Wifi фильтрация по mac что это
Как заблокировать устройство (Wi-Fi-клиента) на роутере по MAC-адресу?
В этой статье я расскажу о блокировке Wi-Fi клиентов, которые подключены к роутеру. Проще говоря, покажу как по MAC-адресу заблокировать подключено устройство в настройках вашего роутера. Или же заблокировать абсолютно все устройства, и разрешить подключаться только некоторым. Не странно, что статья по блокировке доступа к сайтам через роутер Tp-Link пользуется большой популярностью. Не редко приходится ограничивать доступ к интернету через роутер для какого-то устройства, или же полностью его блокировать.
Подробно рассмотрим блокировку устройств по MAC-адресам на роутерах Asus, Tp-Link, D-link и Zyxel. В них эта функция реализована, правда у каждого производителя по-своему. Но ничего страшного, там не сложно разобраться. Главное, у вас должен быть доступ к настройкам роутера. Не буду здесь расписывать для чего может пригодится такая блокировка, вариантов на самом деле очень много. Кстати, можно запретить подключаться к своему Wi-Fi абсолютно любому устройству: смартфону, планшету, ноутбуку и т. д.
Как правило, есть два способа, которыми можно заблокировать Wi-Fi клиентов:
Давайте подробнее рассмотрим сам процесс на разных маршрутизаторах. Ищите ниже инструкцию для своего роутера, и следуйте инструкциям.
Блокировка устройств по MAC-адресу на роутере Asus
Подключитесь к роутеру, и откройте настройки по адресу 192.168.1.1. Или, смотрите подробную инструкцию по входу в панель управления. В настройках перейдите на вкладку Беспроводная сеть – Фильтр MAC адресов беспроводной сети.
Напротив пункта Включить фильтр MAC-адресов установите переключатель в положение Да. В меню Режим фильтрации MAC-адресов вы можете выбрать Отклонять, или Принимать. Имеется введу, устрйоства, которые мы добавим в список. Если выбрать Принимать, то будут заблокированы абсолютно все устройства, кроме тех, которые вы добавите в список. Скорее всего, вам нужно оставить Отклонять, что бы блокировать только некоторых клиентов.
Дальше, выберите из списка подключенное устройство, которое вы хотите заблокировать, или пропишите MAC-адрес устройства вручную. Для добавления устройства нажмите на кнопку добавить (+).
Добавленный клиент появится в списке. Что бы сохранить, нажмите на кнопку Применить. Устройство будет отключено от вашей Wi-Fi сети, и не сможет к ней подключится, пока вы его не разблокируете.
Что бы убрать блокировку, нажмите напротив устройства на кнопку Удалить (-), и нажмите Применить. У Asus эта функция реализована очень просто и понятно. Думаю, вы со мной согласитесь.
Блокируем Wi-Fi клиентов по MAC-адресу на роутере Tp-Link
Уже по стандартной схеме, заходим в настройки своего Tp-Link. Переходим на вкладку Wireless – Wireless MAC Filtering. Нажимаем на кнопку Enable, что бы включить фильтрацию.
В поле MAC Address прописываем адрес устройства, которое хотим заблокировать.
Появится созданное правило. Вы можете его удалить, или изменить, нажав на соответствующие ссылки напротив него. Или же, создать новое правило, для еще одного клиента.
Что бы обратно разблокировать устройство, достаточно удалить правило, либо отредактировать его, и сменить Status на Disabled.
Как запретить Wi-Fi устройство на роутере D-Link?
Так, сейчас будем блокировать клиентов на D-link DIR-615. Заходим в настройки по адресу 192.168.0.1. Если делаете в первый раз, или не получается, то смотрите эту инструкцию. В настройках переходим на вкладку Wi-Fi – MAC-фильтр – Режима фильтра. В меню, напротив Режим ограничений MAC-фильтра, выбираем один из двух вариантов: Разрешать, или Запрещать.
Если вы хотите заблокировать одного, или нескольких клиентов, то выберите Запрещать. А если хотите блокировать абсолютно все подключения по Wi-Fi, кроме тех устройств, которые добавите в список, то выберите Разрешать. Нажмите на кнопку Применить.
Дальше переходим на вкладку MAC-фильтр – MAC-адреса. И выбираем из списка (устройств, которые подключены) устройство, которое хотим заблокировать. Либо нажимаем на кнопку добавить, и указываем адрес вручную. Нажимаем кнопку Применить.
Добавленные устройства появляться в списке, и не смогут подключатся к вашей сети. Вы сможете удалять их из списка, или добавлять новые.
Вот так это настраивается на роутерах D-Link. Все просто, только жаль, что в списке возле адреса не выводится имя устройства. Сложно понять кого блокировать.
Контроль Wi-Fi клиентов по MAC-адресам на Zyxel
Давайте еще рассмотрим настройку фильтрации по MAC на устройствах ZyXEL Keenetic. Зайдите в настройки своего роутера по адресу 192.168.1.1. Сначала, нам нужно зарегистрировать необходимое устройство в домашней сети. Для этого, снизу перейдите на вкладку Домашняя сеть, нажмите в списке на нужное устройство, и нажмите на кнопку Зарегистрировать.
Дальше перейдите на вкладку Сеть Wi-Fi, и сверху откройте вкладку Список доступа. Первым делом, в поле Режим блокировки выберите тот, который вам подходит. Белый список – блокировать все устройства, кроме тех что в списке. Черный список – блокировать только тех клиентов, которые в писке.
Выделаем галочкой устройство, которое нужно заблокировать, и нажимаем кнопку Применить.
После этого, клиент будет отключен от роутера, и не сможет больше подключится.
Что бы убрать устройство из черного списка, достаточно снять галочку, и Применить настройки.
Вот и вся инструкция.
Может быть такое, что вы случайно заблокируете сами себя. В таком случае, зайдите в настройки подключившись к роутеру с помощью кабеля, или с другого устройства, и удалите свое устройство из списка. Если вдруг не получится, то можно сделать сброс настроек роутера.
Надеюсь, моя инструкция вам пригодилась. Удачи!
Как настроить беспроводную фильтрацию MAC-адресов на Archer C50 / C20 (новый интерфейс)?
Беспроводная фильтрация MAC-адресов используется для отказа или предоставления определенным беспроводным клиентским устройствам доступа к вашей сети по их MAC-адресам.
Я хочу: Запретить или разрешить определенным беспроводным клиентским устройствам получать доступ к моей сети по их MAC-адресам.
Например, вы хотите разрешить доступ беспроводному клиенту A с MAC-адресом 00-0A-EB-B0-00-0B и беспроводному клиенту B с MAC-адресом 00-0A-EB-00-07-5F, но другие беспроводные клиенты не могут получить доступ к маршрутизатору.
Как я могу это сделать?
Для примера, мы взяли Archer C20_V4:
1. Войдите в интерфейс управления маршрутизатором. Если вы не знаете, как это сделать, обратитесь к разделу Как войти в веб-интерфейс Wi-Fi роутера (новый логотип)?
3. Нажмите Включить, чтобы включить функцию фильтрации MAC-адресов.
4. Выберите Разрешить доступ станциям, указанным во включенных правилах из списка в качестве правила фильтрации.
5. Удалите или отключите все записи, если они есть.
6. Нажмите Добавить и заполните пустые строки.
1) Введите MAC-адрес 00-0A-EB-B0-00-0B / 00-0A-EB- 00-07-5F в поле MAC-адрес.
2) Введите беспроводной клиент A/B в поле Описание.
3) Выберите Включено в раскрывающемся списке Состояние.
4) Нажмите Сохранить и нажмите Назад.
7. Правила фильтрации должны быть указаны, как показано на рисунке ниже.
Теперь только клиент A и клиент B могут получить доступ к вашей сети.
Для получения подробной информации о каждой функции и настройке оборудования перейдите на страницу Загрузки для загрузки руководства пользователя к вашей модели устройства.
Как настроить на маршрутизаторе фильтрацию по MAC-адресам для управления устройствами, подключенным к усилителю Wi-Fi сигнала?
Эта статья подходит для:
При попытке настроить фильтрацию по MAC-адресам на основном маршрутизаторе для управления устройствами, подключенным к усилителю Wi-Fi сигнала, некоторые клиенты в итоге понимают, что фильтрация не работает должным образом. Ниже разберем следующие моменты, объясним причину и рассмотрим подробные шаги для нормальной работы фильтрации по MAC-адресам.
Вначале убедитесь, что ваш усилитель сигнала успешно подключен к маршрутизатору и проверьте, в каком режиме работает ваш усилитель сигнала:
Примечание: RE200/RE210/RE580D/RE590T/TL-WA850RE_V2/TL-WA860RE_V2/TL-WA854RE_V1 работают в режиме Proxy по умолчанию.
В качестве примера, в данной статье мы рассмотрим модели RE210 и C7. Ниже приведена топология сети:
Примечание: в этой статье фильтрация по MAC-адресам направлена на управление клиентами, подключенными к усилителю сигнала, а не напрямую к маршрутизатору.
Часть A: Если усилитель сигнала работает в режиме Proxy
1. Особенность режима Proxy:
В режиме Proxy усилитель сигнала заменяет каждый реальный MAC-адрес своего клиента виртуальным MAC-адресом, автоматически созданным им. Таким образом, маршрутизатор будет принимать виртуальный MAC-адрес клиента в качестве своего реального MAC-адреса, поэтому нам нужно внести виртуальные MAC-адреса этих клиентов в таблицу фильтрации по MAC-адресам на маршрутизаторе вместо их реальных MAC-адресов. Сравнивая приведенные ниже параметры, вы сможете лучше понять этот процесс.
в. Теперь вы видите, что маршрутизатор отображает только виртуальный MAC-адрес вашего компьютера, а не его реальный MAC-адрес. Есть одна важная деталь, о которой необходимо знать, последние 24 бита виртуального MAC-адреса каждого клиента точно такие же, как последние 24 бита реального MAC-адреса клиента.
Вы можете легко найти правило, сравнив реальный MAC-адрес вышеуказанного компьютера (8C-89-A5- CE-14-93 ) с его виртуальным MAC-адресом (16-CC-20- CE-14-93 ).
2. Найдите виртуальные MAC-адреса клиентов, которые подключены к усилителю:
a. Проверьте реальный MAC-адрес ваших клиентских устройств и запишите их. Вам понадобятся виртуальные MAC-адреса этих клиентских устройств.
б. Войдите в веб-интерфейс вашего маршрутизатора и перейдите в список клиентов DHCP. Здесь мы видим все MAC-адреса и IP-адреса устройств, выданных маршрутизатором. Сравнивая последние 24 бита этих MAC-адресов с последними 24 битами адресов ваших клиентских устройств, вы сможете легко найти виртуальные MAC-адреса своих клиентских устройств. Запишите их. Они вам понадобятся в дальнейшем.
Примечание: если вы не знаете, как проверить список DHCP-клиентов вашего маршрутизатора, обратитесь за помощью к производителю вашего маршрутизатора.
3. Найдите MAC-адреса усилителя сигнала.
Однодиапазонный усилитель сигнала, такой как TL-WA850RE, имеет один MAC-адрес на частоте 2,4 ГГц, а двухдиапазонный усилитель сигнала имеет два MAC-адреса, которые используются на частотах 2,4 ГГц и 5 ГГц соответственно.
б. Если ваш усилитель сигнала является двухдиапазонным усилителем, вам все равно нужно будет найти его MAC-адрес для частоты 5 ГГц. Так же как в предыдущем шаге, вы можете легко найти MAC-адрес вашего усилителя 5 ГГц (14-CC-20-42-B8-E7). MAC-адрес усилителя на частоте 2.4 ГГц очень похож на его MAC-адрес на частоте 5 ГГц, фактически он отличается последними двумя символами в последнем октеде.
Вы можете легко найти закономерность, сравнив MAC-адрес на частоте 2,4 ГГц усилителя сигнала (14-CC-20-42-B8-E5) с его MAC-адресом на частоте 5 ГГц (14-CC-20-42-B8-E7).
Примечание: если вы не знаете, как проверить статистику беспроводной сети вашего маршрутизатора, обратитесь за помощью к производителю вашего маршрутизатора.
4. Настроить фильтрацию по MAC-адресам (белый список): разрешить доступ станциям, указанным во включенных правилах из списка для доступа к Интернету.
В данном примере мы настроим белый список на модели Archer C7, чтобы понимать, как использовать виртуальный MAC-адрес для настройки фильтрации по MAC-адресам.
г. Если ваш маршрутизатор и усилитель сигнала являются двухдиапазонными устройствами, вы можете повторить описанные выше шаги в веб-интерфейсе маршрутизатора для диапазона 5 ГГц.
Примечание: если вы не знаете, как настроить фильтрацию по MAC-адресам на вашем маршрутизаторе, обратитесь за помощью к производителю вашего маршрутизатора.
Часть Б: Если усилитель сигнала работает в универсальном режиме (Universal Mode)
В этом режиме усилитель сигнала заменит все MAC-адреса своих клиентов своим собственным MAC-адресом. Это означает, что нам нужно только ввести MAC-адрес усилителя в фильтрацию MAC-адресов на маршрутизаторе:
Часть В: Если усилитель сигнала работает в режиме WDS (WDS Mode)
Если ваш усилитель сигнала работает в режиме WDS, он не будет подменять MAC-адреса клиентских устройств виртуальными MAC-адресами, либо своим собственным MAC-адресом, он будет использовать реальный MAC-адрес этих клиентов. Поэтому нам нужно вводить только настоящие MAC-адреса клиентских устройств в фильтрацию по MAC-адресам на маршрутизаторе. Никакой другой специальной настройки не требуется.
Чтобы получить подробную информацию о каждой функции и настройке оборудования, перейдите на страницу Загрузки для загрузки руководства пользователя к Вашей модели устройства.
Как настроить МАС фильтр на маршрутизаторе TP-Link
Если вы хотите ограничить число компьютеров с доступом в Интернет, воспользуйтесь функцией MAC Filtering (МАС фильтр).
Вам необходимо знать МАС адреса всех компьютеров, которым вы хотите разрешить доступ в Интернет. Вы можете узнать их, воспользовавшись командной строкой.
(2) Введите ipconfig / all в диалоговом окне, нажмите Enter (Ввод), на экране отобразится вся адресная информация.
Откройте браузер и введите в адресную строку IP адрес маршрутизатора (по умолчанию 192.168.1.1) и нажмите Enter (Ввод).
Выберите Enable Firewall (Включить брандмауэр), затем укажите Enable MAC Filtering (Включить МАС фильтр). Если вы хотите разрешить доступ к сети только некоторым компьютерам, сделайте отметку Allow these PCs with enable rules to access the Internet (Разрешить доступ в Интернет компьютерам с указанными адресами). После этого те компьютеры, МАС адреса которых прописаны в правилах фильтрации, будут иметь доступ к Интернету. Если вы, наоборот, хотите запретить доступ в Интернет этим компьютерам, выберите Deny these PCs with enabled rules to access the Internet (Запретить доступ в Интернет компьютерам с указанными адресами).
Нажмите Save (Сохранить), чтобы сохранить настройки.
Нажмите Add New (Добавить), чтобы создать и настроить правило.
Введите МАС адрес компьютера, которому вы хотите разрешить доступ в Интернет, в соответствующее поле. Активируйте правило.
Нажмите Save (Сохранить), чтобы сохранить настройки.
После этого компьютеру, МАС адрес которого указан в правиле, будет предоставлен доступ в Интернет.
Если вы хотите разрешить доступ в Интернет другим компьютерам, нажмите Add New (Добавить), чтобы создать новое правило. Заметьте, что для каждого МАС адреса необходимо создавать отдельное правило.
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Как обойти фильтрацию по MAC адресу
А вот теперь смотрите, как злоумышленники обойдут вашу защиту — зачастую, им на это нужно меньше времени, чем вам перейти в административную панель роутера и вбить туда новый MAC адрес… Именно поэтому я и называю это средство защиты негодным.
Как изменить MAC адрес
Большинство сетевого оборудования позволяет легко менять MAC адреса из графического интерфейса. В любом случае, сейчас не стоит затрагивать эту тему — если у вас проблемы со сменой, то поищите в Гугле инструкции для вашего устройства.
В Linux изменить MAC своего адаптера можно следующим образом (работает как для проводных сетей, так и для беспроводных):
Предварительно нужно отключить любые mon-интерфейсы. Проверить, заработала ли подмена, можно вызвав ifconfig wlan0 — в строке Hwaddr должен быть указанный выше MAC.
Кроме того, в *nix есть macchanger — с его помощью можно выставить себе случайный MAC. Если поставить его в init.d, то неприятель будет совершенно сбит с толку, так как при каждой загрузке наш MAC будет другим (работает для любых проводных и беспроводных адаптеров, как и ifconfig).
Пусть вас не слишком обольщает свобода смены MAC адресов на произвольные: некоторые Точки Доступа не подключают клиентов с невалидными MAC-адресами, поэтому если вы меняете на произвольный, то убедитесь, что он имеется в базе данных, иначе у вас могут начаться непредвиденные проблемы. В Kali Linux эту базу данных можно найти в файлах
А обновить базу данных можно командой
Намного важнее другой вопрос: какой именно MAC адрес является валидным, на какой адрес нужно менять?
На вскидку я могу назвать минимум три способа узнать MAC адреса, которые находятся в белом списке фильтра. О двух из них я расскажу здесь. Это:
Как узнать MAC адреса из белого списка
В этом нам поможет программа Airodump-ng. Переводим нашу беспроводную карту в режим монитора и запускаем Airodump-ng.
Например, на этом изображении хорошо видно, что точка доступа Kitty имеет, по крайней мере, двух клиентов. Их валидные MAC адреса здесь же (смотрите поле STATION).
Бывает так, что не получается увидеть сразу клиентов для определённых точек доступа. Т.е. какие-то клиенты присутствуют, но программа собрала ещё недостаточно сведений, чтобы сопоставить их с какой-либо из ТД. Для этого нам нужно применить атаку деаутентификация: если у ТД есть хоть один клиент, то мы это увидим сразу после его переподключения.
Кстати, чтобы сделать две вещи в одно время, можно заодно и захватить рукопожатие.
Для деаутентификации останавливаем Airodump-ng и запускаем снова, только уже с указанием канала интересующей нас ТД.
И после этого «пуляем» пакеты деаутентификации и смотрим на экран:
Например, я не видел клиентов для точки доступа SecondaryAP.
После выполнения атаки «раскрылся» один из клиентов:
Его MAC 20:02:AF:32:D2:61 — это точно адрес из белого списка, ведь в ином случае он не смог бы подключиться.
Плюсы раскрытия MAC адреса с помощью Airodump-ng:
Минусы раскрытия MAC адреса с помощью Airodump-ng:
Подбор MAC адреса методом перебора (по словарю и грубой силой)
Этот тест использует список известных MAC адресов клиентов и пытается пройти аутентификацию с ними в заданной ТД, при этом динамически изменяется таймаут ответа для лучшей производительности. В настоящее время это работает на ТД, которые отклоняют должным образом открытый запрос аутентификации
Плюсы раскрытия MAC адреса с помощью mdk3:
Минусы раскрытия MAC адреса с помощью mdk3:
В программе mdk3 нас интересует режим f — Режим брутфорса фильтра MAC.
Примеры использования команд:
Здесь mdk3 — имя программы, f указывает на режим брутфорса фильтра MAC, -t 20:25:64:16:58:8C это BSSID целевой ТД, -m 00:12:34 устанавливает диапазон MAC адресов для использования (3 байта, например, 00:12:34). Если не указана -m, то будет использоваться внутренняя база данных.
Все опции такие же, кроме одной новой: -f 00:12:34:00:00:25 — здесь установлен MAC адрес с которого будет начат брутфорс.
Вы не можете использовать -f и -m в одно время. Но можно запускать программу вообще без этих двух опций:
Если вы не хотите использовать деаутентификацию клиентов, то для значительного ускорения процедуры брутфорса можно провести перебор по MAC адресам клиентов, которые находятся в радиусе действия Wi-Fi.
Итак, белый список MAC адресов не увеличивает реальную защиту беспроводной сети. Он затрудняет использование ТД легитимными пользователями, поэтому его, наравне с созданием скрытых сетей Wi-Fi (подробности смотрите в статье «Как узнать имя скрытой сети Wi-Fi») следует относить к негодным средствам защиты сети.