Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Router TL-WR1043ND, zwiększenie zabezpieczeń

20 Jul 2011 09:36 2925 9
  • Level 22  
    Mam router TL-WR1043ND, jest ustawione filtrowanie po MAC,WPA2,silne haslo,logowanie na router tylko po kablu ... ale,
    1. Jak zabezpieczyć przed brute force na hasło?Żeby wtedy router wykonywał jakąs akcje?
    2. Można ustawić żeby wykonywała się jakaś akcja jeśli próbuje się podłączyć MAC z poza listy?W ACL nie widzę takiej opcji.
    3. W panelu rotera nie widzę opcji log ów z całego trafficu przechodzącego przez router (są informacje o tym jaki to a jaki MAC z sieci lokalnej otrzymał IP itp.).Jest ustawione na "log all".
    4. Czy podszywanie się pod MAC może wykryć router ?
    Firmware Tplink, najnowsze(3.13.4 ).
    [Szkolenie 22.06.2021, g.9.30] Zabezpieczenia Internetu Rzeczy (IoT) programowe i sprzętowe. Zarejestruj się za darmo
  • Level 10  
    Ad1)Moim zdaniem najlepszym rozwiązaniem z Twojej strony będzie zmiana firmware na OpenWrt.
    Instalacja OpenWrt na TL-WR1043ND[LINK] Zwróć uwagę,że możesz zainstalować go bezpośrednio przez przeglądarkę bez większego wkładu pracy typu lutowanie pinów i podłączanie zarobionego kabla RS232 w router.
    Jeżeli nie pracowałeś na OpenWrt pod konsolą to konfigurujesz router przez przeglądarkę,zmieniasz port SSH na inny niż normalny 22(by wykluczyć możliwość taką,że włamać próbują Ci się robaki sieciowe) a jak zakończysz konfigurację to logujesz się po SSH,stopujesz(pod żadnym pozorem nie usuwasz!)serwer httpd.
    Code:
    /etc/init.d/httpd disable

    Code:
    /etc/init.d/httpd stop

    Jeżeli nie domyślasz się po co blokujemy httpd to odpowiadam: o jedna rzecz mniej sprawiająca zagrożenie,która jest łatwa do zbrute-force'owania i do wyexploitowania.
    Następnie wprowadzasz do siebie zabezpieczenia SSH,które opisane są tutaj:
    http://open-wrt.ru/forum/viewtopic.php?id=18710
    https://forum.openwrt.org/viewtopic.php?id=10417

    Posiadając wyłączony httpd oraz ustawiony dostęp do routera wyłącznie przez SSH z zaimplementowanymi zasadami bezpieczeństwa opisanymi w powyżej podlinkowanych forach można czuć się już zdecydowanie bezpieczniej.
    Oczywiście poleca się naukę zarządzania OpenWrt z poziomu SSH:
    Ważniejsze komedy konsolowe w OpenWrt[LINK]
    Komendy i podstawy linuksa[LINK]

    Ad2):
    http://rpc.one.pl/index.php/lista-artykulow/3...t/94-mac-filter-w-routerze-wr1043nd-z-openwrt

    Ad3)To najczęściej jest powodem niezaznaczenia w zakładce od ustawień logowania zdarzeń,jakie informacje ma Ci logować do pliku '*.log'

    Ad4)
    Tak,rozwiązaniem na to może być doinstalowanie na OpenWrt snort-wireless:
    http://snort-wireless.org/
    Wykrywa on podszywanie się pod MAC(Sequence number based MAC spoof detection - DONE)

    Na standardowym firmware niewiele zdziałasz,ba!można stwierdzić śmiało,że nic ciekawego.
    Widzisz ile możliwości jest na OpenWrt w tych kwestiach.Jego funkcjonalność nie kończy się tylko na tym.Nie ma co się zastanawiać,czy warto pozostać przy oryginalnym firmware.
  • Level 22  
    Użyłem opcji konfiguracji zwiększającej bezpieczeństwo (ogólnodostępne na necie poradniki) i jest ok. Czyli co jakiś czas zmiana hasła, oczywiście szyfrowanie WPA2, AES, dostęp do konfiguracji tylko po kablu, zmiana hasła i loginu na admina, lista dopuszczonych komputerów po MAC, zmiana adresacji z domyślnej na inną, ograniczenie puli nadawnych adresów z DHCP, wysyłanie logów na maila.Poziom paranoid ;)
  • Level 13  
    Mam takie pytanie, po co Ci aż tyle zabezpieczeń ? wykonujesz transakcje internetowe na kilka mln $$$ ? w okolicy mieszka specjalista od łamania zabezpieczeń itp. ?

    Ja też posiadam kilka zabezpieczeń ale bez przesady.


    PS. Polecam zmniejszenie mocy radia.
  • Level 22  
    Quote:
    PS. Polecam zmniejszenie mocy radia.

    Nie wspomniałem ale oczywiście zmniejszyłem.A kto mieszka w okolicy, kto to wie :P
    Nie przesadzaj, że tak zabezpieczona jest.BTW w sieci, po wifi chodzi firmowy laptop, to dlatego.
  • Level 10  
    shizy wrote:
    logowanie na router tylko po kablu


    A to w ogóle da się tak ustawić w tym modelu? Ja dzisiaj przez przypadek będąc na wifi wszedłem w panel i mi się normalnie zalogował mimo iż nie byłem podpięty kablem.
  • Level 1  
  • Level 22  
    Security->Local Management
    v Only the PCs listed can browse the built-in web pages to perform Administrator tasks i podajesz MAC PC-ta łączącego się kablem.
  • Level 43  
    Jeśli byłaby opcja rozbicia portów przełącznika na trzy vlany, zawsze można też wydzielić jeden port wyłącznie do zarządzania routerem, bez dostępu do sieci i Internetu. Poziom ultraparanoid;)
    Jednak nie wiem, czy ten sprzęt potrafi takie "wygibasy".
  • Level 10  
    shizy wrote:
    Security->Local Management
    v Only the PCs listed can browse the built-in web pages to perform Administrator tasks i podajesz MAC PC-ta łączącego się kablem.


    Ok, czyli nie da się w ogóle wyłączyć dostęp do panela przez wifi tylko za pomocą filtrowania adresów MAC można to zawęzić do karty ethernet danego komputera.

    Czyli ogólnie nie da się zrobić tak, by każdy podpięty kablem miał dostęp (bez względu na MAC) a obciąć tylko wifi?