Wireless MAC Filtering

[Opel_Astra]

ситуация непростая...
есть у меня роутер TP-Link 1043 (неплохая железка, кстати))
у товарища роутер Асус WL520GC
на этих железках настроена WDS, мой роутер раздает интернет, а Асус работает в режиме моста.
Нюансы настройки WDS не позволяют реализовать шифрование. WPA-PSK не работает, а WEP, если честно, я не особо пытался настроить, и пока хочу обойтись без него совсем).
Решил отфильтровывать нежелательных пользователей путем фильтрации по мак адресам. Вот вижу, что цепляется некий Асер, вижу мак, прописываю его в разделе Wireless MAC Filtering. На всякий случай на обоих железках )) Но эта гадина по-прежнему у меня в DHCP Clients. Вот как это понимать? То ли я что-то не так настроил, то ли есть какие-то способы обойти мак фильтр?
Может еще есть какие-то способы отсечь нежелательных клиентов? Сорри за сумбур, скрины могу приложить при необходимости...

[Barbadian]

Мас адрес легко клонируется однако

[Opel_Astra]

а можно подсмотреть мак адреса машин за роутером, если роутер под паролем?
Опять же, я вижу его (Асера) мак и он не совпадает ни с одним из маков машин, которым я доступ разрешил...

[Barbadian]

Конечно, при должной сноровке. Мас адреса светятся в эфире без всякой шифрации...

[Opel_Astra]

но двух одинаковых мак адресов в одной сетке не должно быть, так ведь? Роутер выдаст двум одинаковым машинам IP ?
Заранее прошу прощения за дилетантские вопросы )

[Павел F.]

Будет прикольно если некий асер посмотрит мак твоих железок и сделает себе один из них. Сделай шифрование по людски. Ну или, хотя бы, юзай не черный список, а белый. Т.е. забей список тех, кого можно пускать.

[Opel_Astra]

белый список - это вариант, просто пока у меня идет перепись тех, кого пускаем ))
Вот еще вопросик: если я привяжу его мак к IP, и этот IP будет не из пула роутера... )) Получится?

[andruxa]

Цитата:

Сообщение от Opel_Astra

Вот еще вопросик: если я привяжу его мак к IP, и этот IP будет не из пула роутера... )) Получится?

Что значит не из пула роутера? Из той же подсети, но за диапазоном выделенным dhcp серверу? Будет работать на статике.

[HiLuxSurfer]

забей, любая вифи ломается за 10 минут
мак рисуется еще быстрее ))))
будешь нужен и так отснифают )))

[andruxa]

Цитата:

Сообщение от HiLuxSurfer

забей, любая вифи ломается за 10 минут

)) lol, кулхацкер в трэде

[HiLuxSurfer]

тсссс не пали ))

[Opel_Astra]

да хотелось бы ламеров поотрубать
кул хацкеры пусть пользуются, хренсними ))
насчет ломается за 10 минут - как-то неожиданно ))

[andruxa]

настраивать wds на железках разных производителей дело неблагодарное.

[Opel_Astra]

когда я его настроил, не поверил, что я сам все это проделал...
оно мне стоило бессонной ночи и с десятка прочитанных на аглицком страниц )
И все из-за какой-то штуки (стоимость ТП-Линковской железки, которая под это заточена). Вот что жадность с людьми делает ))

[andruxa]

Вне зависимости от стоимости железа, afair единого стандарта на wds нет до сих пор (по-крайней мере долго не было) поэтому каждый производитель развлекается как хочет.

[Opel_Astra]

совершенно точно, нет стандарта
у меня и роутеры на разных чипах и тем более странно, что все получилось в результате, хотя и с трудом.

[andruxa]

Тем не менее я бы не оставлял открытый канал без шифрования. Юных читателей журнала ксакеп.ру много, а воспользоваться сниффером задача тривиальная. Следствие - пароли на открытых протоколах могут уйти очень быстро.

[Opel_Astra]

будем думать, как защититься
пока меня напрягает что я не могу мак фильтром отрубить какого-то асеровода (

[andruxa]

Если мне не изменяет склероз, мой нетгир показывает в Available Wireless Stations маки даже если доступ был запрещен (чтобы знать кого добавлять) а в dhcp-clients оно может светиться потому что lease не протух. После добавления в блэк-лист роутер перегружал?

[Opel_Astra]

перегружал, но они все равно в листе
с утра пропали и новые повылезли ))

[headhunter]

Цитата:

Сообщение от Opel_Astra

Но эта гадина по-прежнему у меня в DHCP Clients.

Адрес там хранится до суток по-умолчанию. Другое дело, если перегрузить роутер, то клиент должен потерять связь (хотя запись может остаться).