Share This Post

Frontpage / Οδηγοί

MAC Filter – DHCP (Router Security Part #3)

MAC Filter

Συνεχίζοντας στο τρίτο και τελευταίο μέρος του οδηγού ασφάλειας δρομολογητή, θα δούμε πιο αποτελεσματικές μεθόδους αποτροπής επίδοξων κλεφτών (MAC Filter, DHCP). Θυμηθείτε το βασικό πυλώνα της ασφάλειας που αναφέραμε στο πρώτο μέρος του οδηγού, σύμφωνα με το οποίο η αύξηση του επιπέδου ασφαλείας , μειώνει την χρηστικότητα.

Εδώ θα πρέπει να σημειώσουμε ότι, είναι λογικό να εστιάζουμε την προσοχή μας στην ασφάλεια του ασύρματου δικτύου και όχι του ενσύρματου, καθώς εκεί είναι μεγαλύτερος ο κίνδυνος για το δίκτυο. Είναι απίθανο κάποιος να πειράξει το δίκτυο μας με ενσύρματη σύνδεση, ειδικά για απλούς χρήστες οι οποίοι έχουν απλούς δρομολογητές σε ένα σπίτι.

Για αυτό το μέρος του οδηγού θα χρησιμοποιηθεί ο δρομολογητής ΖΤΕ Η108Ν, ο οποίος είναι ευρέως διαδεδομένος και διανέμεται με νέες συνδέσεις όλων των παρόχων σε διάφορες εκδόσεις (πχ Η108L).

MAC Filter

Στο δεύτερο μέρος του οδηγού είδαμε πως εντοπίζουμε άγνωστες MAC διευθύνσεις οι οποίες αντιστοιχούν και σε πιθανούς κλέφτες. Συγκρατήστε αυτές τις διευθύνσεις και ξεκινάμε.

Ρύθμιση Φίλτρων MAC

Αρχικά , συνδεθείτε ΕΝΣΥΡΜΑΤΑ στο δίκτυο σας, μέσω ενός καλωδίου UTP (Ethernet). Αυτό το κάνουμε για τον εξής απλό λόγο: επειδή θα πειράξουμε ρυθμίσεις ΜΟΝΟ του WiFi , με μια ενσύρματη σύνδεση δεν πρόκειται να αποσυνδεθώ από το δίκτυο ότι λάθος και να κάνω.

Συνδεθείτε στο interface του δρομολογητή με τον τρόπο που αναφέρεται στους προηγούμενους οδηγούς και κατευθυνθείτε στο μενού NETWORK/WLAN/Access Control List (ενδέχεται να διαφέρει ανάλογα με τον δρομολογητή). Θα εμφανιστεί η παρακάτω εικόνα:

MAC FilterΌπως βλέπουμε έχουμε τις παρακάτω δυνατότητες:

  1. Απενεργοποιημένο Φίλτρο (No MAC Filter).
  2. Φίλτρο που αποκλείει (Block). Επιλέγω αυτή την λειτουργία, εφόσον έχω αναγνωρίσει άγνωστες συσκευές στο δίκτυο μου, έχω βρει τις MAC και θέλω να τις αποκλείσω. Ουσιαστικά εισάγω τις MAC που θέλω να μην συνδέονται στο δίκτυο. Αυτή είναι και η πιο συνηθισμένη περίπτωση, αφού μέσω των προηγούμενων οδηγών έχω βρει τους ανεπιθύμητους του δικτύου μου.
  3. Φίλτρο που επιτρέπει (Permit). Επιλέγω αυτή τη λειτουργία, εφόσον θέλω να δίνω εγώ δικαιώματα σε συσκευές που θέλουν να συνδεθούν στο δίκτυο μου. Ουσιαστικά εισάγω τις MAC, που θέλω να συνδέονται στο δίκτυο.
Block ή Permit

Η διαδικασία είναι ίδια και για τις δύο (2) παραπάνω λειτουργίες : Πρώτα επιλέγω το είδος της λειτουργίας (Block ή Permit), κατόπιν εισάγω την MAC  και πατάω στο πλήκτρο Add. Η σελίδα θα ανανεωθεί και εμφανιστεί η παρακάτω εικόνα.

MAC FilterΒλέπουμε ότι η συσκευή με Φυσική Διεύθυνση 54:27:58:87:52:0c, έχει αποκλειστεί από το δίκτυο SSID1. Προφανές είναι ότι αν έχω πολλαπλά SSID, τότε πρέπει να τα ρυθμίσω ξεχωριστά.

Στην αρχή του οδηγού είπαμε ότι για να εκτελέσουμε ρυθμίσεις στο WLAN, καλό θα ήταν να συνδεθούμε ενσύρματα. Αυτό συμβαίνει για τον εξής προφανή λόγο: Φανταστείτε να έχω συνδεθεί στον δρομολογητή μέσω του WiFi. Πηγαίνοντας σε αυτό το μενού, επιλέγω λειτουργία permit και δεν βάζω καμία MAC ή βάζω μόνο του κινητού μου για παράδειγμα. Ο υπολογιστής από τον οποίο έκανα τις ρυθμίσεις , θα σταματήσει να έχει πρόσβαση στο δίκτυο (θα έχει μόνο το κινητό ή κανένας).

Εάν συμβεί κάτι τέτοιο μπορείτε να συνδεθείτε εκείνη τη στιγμή ενσύρματα και να λύσετε το πρόβλημα, αφαιρώντας τα φίλτρα.

Με την παραπάνω διαδικασία προσθέσαμε φίλτρα MAC διευθύνσεων (MAC Filter), στο ασύρματο δίκτυο. Σε περίπτωση που θέλουμε να προσθέσουμε αντίστοιχα φίλτρα για το ενσύρματο δίκτυο, οδηγούμαστε στο Μενού Security/MAC Filter(ενδέχεται να διαφέρει ανάλογα με τον δρομολογητή), και πραγματοποιούμε τις αντίστοιχες ρυθμίσεις. Προσοχή γιατί αν προσθέσω μια MAC στο φίλτρο ενσύρματου δικτύου, η MAC αυτή δεν θα αποκλειστεί από το ασύρματο δίκτυο.

Ρυθμίσεις DHCP

Γενικά

Ο DHCP (Dynamic Host Configuration Protocol), είναι ένας server που τρέχει στον δρομολογητή μας και είναι υπεύθυνος να μοιράζει ΙΡ σε συσκευές που αιτούνται μια ΙΡ διεύθυνση σε ένα δίκτυο. Γενικότερα όταν μια συσκευή συνδέεται σε ένα δίκτυο και είναι ρυθμισμένη σε αυτόματη απόδοση ΙΡ, τότε αναζητά σε όλο το δίκτυο έναν DHCP Server για να πάρει ΙΡ. Έτσι και οι συσκευές μας (κινητά, υπολογιστές, tablet κλπ), όταν συνδεθούν σε φυσικό επίπεδο στο τοπικό μας δίκτυο, λαμβάνουν μια ΙΡ από τον DHCP του δρομολογητή μας.

O DHCP έρχεται μετά από τα βήματα ασφαλείας που προαναφέραμε και πιο συγκεκριμένα:

  1. Πρώτα γίνεται αυθεντικοποίηση μέσω SSID και κωδικό WiFi.
  2. Κατόπιν γίνεται το φιλτράρισμα μέσω των MAC Διευθύνσεων.
  3. Τέλος η συσκευή λαμβάνει μια ΙΡ από τον DHCP και τελικά συνδέεται στο δίκτυο.

Η μορφή των διευθύνσεων ΙΡ που θα μοιράσει ο DHCP, μπορεί να ρυθμιστεί από το διαχειριστικό εργαλείο του δρομολογητή. Ας θυμηθούμε και την παρακάτω τοπολογία που φαίνεται πιο ξεκάθαρα το παραπάνω.

MAC FilterΟι διευθύνσεις στο δίκτυο μας έχουν την μορφή 192.168.1.ΧΧΧ. H 192.168.1.1 είναι δεσμευμένη από τον ίδιο τον δρομολογητή και λειτουργεί ως Default Gateway. Από εκεί και πέρα ο DHCP μπορεί να ρυθμιστεί να μοιράζει ΙΡ από τον 192.168.1.2 έως 192.168.1.254. Δηλαδή 253 διευθύνσεις ΙΡ. Με λίγα λόγια επιτρέπουμε σε 253 συσκευές να συνδεθούν στο δίκτυο μας.

Ρύθμιση DHCP

Παρακάτω θα δούμε πως μπορούμε να περιορίσουμε αυτόν τον αριθμό και να καθορίσουμε συγκεκριμένες ΙΡ για τις δικές μας συσκευές.

Μέσω του μενού του δρομολογητή κατευθυνθείτε στο NETWORK/LAN/DHCP Server (ενδέχεται να διαφέρει ανάλογα με τον δρομολογητή). Εκεί θα δούμε την παρακάτω εικόνα:

Βλέπουμε αρχικά ότι ο DHCP είναι ενεργοποιημένος. Αν απενεργοποιήσω τον DHCP, τότε θα πρέπει να ορίσω σε όλες τις συσκευές του δικτύου, στατικές μοναδικές ΙΡ για κάθε συσκευή. Οι στατικές ΙΡ θα πρέπει να είναι της μορφής 192.168.2.ΧΧΧ  γιατί η LAN IP Address είναι η 192.168.2.1 στο συγκεκριμένο παράδειγμα.

Επίσης μπορούμε σε αυτή την φόρμα να μειώσουμε το εύρος των ΙΡ μέχρι την 192.168.2.6 έτσι ώστε να είναι διαθέσιμες πέντε (5) IP. Βάζω λοιπόν ως DHCP End IP Address, την 192.168.2.6.

Αν κάποιος περάσει τα φίλτρα που έχουμε προαναφέρει (κωδικούς και MAC), και έχει ορίσει στατική ΙΡ στην συσκευή του πχ 192.168.2.150, τότε θα συνδεθεί στο δίκτυο μας ανεξάρτητα αν είναι ενεργοποιημένος ο DHCP ή αν έχουμε αφήσει πέντε διαθέσιμες ΙΡ (πχ 192.168.2.2 έως 192.168.2.6).

Τέλος Οδηγού

Εδώ τελείωσε ο οδηγός με τις βασικές ρυθμίσεις ασφαλείας ενός δρομολογητή. Αυτό που κρατάμε, είναι ότι η ασφαλής περιήγηση στο διαδίκτυο δεν θεωρείται δεδομένη, ανεξάρτητα των μέτρων που έχουμε λάβει. Κλείνοντας θα πούμε κάποια tips που είναι βασικά για την ασφάλεια:

  • Ποτέ μην θεωρείται ασφαλή τα ανοιχτά δίκτυα ή τα δημόσια δίκτυα για εκτέλεση συναλλαγών
  • Ποτέ μην αφήνετε του default κωδικούς για την είσοδο στο διαχειριστικό εργαλείο το router αλλά και στο WiFi.
  • Μην επαναπαύεστε ότι κλέβω δίκτυο από τον γείτονα. Απλά σκέψου ότι ο γείτονας πιθανόν επίτηδες να άφησε ανοιχτό ή ευάλωτο το δίκτυο του.

Θυμηθείτε να διαβάσετε τα δύο πρώτα μέρη του οδηγού εδώ και εδώ.

Μπορείτε να κατεβάσετε όλο τον οδηγό σε αρχείο pdf, εδώ.

Share This Post

Leave a Reply