ваша идея создать для присосанца свой "интернет" понравилась. Сам, естественно не справлюсь, но малого напрягу, зря что ли всю бурсу кормил

easyjohn написал:

[q]

Не остановит даже ребенка, подмена мака есть в готовых скриптах, доступных каждому.

[/q]

Всё в этой жизни ломаемо и в пепел превращаемо. Вопрос лишь в трудозатратах и наличии аппаратных ресурсов.
Организовать СОРМ на дому и поддерживать его работу в режиме 24/366 не удастся ни одному среднестатистическому юзверю, а гикам это выгодно только в плане карьерного роста/повышения квалификации.
Вот и рекомендую лишь то, что есть под руками, в составе того-ж коробкороутера, даж без шаманства с прошивками. (В репозиториях есть некие "зачатки сорма", ежли-что, насколько эффективны - не пробовал.)

Абсолютизм мнения "всё это детский лепет, надо делать профессионально" побереги для другого обсуждения, ограничься условиями текущей задачи: коробкороутером + слабым знанием ОС и роди наконец дельный совет "как быть?".

Mihail-1, в коробкороутерах есть возможность включать/отключать радио по таймеру, выставляется период активности в течение суток. Можно воспользоваться этим и отрубать оное с 18-00 до 7-00 следующего дня. Облом с подключением присосанцу гарантирован, выкачка ночных торрентов - тож накрыта тазом. Да, ты сам тож с планшетом не помедитируешь на троне, всему есть своя цена.

Не в тему: один человечек просил ограничить его детей от инета с N до M часов, чтоб уроки учили и спали крепче. С телевизором он справился сам, выкинул нафиг. Закавыка: сам он хотел оставаться онлайн даже в "комендантский час". Покупка профи-аппаратуры за офигеард монет отметалась разом. В итоге, в цепочку поставлены 2 коробкороутера, настроенных на радиоработу в разные промежутки времени. Ибо сами коробкИ достались человечку почти бесплатно. Разные сетки, разные настройки, домочадцы взламывать не умеют... Не совсем твой случай, но... можно включать второй коробок в вечернее время, оставив его открытым для присосанца. Контролировать трафик/рубить, перенаправлять, сниффить... Лучше - вести лог траффика, ежли какие "фесебешники" нагрянут - оправдаться будет чем, лог им покажешь.


PS. Можно, по совету easyjohn-а, заразиться абсолютизмом: вовсе выключить радио и пользовать проводное подключение того-ж коробкороутера. Пусть присосанец по воздуху взламывает витую пару...

PPS. С узконаправленностью антенн связываться - неоднозначное занятие. Квартиру ниже/выше всё равно "засветит", эт те не лом и не сигара, окромя того появится другой присосанец, токма уже на дальней дистанции. Ну и слепые зоны в твоём доме появятся, из-за той-же направленности.

Можно попробовать уменьшить мощность радио (есть в коробкороутерах) чтоб её едва хватало для устойчивой связи внутри дома, и катастрофически не хватало наружу: постоянно рвущийся коннект зело насолит любому присосанцу.
Если оборудовал в доме т.н. "тёплый пол", это + тебе в карму: фольгированная подложка пола непроницаема для радиоволн, её-б заземлить и будет совсем хорошо. Присосанцы из нижних квартир идут в пивной ларёк, всей толпой... Металлизировать всё подряд не получится, конечно, жить "в жестянке" - эт бред, хоть и убережёт от поражающих воздействий.

Заодно:
1) сбросить настройки коробкороутера в дефолтные и настроить их заново.
2) поменять оба логин-пароля, и на сам роутер, и на доступ к сети. Сделать их полностью разными. Менные действия проводить по-шнурку, никакого радио, не ленись.
3) Поглядеть, который пароль будет взломан.
4) неплохо-бы меж первым и вторым пунктами обновить прошивку роутера, возможно, в ней есть некая закладка, backdoor, пользуемый присосанцем, через коий можно взломать вообще всё.
В обновлённой прошивке он может отсутствовать/быть иным, хацкеру придётся попотеть. Часто такое встречается в купленных с-рук железках, оттого от них и избавляются/намеренно подбрасывают. Как быстро развить ботнет? Продай десяток роутеров с "закладками" в прошивке...

MaxFox написал:

[q]

Как я уже писал выше, если он подключается к вашему роутеру, то он логин и пароль подслушает в том виде в каком Вы их вводите, кривые они или прямые.

[/q]

Выключить радио, сменить пароли, включить радио. Попробуй подслушать вводимое.

Странно. Проверил свой асус - пароль на сеть передаётся шифрованным, на роутер - тем паче. Можно, канеш, подслушать сам "шифропакет" и затем его воспроизвести, при везении взом получится, но это нетривиально. И логи будут пёстрые: "два раза вошёл, ни разу не вышел"...

MaxFox написал:

[q]

Не факт!
1. Если он ломает Wi-Fi, то он видит все мак адреса подключенные к роутеру. Сегодня гость есть - завтра нет, а мак Адрес прописан в таблице на роутере, подменил мак и подключился.

[/q]

Как пропишу, так и выпишу.

MaxFox написал:

[q]

2. Каждый раз не будешь заходить на роутер и менять кол-во пользователей, а если и будешь, и при этом заходиш через Wi-Fi так это вообще сказка - он просто подслушает, а логин и пароль при входе на роутер передается нешифрованным.

[/q]

Никакого радио в админке, только по проводам.

MaxFox написал:

[q]

3. Есть направленные антенны и чувствительные девайсы.

[/q]

Вспомним притчу о Буридановом осле. Тот издох, выбирая из двух одинаковых стогов сена. Но если одна куча больше другой, то осёл хацкер попрётся к большей, соседской.


Fe-Restorator написал:

[q]

Если оборудовал в доме т.н. "тёплый пол", это + тебе в карму: фольгированная подложка пола непроницаема для радиоволн, её-б заземлить и будет совсем хорошо. Присосанцы из нижних квартир идут в пивной ларёк, всей толпой... Металлизировать всё подряд не получится, конечно, жить "в жестянке" - эт бред, хоть и убережёт от поражающих воздействий.

[/q]

Идея не нова, хотя и универсальна:

ViktorAG написал:

[q]

Идея не нова, хотя и универсальна:

[/q]

Последняя шарашка, где на всех этажах жили психи - называлась "гулаг". До него - "канатчикова дача". Универсальное решение универсальной идеи.