На самом деле, не имея 2701 передо мной (и мне трудно найти эмулятор), я не могу много сказать о том, что, возможно, неправильно в конфигурации. Я бы предположил, что вы, возможно, неправильно отметили что-то в отношении настроек фильтра MAC. Обычно SOHO-маршрутизаторы выполняют фильтрацию MAC-адресов либо в режиме белого, либо в черном списке - объединять их нет смысла. Убедитесь, что вы правильно установили режим работы вашего роутера. Включение опции белого списка, но только заполнение черного списка (или наоборот) не будет иметь никакого эффекта. (Ну, это на самом деле должно препятствовать подключению всех устройств, в то время как наоборот разрешит все. Дело в том, что никакой пользы от безопасности нет.)
Черный список: разрешить все устройства, кроме указанных в "запрещенном" списке. (Легче управлять, но труднее блокировать злоумышленников.)
Белый список: разрешить только устройства, указанные в списке "разрешенных". (Предпочтительнее между ними, так как по умолчанию он блокирует неавторизованные устройства, но им сложнее управлять, особенно если вы обычно допускаете посетителей в свою сеть.)
В любом случае, вы не должны полагаться на фильтрацию MAC-адресов в качестве основной защиты!
Любой режим фильтрации MAC-адресов довольно просто обойти, поскольку MAC-адреса не являются постоянным идентификатором, и они всегда передаются в открытом виде по воздуху. Таким образом, любой может изменить свой MAC-адрес на любой другой, а также увидеть MAC-адреса любого устройства в радиусе действия.
После этого злоумышленник может легко обойти черный список, просто изменив свой адрес на то, что еще не занесено в черный список.
Белый список лишь немного сложнее, но все же довольно прост. Злоумышленник просто ждет, чтобы увидеть MAC-адреса любых устройств, которые активно общаются с вашей точкой доступа, а затем меняет свой MAC-адрес для соответствия.
Будет ли фильтрация MAC-адресов предотвращать некоторые атаки с использованием диска? Конечно. Но если вы сталкиваетесь с преданным злоумышленником (и, похоже, так оно и есть), это не сильно остановит их.
Хотя вы не упомянули об этом, "сокрытие SSID" или "отключение маяков" или "отключение трансляции SSID" - это еще одна слабая мера безопасности, которая не только не стоит - ее следует избегать. Все, что он делает, это останавливает вашу точку доступа от рекламы, когда она простаивает. Тем не менее, SSID по-прежнему отправляется в открытом виде, когда он активно общается, поэтому злоумышленники по-прежнему смогут захватывать и использовать его независимо. Хуже всего то, что, поскольку ваша точка доступа не передает свое присутствие, ваши клиентские устройства должны быть настроены на поиск точки доступа, даже если они не находятся рядом с ней. Затем злоумышленники могут использовать маяки, которые генерируют ваши клиентские устройства, для установки своей собственной фальшивой точки доступа и обмана ваших клиентов для подключения.
Вместо этого вам следует полагаться на надежный протокол шифрования и аутентификации, такой как текущий WPA2-PSK (который использует AES-CCMP). Кроме того, вы должны убедиться, что ваш предварительный общий ключ (PSK или просто пароль к сети Wi-Fi) достаточно длинный и сложный, чтобы его было нелегко угадать или взломать. Пока у вас достаточно сильный PSK (я предлагаю минимум 15 символов с 3 различными типами символов - но WPA2 поддерживает до 63 символов, и я лично использую все они полностью рандомизированно) шифрование / аутентификация Wi-Fi не должно быть легко ломким в обозримом будущем. О, и даже не беспокойтесь о WEP (ужасно сломанном) или WPA-TKIP (также сломанном, но все же лучше, чем WEP). Если вы действительно не можете использовать WPA2 по какой-либо причине, то WPA-AES - достойный запасной вариант, пока вы не купите новый маршрутизатор.
Однако есть одно важное предостережение: WPS. Wi-Fi Protected Setup - это прекрасный, удобный, однокнопочный режим подключения, который доступен на большинстве точек доступа сегодня. Проблема с WPS заключается в том, что в режиме аутентификации по ПИН есть слабое место, которое - на многих, если не на большинстве используемых в настоящее время маршрутизаторах SOHO - позволяет злоумышленникам легко взломать ПИН-код и затем аутентифицироваться с помощью WPS. После того, как WPS предоставил кому-то доступ, он предоставляет PSK, чтобы его устройство могло нормально подключаться к сети. Изменение вашего PSK не уменьшит это! Атакующий может просто взломать WPS снова (это не займет много времени) и получить новый PSK. Единственный способ уменьшить это, который полностью находится под вашим контролем, - полностью отключить WPS. (Некоторые новые маршрутизаторы добавили функциональность для предотвращения таких атак, но конечные пользователи не могут легко с уверенностью проверить их, если они не готовы сами протестировать эксплойт.) К сожалению, многие производители маршрутизаторов, особенно на старых моделях, сделали это трудным или невозможным. Если дело обстоит так с вашим маршрутизатором, я настоятельно рекомендую вам купить новый или рассмотреть возможность прошивки прошивки сторонним образом, таким как Tomato, DD-WRT или OpenWRT.
В итоге:
- Прекратите полагаться на фильтрацию MAC. Это хорошее дополнение для безопасности, но его действительно легко обойти.
- Даже не пытайтесь скрыть свой SSID. Любой все еще может видеть это, и ваши клиенты оказываются менее защищенными, когда это не транслируется.
- Используйте WPA2-PSK с сильным PSK. Это должно быть вашей основной защитой от пропускной способности Wi-Fi и похитителей данных.
- Отключить WPS. Независимо от того, насколько хороши ваша аутентификация и шифрование, этот бэкдор легко использовать.
- Получить новое устройство или прошивку, если вам нужно. Если ваш текущий маршрутизатор не поддерживает WPA2-PSK и / или не позволяет вам отключить WPS, пришло время для обновления. Если указанный маршрутизатор предоставляется вашим провайдером, вы всегда можете купить свой собственный и выбросить его в сеть за маршрутизатором провайдера. Затем убедитесь, что Wi-Fi маршрутизатора надежно настроен, как описано выше, и отключите Wi-Fi на маршрутизаторе ISP.
