среда, 28 июня 2017 г.

О защите подключения к точке Wi-Fi

При организации малой (домашней) сети, как правило, мы желаем подключения к ней и наших беспроводных приборов (ноутбуки, смартфоны и т.п.). И даже оборудование от провайдера нашего Интернет предоставляет нам такую возможность. При этом такая возможность реализуется просто: указал имя точки доступа и назначил пароль.


Включаем wifi (Enable SSID), указываем имя нашей точки (SSID Name).


Указываем пароль для подключения (WPA Passphrase).

В большинстве случаев это всё. Мы считаем, что этого достаточно. При этом зачастую не особо "заморачиваемся" насчёт стойкости и сложности пароля.

Но ... А если нас окружают "враги", которые только и ждут, чтобы воспользоваться нашим трафиком? Например, несложный вопрос поисковику Яндекс выдал итог (пример):


А вот некоторые подробности:

А у вас дома много устройств wifi? Не думаю, что больше десятка. Не стоит ли подстраховаться и сделать так, чтобы ваш модем давал подключение только тем устройствам, которые вами явно определены?

Например, для модема "Промсвязь ZXV10 H208L" за это отвечает вкладка "Access Control List", в которой необходимо этот режим включить и далее внести MAC-адреса устройств, подключающихся по wifi.

 
По умолчанию, "Mode" стоит в "Disabled". Установите "Permit", укажите в полях MAC-адрес устройства и нажмите кнопку "Add".


Кроме того, не забудьте сменить пароль (а лучше и логин к нему) на управление своим модемом, так как зачастую эти значения остаются по умолчанию, например, admin и admin. Пример:




Old Password = старый пароль
New Password = новый пароль
Confirm Password = ещё раз (подтвердить) новый пароль.

А если Вам известно примерное количество всех узлов домашней сети, то можно изменить и сетевые параметры. Другими словами – осуществить сегментацию своей сети. Пример:





На рисунках выше число узлов, подключённых к сети, составляет не более 6-ти (от 1 до 6), так как вся сеть (192.168.1.0) ограничена маской (определяющей число узлов в сети) не 255.255.255.0, а 255.255.255.248.

Кроме того, можно изменить и адрес сети. Например, указать, что сеть не 192.168.1.0, а 192.168.152.0 и тогда везде вместо третьей цифры 1 будет 152.

Для расчёта сети воспользуйтесь онлайн калькулятором, например таким – ссылка.

Можно руководствоваться следующими значениями:

Subnet Mask – 255.255.255.0 (или 24)
DHCP Start IP Address – 192.168.1.2
DHCP End IP Address – 192.168.1.254

Эти значения устанавливаются по умолчанию. В новых модемах, как правило, вместо 1 идёт 100 и первый подключенный к сети узел (модем) имеет адрес 192.168.100.1  В домашней сети адрес IP модема всегда будет являться адресом IP шлюза (Gateway).

Subnet Mask – 255.255.255.128 (или 25)
DHCP Start IP Address – 192.168.1.2
DHCP End IP Address – 192.168.1.126

Subnet Mask – 255.255.255.192 (или 26)
DHCP Start IP Address – 192.168.1.2
DHCP End IP Address – 192.168.1.62

Subnet Mask – 255.255.255.224 (или 27)
DHCP Start IP Address – 192.168.1.2
DHCP End IP Address – 192.168.1.30

Subnet Mask – 255.255.255.240 (или 28)
DHCP Start IP Address – 192.168.1.2
DHCP End IP Address – 192.168.1.14

Subnet Mask – 255.255.255.248 (или 29)
DHCP Start IP Address – 192.168.1.2
DHCP End IP Address – 192.168.1.6

Subnet Mask – 255.255.255.252 (или 30)
DHCP Start IP Address – 192.168.1.2
DHCP End IP Address – 192.168.1.2

В последнем случае возможно только 1 подключение, т.к. 192.168.1.1 – это модем, 192.168.1.2 – подключаемое к сети устройство, а 192.168.1.3 – широковещательный адрес сети 192.168.1.0

В моём случае являюсь "счастливым" обладателем маленького роутера MikroTik, который и поднимает у меня Интернет, и раздаёт wifi, а модем провайдера работает в режиме Bridge. Поэтому у меня сняты галочки в полях "Default authenticate" и "Default forward", которые по умолчанию разрешают регистрироваться и передавать данные по wifi через MikroTik.



Далее переходим на вкладку Access List, нажимаем на кнопочку "плюс" и дообавляем MAC-адрес своего устройства:



В поле "Comment" можно для себя указать что это за устройство. Это описание будет показано при входе в панель управления MikroTik по Winbox или браузеру. 

Какое устройство осуществило подключение к wifi и получило адрес IP указано во вкладке "Registration".


В частности, это wifi-модем моего компьютера:


На рисунке выше видно, что моя точка MiroTik позволяет подключаться даже без пароля, но роутер (MikroTik) позволяет делать это только тем, кому это явно разрешено. Реализацию этой настройки можно увидеть в протоколе работы, когда неопознанное устройство в течение 10-ти минут (и хватило же терпения!) пыталось пройти регистрацию на моей точке доступа. 


Что ж, как говорилось во времена моей далёкой туманной молодости, "флаг в руки, майка лидера и барабан на шею".

Комментариев нет:

Отправить комментарий