|
Доброго времени суток всем. Разобравшись с проблемой постоянных перезагрузок DI-624 D2 подошли к следующей проблеме, не менее важной - проблеме безопасности. Все по порядку.
Устройств позволяет при помощи DHCP сервера диначимески выделять IP адреса. Есть также настройки связывания IP адреса и MAC адреса сетевой карты, когда каждому MAC адресу (по-сути каждой сетевой карте) выделяется уникальный IP адрес.
По MAC фильрам можно разграничить подключение в LAN сеть по отдельным PC (разрешить доступ только по определенным MAC адресам).
По IP фильтрам можно настроить доступ в Интернет (WAN) для отдельных компьютеров LAN (как проводных, так и беспроводных), в том числе и доступ с разграничением по времени.
Все хорошо, если бы не одно "НО". Если клиент на своем PC настраивает статический IP адрес из диапазона сети LAN (любой), то устройство на это НИКАК не ругается. Даже несмотря на то, что к данному PC есть связка по MAC адресу в настройках рутера (или если IP адрес выходит за рамки допустимых DHCP сервером IP адресов).
То есть в фильтрах по IP адресу вообще пропадает смысл.
Если ползователь PC присваивает себе статическими настройками на своей машине IP адрес, имеющий связку с MAC адресом другой машины, то УРА, стройство начинает определять данное действие как Spoof Attck, НО УВЫ, злоумышленник никак не блокируется и имеет доступ в Интернет под чужим IP.
Фильтры по IP адресу в таком случае - это защита от дурака...
Вопрос. Можно ли как-нибудь настроить этот мистический DI-624, чтобы:
1) Все статические настройки IP адреса на PC, не попадающие в диапазон ДОПУСТИМЫХ IP адресов DHCP сервера (свободных на момент подключения) рассматривались как атака и блокировались устройством.
2) Все статические настройки IP адреса на PC, которые попадают в диапазон IP адресов DHCP сервера, но имеют связку с чужым MAC адресом не только рассматривались как Spoof Attack (в логах), но еще и блокировались устройством. Причем блокировались так, чтобы устройство, чей MAC имеет связку с данным IP могло подключится к сети, а не получать сообщние о том, что IP адрес занят (злоумышленником). То есть блокировка не на уровне портов, по которым устройство хочет получить доступ в Интернет или LAN, а полная блокировка и отказ в обслуживании.
3) Динамически клиент может получить только IP адрес, связанный с его MAC, если для него есть связка MAC - IP в настройках рутера, а если такой связки нет, то любой другой из доступнх свободных IP адресов DHCP сервера, не имеющих связку с MAC других PC. Или получить отках в облуживании, если свободных допустимых адресов нет.
Фильр по IP адресам будет иметь смысл только тогда, когда эти условия будут выполнятся!!!
Я так понимаю, все это не работает из-за того, что это просто не учли, и всем счастливым обладателям устройства надо снова ждать очередной прошивки, где все эти моменты быдут учтены???
|
Вход
Регистрация
FAQ
Поиск
