Заблокировали по mac адресу что делать

Этичный хакинг и тестирование на проникновение, информационная безопасность

Фильтрация по MAC адресу (наряду с созданием «скрытой») точки доступа Wi-Fi — это ещё один негодный способ защиты, который обходится на раз-два. И при всей своей негодности, он может доставить неприятности законным пользователям Wi-Fi. Например, вы настроили ваш беспроводной роутер, включили фильтрацию по MAC адресу и всё хорошо работает. Через пару месяцев к вам пришёл друг и просит подключиться к вашему вай-фаю — если вы ещё не забыли, что у вас фильтрация MAC адресов, то вам от имени администратора нужно лезть в настройки роутера и вбивать ещё один MAC адрес. Или же через год (к этому времени точно забудете про ваши настройки), вы купили себе новый телефон или ноутбук и потратили вечер, чтобы разобраться, почему на нём не работает интернет…

А вот теперь смотрите, как злоумышленники обойдут вашу защиту — зачастую, им на это нужно меньше времени, чем вам перейти в административную панель роутера и вбить туда новый MAC адрес… Именно поэтому я и называю это средство защиты негодным.

Как изменить MAC адрес

Большинство сетевого оборудования позволяет легко менять MAC адреса из графического интерфейса. В любом случае, сейчас не стоит затрагивать эту тему — если у вас проблемы со сменой, то поищите в Гугле инструкции для вашего устройства.

В Linux изменить MAC своего адаптера можно следующим образом (работает как для проводных сетей, так и для беспроводных):

Предварительно нужно отключить любые mon-интерфейсы. Проверить, заработала ли подмена, можно вызвав ifconfig wlan0 — в строке Hwaddr должен быть указанный выше MAC.

Кроме того, в *nix есть macchanger — с его помощью можно выставить себе случайный MAC. Если поставить его в init.d, то неприятель будет совершенно сбит с толку, так как при каждой загрузке наш MAC будет другим (работает для любых проводных и беспроводных адаптеров, как и ifconfig).

Пусть вас не слишком обольщает свобода смены MAC адресов на произвольные: некоторые Точки Доступа не подключают клиентов с невалидными MAC-адресами, поэтому если вы меняете на произвольный, то убедитесь, что он имеется в базе данных, иначе у вас могут начаться непредвиденные проблемы. В Kali Linux эту базу данных можно найти в файлах

  • /var/lib/ieee-data/oui.txt
  • /var/lib/ieee-data/oui36.txt.
  • /var/lib/ieee-data/iab.txt
  • /var/lib/ieee-data/mam.txt

А обновить базу данных можно командой

Намного важнее другой вопрос: какой именно MAC адрес является валидным, на какой адрес нужно менять?

На вскидку я могу назвать минимум три способа узнать MAC адреса, которые находятся в белом списке фильтра. О двух из них я расскажу здесь. Это:

  • посмотреть MAC адрес клиента, подключённого к точке доступа. Это можно сделать с помощью Airodump-ng
  • подобрать MAC адрес методом перебора (по словарю или брутфорсингом). Это можно сделать с помощью программы mdk3

Как узнать MAC адреса из белого списка

В этом нам поможет программа Airodump-ng. Переводим нашу беспроводную карту в режим монитора и запускаем Airodump-ng.

Например, на этом изображении хорошо видно, что точка доступа Kitty имеет, по крайней мере, двух клиентов. Их валидные MAC адреса здесь же (смотрите поле STATION).

Бывает так, что не получается увидеть сразу клиентов для определённых точек доступа. Т.е. какие-то клиенты присутствуют, но программа собрала ещё недостаточно сведений, чтобы сопоставить их с какой-либо из ТД. Для этого нам нужно применить атаку деаутентификация: если у ТД есть хоть один клиент, то мы это увидим сразу после его переподключения.

Кстати, чтобы сделать две вещи в одно время, можно заодно и захватить рукопожатие.

Для деаутентификации останавливаем Airodump-ng и запускаем снова, только уже с указанием канала интересующей нас ТД.

Читайте также:  График зависимости заряда от времени

И после этого «пуляем» пакеты деаутентификации и смотрим на экран:

Например, я не видел клиентов для точки доступа SecondaryAP.

После выполнения атаки «раскрылся» один из клиентов:

Его MAC 20:02:AF:32:D2:61 — это точно адрес из белого списка, ведь в ином случае он не смог бы подключиться.

Плюсы раскрытия MAC адреса с помощью Airodump-ng:

  • Быстрота по сравнению с брутфорсом, особенно при использовании атаки деаутентификация

Минусы раскрытия MAC адреса с помощью Airodump-ng:

  • Метод неприменим, если нет подключённых к точке доступа беспроводных клиентов
  • Если не используется атака деаутентификация, можно прождать долгое время прежде чем будет обнаружен клиент интересующей нас сети
  • Если использовать атаку деаутентификация, то вы теряете невидимость для сканеров и систем обнаружения и предотвращения вторжения беспроводной сети

Подбор MAC адреса методом перебора (по словарю и грубой силой)

В этом нам поможет программа mdk3, а именно — её режим брутфорса фильтра MAC.

Этот тест использует список известных MAC адресов клиентов и пытается пройти аутентификацию с ними в заданной ТД, при этом динамически изменяется таймаут ответа для лучшей производительности. В настоящее время это работает на ТД, которые отклоняют должным образом открытый запрос аутентификации

Плюсы раскрытия MAC адреса с помощью mdk3:

  • Возможен подбор даже если у Wi-Fi нет подключённых клиентов

Минусы раскрытия MAC адреса с помощью mdk3:

  • Как правила, занимает больше времени
  • «Шумность» метода: ваша активность точно будет замечена системами монитора беспроводных сетей (если эти системы есть) и может быть расценена как подозрительная

В программе mdk3 нас интересует режим f — Режим брутфорса фильтра MAC.

Примеры использования команд:

Здесь mdk3 — имя программы, f указывает на режим брутфорса фильтра MAC, -t 20:25:64:16:58:8C это BSSID целевой ТД, -m 00:12:34 устанавливает диапазон MAC адресов для использования (3 байта, например, 00:12:34). Если не указана -m, то будет использоваться внутренняя база данных.

Ещё один пример:

Все опции такие же, кроме одной новой: -f 00:12:34:00:00:25 — здесь установлен MAC адрес с которого будет начат брутфорс.

Вы не можете использовать -f и -m в одно время. Но можно запускать программу вообще без этих двух опций:

Если вы не хотите использовать деаутентификацию клиентов, то для значительного ускорения процедуры брутфорса можно провести перебор по MAC адресам клиентов, которые находятся в радиусе действия Wi-Fi.

Итак, белый список MAC адресов не увеличивает реальную защиту беспроводной сети. Он затрудняет использование ТД легитимными пользователями, поэтому его, наравне с созданием скрытых сетей Wi-Fi (подробности смотрите в статье «Как узнать имя скрытой сети Wi-Fi») следует относить к негодным средствам защиты сети.

Фильтрация MAC-адресов позволяет вам определять список устройств и разрешать только эти устройства в сети Wi-Fi. Во всяком случае, это теория. На практике эта защита является утомительной для создания и легкому нарушению.

Это одна из функций маршрутизатора Wi-Fi, которая даст вам ложное ощущение безопасности . Просто использовать шифрование WPA2 достаточно. Некоторым людям нравится использовать фильтрацию MAC-адресов, но это не функция безопасности.

Как работает фильтрация MAC-адресов

Каждое ваше устройство имеет уникальный адрес управления доступом к среде передачи (MAC-адрес), который идентифицирует его в сети. Как правило, маршрутизатор позволяет любому устройству подключаться — если он знает соответствующую кодовую фразу. При фильтрации MAC-адресов маршрутизатор сначала сравнивает MAC-адрес устройства с утвержденным списком MAC-адресов и разрешает только устройство в сети Wi-Fi, если его MAC-адрес был специально одобрен.

Возможно, ваш маршрутизатор позволяет вам настроить список разрешенных MAC-адресов в своем веб-интерфейсе, позволяя вам выбирать, какие устройства могут подключаться к вашей сети.

Фильтрация MAC-адресов не обеспечивает безопасность

MAC-адреса можно легко подделать во многих операционных системах , поэтому любое устройство может притворяться одним из тех разрешенных уникальных MAC-адресов.

MAC-адреса также легко получить. Они отправляются в эфир с каждым пакетом, идущим на устройство и с устройства, поскольку MAC-адрес используется для обеспечения того, чтобы каждый пакет попадал на нужное устройство.

Все злоумышленники должны следить за трафиком Wi-Fi на секунду или два, изучить пакет, чтобы найти MAC-адрес разрешенного устройства, изменить MAC-адрес своего устройства на этот разрешенный MAC-адрес и подключиться к нему на этом устройстве. Возможно, вы думаете, что это будет невозможно, потому что устройство уже подключено, но атака «deauth» или «deassoc», которая принудительно отключает устройство от сети Wi-Fi, позволит злоумышленнику восстановить соединение на своем месте.

Мы здесь не увлекаемся. Злоумышленник с набором инструментов, например, Kali Linux, может использовать Wireshark для подслушивания пакета, запускать оперативную команду для изменения своего MAC-адреса, использовать aireplay-ng для отправки пакетов деассоциации на этот клиент, а затем подключаться на своем месте. Весь этот процесс может занять менее 30 секунд. И это всего лишь ручной метод, который включает в себя выполнение каждого шага вручную — не обращайте внимания на автоматизированные инструменты или сценарии оболочки, которые могут сделать это быстрее.

Читайте также:  Как быстро закончить школу

Шифрование WPA2 достаточно

На данный момент вы можете думать, что фильтрация MAC-адресов не является надежной, но обеспечивает некоторую дополнительную защиту только при использовании шифрования. Это похоже на истину, но не на самом деле.

В принципе, до тех пор, пока у вас есть сильная парольная фраза с шифрованием WPA2, это шифрование будет самым трудным для взлома. Если злоумышленник может взломать шифрование WPA2 , для них будет тривиально обмануть фильтрацию MAC-адресов. Если злоумышленник будет блокирован фильтрацией MAC-адресов, они, безусловно, не смогут сломать ваше шифрование в первую очередь.

Подумайте, как добавить велосипедный замок в дверь банковского хранилища. Любые грабители банков, которые могут пройти через дверь банковского хранилища, не будут иметь проблемы с блокировкой велосипедного замка. Вы не добавили никакой реальной дополнительной безопасности, но каждый раз, когда сотрудник банка должен получить доступ к хранилищу, им приходится тратить время на блокировку велосипеда.

Это утомительно и отнимает время

Время, затрачиваемое на управление этим, является основной причиной, по которой вам не следует беспокоиться. Когда вы сначала настраиваете фильтрацию MAC-адресов, вам нужно получить MAC-адрес от каждого устройства в домашнем хозяйстве и разрешить его в веб-интерфейсе вашего маршрутизатора. Это займет некоторое время, если у вас много устройств с поддержкой Wi-Fi, как это делают большинство людей.

Всякий раз, когда вы получаете новое устройство — или приходит гость, и вам нужно использовать Wi-Fi на своих устройствах, вам нужно будет войти в веб-интерфейс своего маршрутизатора и добавить новые MAC-адреса. Это выше обычного процесса настройки, когда вам нужно подключить кодовую фразу Wi-Fi на каждом устройстве.

Это просто добавляет дополнительную работу в вашу жизнь. Это усилие должно окупиться лучшей защитой, но минимальное-несуществование в безопасности, которое вы получаете, делает это нецелесообразным.

Это функция сетевого администрирования

Фильтрация MAC-адресов, правильно используемая, скорее является функцией сетевого администрирования, чем функцией безопасности. Это не защитит вас от посторонних, пытающихся активно взломать ваше шифрование и попасть в вашу сеть. Тем не менее, это позволит вам выбрать, какие устройства разрешены в Интернете.

Например, если у вас есть дети, вы можете использовать фильтрацию MAC-адресов, чтобы запретить доступ к сети Wi-Fi своим ноутбуком или смартфоном, если вам нужно их заземлить и убрать доступ к Интернету. Дети могли обойти эти родительские элементы управления с помощью простых инструментов, но они этого не знают.

Вот почему многие маршрутизаторы также имеют другие функции, которые зависят от MAC-адреса устройства. Например, они могут позволить вам включить веб-фильтрацию на определенных MAC-адресах. Кроме того, вы можете запретить доступ к веб-узлам со специальными MAC-адресами в школьные часы. На самом деле это не функции безопасности, поскольку они не предназначены для того, чтобы остановить злоумышленника, который знает, что он делает.

Если вы действительно хотите использовать фильтрацию MAC-адресов для определения списка устройств и их MAC-адресов и администрирования списка устройств, разрешенных в вашей сети, не стесняйтесь. Некоторые люди на самом деле пользуются таким управлением на определенном уровне. Но фильтрация MAC-адресов не обеспечивает реального повышения безопасности Wi-Fi, поэтому вы не должны его использовать. Большинство людей не должны беспокоиться о фильтрации MAC-адресов и, если они это делают, должны знать, что это не функция безопасности.

В этой статье я расскажу о блокировке Wi-Fi клиентов, которые подключены к роутеру. Проще говоря, покажу как по MAC-адресу заблокировать подключено устройство в настройках вашего роутера. Или же заблокировать абсолютно все устройства, и разрешить подключаться только некоторым. Не странно, что статья по блокировке доступа к сайтам через роутер Tp-Link пользуется большой популярностью. Не редко приходится ограничивать доступ к интернету через роутер для какого-то устройства, или же полностью его блокировать.

Подробно рассмотрим блокировку устройств по MAC-адресам на роутерах Asus, Tp-Link, D-link и Zyxel. В них эта функция реализована, правда у каждого производителя по-своему. Но ничего страшного, там не сложно разобраться. Главное, у вас должен быть доступ к настройкам роутера. Не буду здесь расписывать для чего может пригодится такая блокировка, вариантов на самом деле очень много. Кстати, можно запретить подключаться к своему Wi-Fi абсолютно любому устройству: смартфону, планшету, ноутбуку и т. д.

Как правило, есть два способа, которыми можно заблокировать Wi-Fi клиентов:

  • Заблокировать абсолютно все устройства, никто не сможет подключаться к вашему роутеру, и разрешить только необходимые устройства (MAC-адреса устройств) . Этот способ отлично подходит для дополнительной защиты Wi-Fi сети. В паре с хорошим паролем, такая блокировка сделает вашу беспроводную сеть очень хорошо защищенной. Но, если вы часто подключаете новые устрйоства, то это не очень удобно, так как придется каждый раз прописывать их MAC-адреса.
  • Ну и второй способ, который используют чаще всего, это блокировка определенных клиентов Wi-Fi сети. Например, у вас дома к роутеру подключается 10 устройств, и вы хотите одному из них заблокировать интернет (подключение) .
Читайте также:  Вывод в таблицу html из php

Давайте подробнее рассмотрим сам процесс на разных маршрутизаторах. Ищите ниже инструкцию для своего роутера, и следуйте инструкциям.

Блокировка устройств по MAC-адресу на роутере Asus

Подключитесь к роутеру, и откройте настройки по адресу 192.168.1.1. Или, смотрите подробную инструкцию по входу в панель управления. В настройках перейдите на вкладку Беспроводная сеть — Фильтр MAC адресов беспроводной сети.

Напротив пункта Включить фильтр MAC-адресов установите переключатель в положение Да. В меню Режим фильтрации MAC-адресов вы можете выбрать Отклонять, или Принимать. Имеется введу, устрйоства, которые мы добавим в список. Если выбрать Принимать, то будут заблокированы абсолютно все устройства, кроме тех, которые вы добавите в список. Скорее всего, вам нужно оставить Отклонять, что бы блокировать только некоторых клиентов.

Дальше, выберите из списка подключенное устройство, которое вы хотите заблокировать, или пропишите MAC-адрес устройства вручную. Для добавления устройства нажмите на кнопку добавить (+).

Добавленный клиент появится в списке. Что бы сохранить, нажмите на кнопку Применить. Устройство будет отключено от вашей Wi-Fi сети, и не сможет к ней подключится, пока вы его не разблокируете.

Что бы убрать блокировку, нажмите напротив устройства на кнопку Удалить (-), и нажмите Применить. У Asus эта функция реализована очень просто и понятно. Думаю, вы со мной согласитесь.

Блокируем Wi-Fi клиентов по MAC-адресу на роутере Tp-Link

Уже по стандартной схеме, заходим в настройки своего Tp-Link. Переходим на вкладку Wireless — Wireless MAC Filtering. Нажимаем на кнопку Enable, что бы включить фильтрацию.

По умолчанию будет установлено Deny, это значит, что будут заблокированы только те устройств, которые вы укажите . Если же выбрать Allow, то будут заблокированы абсолютно все устройства. Нажмите на кнопку Add New. что бы добавить новое устройство.

В поле MAC Address прописываем адрес устройства, которое хотим заблокировать.

В поле Description пишем произвольное название для правила. А напротив Status оставляем Enabled (это значит, что правило включено) . Для сохранения жмем на кнопку Save.

Появится созданное правило. Вы можете его удалить, или изменить, нажав на соответствующие ссылки напротив него. Или же, создать новое правило, для еще одного клиента.

Что бы обратно разблокировать устройство, достаточно удалить правило, либо отредактировать его, и сменить Status на Disabled.

Как запретить Wi-Fi устройство на роутере D-Link?

Так, сейчас будем блокировать клиентов на D-link DIR-615. Заходим в настройки по адресу 192.168.0.1. Если делаете в первый раз, или не получается, то смотрите эту инструкцию. В настройках переходим на вкладку Wi-Fi — MAC-фильтр — Режима фильтра. В меню, напротив Режим ограничений MAC-фильтра, выбираем один из двух вариантов: Разрешать, или Запрещать.

Если вы хотите заблокировать одного, или нескольких клиентов, то выберите Запрещать. А если хотите блокировать абсолютно все подключения по Wi-Fi, кроме тех устройств, которые добавите в список, то выберите Разрешать. Нажмите на кнопку Применить.

Дальше переходим на вкладку MAC-фильтр — MAC-адреса. И выбираем из списка (устройств, которые подключены) устройство, которое хотим заблокировать. Либо нажимаем на кнопку добавить, и указываем адрес вручную. Нажимаем кнопку Применить.

Добавленные устройства появляться в списке, и не смогут подключатся к вашей сети. Вы сможете удалять их из списка, или добавлять новые.

Вот так это настраивается на роутерах D-Link. Все просто, только жаль, что в списке возле адреса не выводится имя устройства. Сложно понять кого блокировать.

Контроль Wi-Fi клиентов по MAC-адресам на Zyxel

Давайте еще рассмотрим настройку фильтрации по MAC на устройствах ZyXEL Keenetic. Зайдите в настройки своего роутера по адресу 192.168.1.1. Сначала, нам нужно зарегистрировать необходимое устройство в домашней сети. Для этого, снизу перейдите на вкладку Домашняя сеть, нажмите в списке на нужное устройство, и нажмите на кнопку Зарегистрировать.

Дальше перейдите на вкладку Сеть Wi-Fi, и сверху откройте вкладку Список доступа. Первым делом, в поле Режим блокировки выберите тот, который вам подходит. Белый список — блокировать все устройства, кроме тех что в списке. Черный список — блокировать только тех клиентов, которые в писке.

Выделаем галочкой устройство, которое нужно заблокировать, и нажимаем кнопку Применить.

После этого, клиент будет отключен от роутера, и не сможет больше подключится.

Что бы убрать устройство из черного списка, достаточно снять галочку, и Применить настройки.

Вот и вся инструкция.

Может быть такое, что вы случайно заблокируете сами себя. В таком случае, зайдите в настройки подключившись к роутеру с помощью кабеля, или с другого устройства, и удалите свое устройство из списка. Если вдруг не получится, то можно сделать сброс настроек роутера.

Надеюсь, моя инструкция вам пригодилась. Удачи!

Оцените статью
Adblock detector