[TP-LINK TL-WR1043ND] Zabronienie przydzielania adresów

[Kot-ek]

Cześć.

Używam router'a firmy TP-LINK, model TL-WR1043ND (strona testowa z systemem producenta znajduje się tutaj - nie jest to najnowsza wersja frimware, ale pozwalająca zapoznać się z prawie wszystkimi funkcjami).

Chciałbym tak skonfigurować ten router, żeby każde nieznane urządzenie (do rozpoznawania mogę wykorzystać jedynie MAC, który można sobie podmienić, ale pomińmy kwestię zasadności/bezpieczeństwa rozwiązania na potrzeby tego wątku) po podłączeniu się do sieci (niezależnie czy LAN, czy WiFi) nie otrzymywało adresu. Spodziewam się, że nawet gdyby ktoś podszył się pod znany MAC, to powinien otrzymać informację o kolizji adresu sieciowego (oczywiście pod warunkiem, że urządzenie wykorzystujące ten adres będzie on-line).

Założony cel próbowałem osiągnąć poprzez wyłączenie serwera DHCP i włączenie rezerwacji adresów:
DHCP -> DHCP Settings -> DHCP Server: Disable
DHCP -> DHCP Settings -> Address Reservation: [odpowiednie wpisy]

Dodatkowo włączyłem filtrowanie adresów w WiFi:
Wireless -> Wireless MAC Filtering -> Wireless MAC Filtering: Enabled
Wireless -> Wireless MAC Filtering -> Filtering Rules: Allow
Wireless -> Wireless MAC Filtering -> Add entry: [odpowiednie wpisy]

Obecnie ustawienia nie spełniają zakładanego celu. Mimo, że serwer DHCP nie działa (pula powinna być definiowana ręcznie, nie ma wolnych adresów do przydzielenia) to jak się pojawi nowe urządzenie to dostaje swój adres IP, chociaż nie wiem czemu (jak dość dawno temu bawiłem się w konfigurację dhcpd na Linux'ie, to jak ustawiłem range na 5 adresów i wszystkie 5 były przypisane - fixed-address - to nowe urządzenie nie dostawało żadnego adresu).

Jak więc zrealizować zakładany cel? Zastosować ARP Binding (IP & MAC Binding -> Binding Settings)?

Pozdrawiam...

[wojteks]

Po WiFi wprowadź szyfrowanie WPA2-PSK. Serwer DHCP zostaw włączony, ogranicz zakres DHCP do jakiejś potrzebnej ilości IP i zdefiniuj pary MAC-IP które będzie serwer DHCP przydzielał.

Wireless MAC filtering daj na Enable, zaznacz Deny i wpisz MAC adresy dopuszczonych klientów WiFi.

Jeszcze a Acces Control można coś zdefiniować (Adresy MAC dopuszczone do wyjścia na świat bez podziału na WiFi i kabel).

[Kot-ek]

Szyfrowanie mam włączone, ale to nie ta część zabezpieczania sieci mnie interesuje.

Podobnie z Wireless MAC filtering - mam ustawione wszystko, tak jak już napisałem w pierwszym poście, a Ty powtórzyłeś w drugim akapicie swojej odpowiedzi. Na potrzeby tego wątku pomińmy fakt, że ten router ma również WiFi...

Czyli podpowiadasz mi, żeby jednak włączyć DHCP, ograniczyć (np. do 5) zakres przydzielanych adresów i zarezerwować wszystkie adresy z puli. Trochę to burzy mój zamysł, bo nie można zdefiniować kilku okien w puli 255, a ja przyporządkowałem sobie logiczny podział grup urządzeń (np. *.*.*.1x lodówki, *.*.*.15x mikrofalówki, gdzie x to kolejne urządzenie z danej grupy).

A ARP Binding nie załatwi sprawy (na poziomie protokołu)? Zdefiniowałbym sobie tablicę ARP i po sprawie... czy nie?

[key]

Czyli podpowiadasz mi, żeby jednak włączyć DHCP, ograniczyć

Anyway: adressy przydzielane po MAC nie musza byc w puli.

BTW: "Zabezpieczenie" przez ograniczenie puli DHCP nic nie daje - kazdy przedszkolak potrafi uzyc snifera zeby zobaczyc jakie sa adressy w sieci i ustawic komputer na sztywno.

[Kot-ek]

... ale nie mogą działać poprawnie dwa urządzenia w sieci o tych samych adresach - więc jednak coś daje?

Mając sześciu kierowców, pięć aut i po 5 zapasowych kompletów kluczyków do każdego z aut to jak pięciu pierwszych kierowców wsiądzie i odjedzie, to ten szósty mając kluczyki, znając tablice rejestracyjne i typ auta nic nie zdziała...

[wojteks]

ale nie mogą działać poprawnie dwa urządzenia w sieci o tych samych adresach - więc jednak coś daje?

Jeżeli to jest po WiFi to będą działać, kiepsko ale będą.

[ Dodano: 2011-06-25, 12:19 ]

"Zabezpieczenie" przez ograniczenie puli DHCP nic nie daje - kazdy przedszkolak potrafi uzyc snifera

To prawda, jednak przedszkolak musi mieć wiedzę i odpowiedni sprzęt/narzędzia.


Tak po prawdzie nie ma zabezpieczenia doskonałego.

[key]

Mając sześciu kierowców, pięć aut i po 5 zapasowych kompletów kluczyków do każdego z aut to jak pięciu pierwszych kierowców wsiądzie i odjedzie, to ten szósty mając kluczyki, znając tablice rejestracyjne i typ auta nic nie zdziała...

Kiepskie porownanie.

Bardziej sensowne jest:

Masz parking. Czesc miejsc parkingowych ma oznaczenia z tablicami rejestracyjnymi (przypisanie po MAC), czesc ma numerki i wozny przydziela miejsca (range DHCP), czesc jest nieopisana. Podjezdzasz i chcesz zaparkowac, nie myslac o konsekwencjach - kto ci zabroni postawic auto na dowolnym miejscu.

[Kot-ek]

key idąc dalej Twoim porównaniem:

- miejsca z tablicami rejestracyjnymi (przypisanie po MAC, niezależnie czy serwer DHCP działa, czy nie),
- miejsca na numerki (z wyznaczonego zakresu DHCP)
- miejsca nieopisane (niezależnie czy serwer DHCP działa, czy nie) ...

... i ustawiając ręcznie parametry połączenia można się wbić w te miejsca nieopisane? Można to jakoś uniemożliwić? Jaką rolę spełnia ARP Binding?

[key]

- miejsca z tablicami rejestracyjnymi (przypisanie po MAC, niezależnie czy serwer DHCP działa, czy nie)

Serwer DHCP musi dzialac. Algorytm najpierw sprawdza czy MAC jest przypisany do jakiegos IP, jesli nie dostaje IP z DHCP range.

i ustawiając ręcznie parametry połączenia można się wbić w te miejsca nieopisane?

Mozna wbic sie na kazde miejsce, ale jesli jest zajete masz kolizje.

Można to jakoś uniemożliwić?

Utrudnic, n.p. przez filtracje nieznanych MAC.

[Kot-ek]

W tym router'ze przypisanie stałego adresu IP nie jest zależne od włączenia DHCP, więc serwer ten nie musi działać. W obecnej chwili znane mi maszyny mają jedno i zawsze to samo IP (przypisane po MAC)... więc jest to przykładowe miejsce z tablicami rejestracyjnymi.

I sedno sprawy - filtracja nieznanych MAC. Próbowałem poprzez DHCP - nieskuteczne. Nie próbowałem poprzez ARP Binding (na poziomie protokołu)? Spróbować? Wywoływałem ten wątek wiele razy i każda odpowiedź go pomija Nie próbowałem również poprzez Internet Access Control (na poziomie oprogramowania) - nie jest mi potrzebna aż tak szczegółowa kontrola, ale może powinienem spróbować?

Potrzebuję prostego sprawdzenia: jest MAC na liście - daj urządzeniu IP, nie ma - nie dawaj...

[key]

W tym router'ze przypisanie stałego adresu IP nie jest zależne od włączenia DHCP, więc serwer ten nie musi działać.

Mylisz sie. Serwer DHCP jest odpowiedzialny za podanie klientowi konfiguracji - wylaczenie serwera powoduje ze nikt nie dostanie IP. Byc moze w twoim przypadku demon bedzie lecial w tle, a wylaczenie go eliminuje tylko przyznawanie IP nieznanym klientom, klienci z znanym MAC dostana w dalszym ciagu IP - watpie, ale mozesz sprawdzic. Tym samym mialbys odpowiedz na pytanie:

Potrzebuję prostego sprawdzenia: jest MAC na liście - daj urządzeniu IP, nie ma - nie dawaj...

Mozesz sprobowac jeszcze innej sztuczki, o ile soft routera na to pozwoli: przypisz wszystkim znanym klientom IP i ustaw DHCP na cos poza twoja siecia (n.p. 192.168.200.x) - wtedy po podlaczeniu obcy klienci beda ladowali na pustyni.

I sedno sprawy - filtracja nieznanych MAC.

Access Control - tu mozesz przylokowac nieznane MAC.

kaz.da odpowiedz' go pomija

ARP binding ma znaczenie przy translacji ramek IP <-> Ethernet. W tym wypadku jest bez znaczenia.

[Kot-ek]

Źle to ująłem... nie mając włączonego DHCP możemy mieć stały IP, bo go sobie sami ustawiamy w ustawieniach protokołu (no chyba, że ktoś nas uprzedzi i jest konflikt)... nie mając serwera DHCP można mieć stworzoną sieć, więc powiedzenie, ze nikt nie dostanie IP jest zbyt ogólnikowe...

Co do ustawienia różnych podsieci - chyba się to nie uda... oprogramowanie na to nie pozwoli, by rezerwowane IP były z innego zakresu niż wolne do przydzielenia (ale to jeszcze przetestuję - obecnie nie mogę bawić się w resetowanie routera ).

Access Control również przełożę na później...

Dzięki za sugestie... postaram odezwać się jutro

[Rilicek]

Jeżeli przedszkolak potrafi odczytać adresy MAC w sieci, to pewnie nie będzie dla niego problem odczytanie adresu IP i adresu bramy. Wtedy ręcznie wrzuci sobie dowolny, wolny adres IP. Jeżeli przedszkolak jest na tyle sprytny by sklonować adres MAC, pewnie wpadnie na pomysł, że może wpisać sobie dowolny adres ręcznie.
Serwer DHCP jest dla wygody i pewności działania sieci a nie jej zabezpieczenia.

Jeżeli odczytanie adresu MAC jest proste, to pewnie odczytanie innych parametrów (adres bramy itp.) też jest pewnie równie łatwe. Czy się mylę?

@Kot-ek
Masz rację, większość oryginalnych softów sprawdza poprawność puli adresów IP przydzielanych przez DHCP.

[key]

ze nikt nie dostanie IP jest zbyt ogólnikowe.

Nie jest ogolnikowe. Bez serwera DHCP nikt nie dostanie IP, bo niby kto ma je przydzielic? W tym wypadku musisz IP konfigurowac recznie na kazdym kliencie.

oprogramowanie na to nie pozwoli, by rezerwowane IP były z innego zakresu niż wolne do przydzielenia

Wiekszosc routerow nie ma z tym najmniejszego problemu. Szczerze mowiac nie spotkalem sie jeszcze z takim, w ktorym by sie nie dalo tak zrobic. W pliku konfiguracyjnym demona sa osobne wpisy na pule adresow i na IP przyporzadkowane do MAC.

Mozesz miec natomiast problemy z przydzielaniem IP z poza ustawionej podsieci - niektore GUI na to nie pozwalaja.

Czy się mylę?

Nie, nie mylisz sie.

większość oryginalnych softów sprawdza poprawność puli adresów IP przydzielanych przez DHCP

OT: niczego takiego nie napisal.

[Kot-ek]

key innego zakresu... czyli LAN mamy np. 192.168.0.x, rezerwację na 192.168.0.1- 192.168.0.10, a serwer DHCP chcemy, żeby rozdawał 192.168.9.x... tak Cię zrozumiałem, Twój post z godziny 16:12... i sądziłem, że chodzi Ci właśnie o przydzielanie IP przez DHCP spoza ustawionej podsieci... a tego nie da się zrobić (DHCP nie da się zmienić na inną podsieć niż zdefiniowana w LAN) - zabrania tego soft:

"Error code: 26106
The IP address is not in the same subnet with LAN IP address."


Przeczytałem jeszcze raz cały wątek i ...

1) Napisałem w pierwszym poście, że wyłączyłem DHCP i skonfigurowałem rezerwację adresów - jest to oczywiście niemądre lekko mówiąc - skoro DHCP nie działa, więc rezerwacja adresów przez ten serwer również.

2) Filtering rules musi być na allow w przypadku tego routera i zdefiniowanej listy urządzeń, które mają mieć dostęp. Nie należy zmylić się wypowiedzią wojteks w drugim poście, bo zgodnie z opisem z systemu router'a: "Allow the stations specified by any enabled entries in the list to access".

3) Włączenie DHCP na przydzielanie adresów z przedziału 192.168.13.1 - 192.168.13.1 (o dziwno, nie przeszkadza router'owi, że chcę rządzić się jego adresem ) i zdefiniowanie Address Reservation dla urządzeń nie zabezpiecza mnie w żaden sposób - jak ktoś ręcznie wprowadzi IP to i tak go dostanie.


Więc w chwili obecnej pozostałem przy konfiguracji: DHCP wyłączony - nie ma wygody, nikt nie dostanie ustawień automatycznie, trzeba się pofatygować...

... aby zapewnić sobie blokadę nieznanych adresów MAC korzystam z Wireless MAC Filtering - w ten sposób jedynie klonowanie znanych MAC może pomóc, jeżeli nie będzie konfliktu.
Brakuje mi jeszcze tylko filtrowania MAC w LAN'ie... ale z drugiej strony - skoro sam zarządzam routerem, to chyba zauważę, że ktoś mi kabel dopiął...

... natomiast aby zapewnić sobie, że dany MAC będzie miał zawsze ten sam adres IP posłużyłem się ARP Binding. Niestety trzeba się tutaj troszkę bardziej pofatygować, bo działa to na zasadzie, że jak host chce się wbić konfigurując ręcznie pod dane IP, które już mam zbindowane, to mu się to nie uda... należy więc zbindować całą pulę adresów (x.x.x.2 - x.x.x.254) i po kłopocie


Sądzę, że założony w pierwszym poście cel został spełniony. Chętnie poczytam uwagi co do zastosowanych rozwiązań i dziękuję za Wasze wypowiedzi.

PS: W tym modelu router'a istnieje również możliwość doprecyzowania zabezpieczenia poprzez Access Control, a nawet Parental Control... więc można i tą drogą

[key]

... natomiast aby zapewnić sobie, że dany MAC będzie miał zawsze ten sam adres IP posłużyłem się ARP Binding.

To nie do tego sluzy. ARP binding modyfikuje jedynie tabele przynaleznosci IP - MAC w switchu. Ale w sumie moze osiagniesz zamierzony efekt i przy okazji bedzie na tyle niestandartowy, ze malo kto sie zorientuje o co chodzi.

[ Komentarz dodany przez: Sundance_kid: 2011-06-26, 20:47 ]
Poprawa drobnej literówki.

[Kot-ek]

... gdyby ktoś miał również potrzebę zastosowania funkcji ARP Binding w tym router'ze (TP-LINK TL-WR1043ND) do celów ochrony przed zmianą (ręczną, bo gdy adres przydzielany jest automatycznie to w tym celu wystarczy odpowiednio skonfigurować serwer DHCP) adresu IP to przygotowałem skrypt dla leniwych (załączony do tego posta).

Skrypt został napisany pod Selenium IDE, który to dodatek został napisany dla przeglądarki Firefox. Skrypt wiąże niewykorzystane adresy (niezbindowane do tej pory - więc przed jego wykonaniem należy związać te używane przez siebie) z danym numerem MAC (najlepiej, żeby był to MAC urządzenia działającego przez najdłuższy czas w ciągu dnia - zapobiegnie to przywłaszczeniu IP po wcześniejszej podmianie MAC*). Przed jego uruchomieniem należy edytować go w Selenium IDE lub notatniku i zamienić adres http://XXX.XXX.XXX.1/ na właściwy sobie (podać adres routera, np. http://192.168.1.1/) oraz podmienić numer MAC z XX-XX-XX-XX-XX-XX na taki, jaki chcemy wykorzystać (razem 3 zmiany: 2 w adresie i 1 w MAC).

PS: Skrypt działa poprawnie na firmware w wersji: 3.13.4 Build 110429 Rel.36959n.

* jeżeli mamy urządzenie, które działa 24/h i przypiszemy mu dany adres IP to spodziewam się, że z powodu konfliktu w sieci żadne inne urządzenie nie dobierze się do tego adresu. Zasada ta może nie działać w przypadku sieci WiFi - tak przynajmniej sugerował wojteks w swojej wypowiedzi.

[kowalmisiek]

Witam. Posiadam rowniez ten router tl-wr1043nd. Tez bym chcial zabezpieczyc siec lan. A dokladniej o co mi chodzi. Mam podpietych kilka komputerow po kablu i kilka po wifi. Znajomy u ktorego jest dzy dom i mala siec bedzie podpiety. Chce zeby tylko 2 komputery z 8 byly wpiete do internetu a pozostale 6 tylko do sieci lokalnej. Wifi mam zabezpieczone wpa2psk. Jak to jeszcze lepiej zabezpieczyc? Przypisywanie ip do mac nie wiele daje mowicie. Serwer DHCP tez najlepiej wylaczyc. Najchetniej bym tak zrobil tak ze tylko zdefiniowane mac'i dostaja ip i maja internet a niezdefiniowane dostep tylko do sieci lokalnej. Da sie tak? Jak to najlepiej zrobic i jak najlepiej zabezpieczyc siec?

[krystianb]

IMO
-statyczne dhcp
-kilka wpisów w firewallu

Statyczne dhcp potrzebne, bo w firewallu można chyba tylko adresów ip używać. Przynajmniej w routerach których ja używałem, firewall załatwiał sprawę dostępu do netu.

[kowalmisiek]

Co masz na mysli piszac statyczne DHCP? Jak sama nazwa wskazuje DHCP jest dynamiuczne. Masz na mysli wylaczenie DHCP? Jak wylacze DHCP to czy jak ktos z tamtych 6 osob wpisze recznie odpowiedni numer to wejdzie jak bedzie blokowany firewallem?

[wojteks]

Co masz na mysli piszac statyczne DHCP?

Statyczne DHCP to takie, gdzie serwer DHCP przyznaje zawsze to samo IP ustalone przez administratora serwera (po MAC karty sieciowej) czyli użytkownik ma jakby statyczny IP (w zasadzie dynamiczny ale zawsze ten sam).

Firewalla ustawiasz tak aby tylko IP z zakresu statycznego DHCP miały dostęp do internetu.

[kowalmisiek]

Mam jeszcze pytanie co do tego statycznego DHCP. Czy w nim mam dopisywac linijke dla routerow rowniez? Chodzi mi przykladowo o taki schemat: Router AP wifi -> Router Client wifi -> komputer. W takim przypadku mam uprawnienia nadac na oba routery czy wystarczy na sam komputer?

[wojteks]

Chodzi mi przykladowo o taki schemat: Router AP wifi -> Router Client wifi -> komputer.

To zależy czy AP Client ma DHCP Relay, komputery za AP Clientem mają MAC AP Clienta. Jeżeli to AP Client Router to na nim musisz przypisać pulę IP, będzie trudniej tym zarządzać.

[kowalmisiek]

DHCP Relay to jest cos w stylu portu wan ktory dostaje neta i rozdziela tak zeby serwer nie widzial co jest za nim? Tak sie domyslam. A to jest opcja ktora mozna wylaczyc?

[wojteks]

DHCP Relay to jest cos w stylu

Nie, to jest funkcja AP Clienta który przepuszcza zapytanie DHCP z prawidłowym MAC komputera do głównego routera.

[kowalmisiek]

Witam ponownie. Bawie sie wlasnie w ustawienie dostepu do sieci tak jak wczesniej pisalem. Niestety nie wiem ktora opcja w firewallu jest za to odpowiedzialna o ile taka tam jest? Tu jest symulator http://www.tp-link.com.pl/resources/sim ... /index.htm Chodzi mi o to zeby tylko komputery ktore mam w dhcp i ich mac'i mialy dostep do neta a kazdy inny komputer czy to polaczy sie przez dhcp czy po wpisaniu na sztywno ip nie mial dostepu. Jak to zrobic? Probowalem cos z IP & MAC Binding tam dopisalem do linijki mac + ip ale po zmianie sieciowki na inna (mam 2 w kompie) normalnie przydzielil mi ip tylko inny numer niz jest przydzielony do sieciowek w liscie i internet dzialal. Pomocy

[key]

Access Control Rule Management -> Deny the packets not specified by any access control policy to pass through the Router

DHCP -> Address Reservation -> uzupelniasz liste kompow.

DHCP Settings -> DHCP Server: Disable z nadzieja ze mimo wszystko bedzie dawac adressy zarezerwowane. Jesli nie, ustaw start i stop na ten sam IP.


Tylko ze musisz byc jednego swiadom: Komp wpiety kablem i z poprawnie skonfigurowana sieciowka (z palca) ma pelny dostep do sieci. Zablokowany jest tylko NET.

[kowalmisiek]

Access Control Rule Management -> Deny the packets not specified by any access control policy to pass through the Router

DHCP -> Address Reservation -> uzupelniasz liste kompow.

DHCP Settings -> DHCP Server: Disable z nadzieja ze mimo wszystko bedzie dawac adressy zarezerwowane. Jesli nie, ustaw start i stop na ten sam IP.


Tylko ze musisz byc jednego swiadom: Komp wpiety kablem i z poprawnie skonfigurowana sieciowka (z palca) ma pelny dostep do sieci. Zablokowany jest tylko NET.

Zrobilem tak jak napisales ale bez skutku.
Zaznaczylem Enable Internet Access Contro
i potem dalem
Deny the packets not specified by any access control policy to pass through the Router
Liste mialem juz zrobiona w dhcp Address Reservation
Czy wylacze DHCP czy wlacze i ustawie zeby przydzielal tylko jeden adres ip to i tak internet dziala. Wystarczy wpisac recznie odpowiednie ip i dziala i siec i net. Masz jeszcze jakis pomysl?

[key]

A komputer masz nie wpisany do listy? Wystartowales router na nowo?

[kowalmisiek]

pisalem wczesniej ze mam 2 sieciowki w kompie. Jedna jest przypisana do listy a druga nie. Testowalem na obu i lipa. Restartowalem bo nawet sam router wola za kazdym razem jak siegrzebie ze chce reset.