Не маючи насправді 2701 переді мною (і мені важко знайти емулятор), я не можу сказати багато про те, що можливо не так у конфігурації. Я б припускав, що у вас, мабуть, щось неправильно позначено щодо налаштувань фільтра MAC. Зазвичай маршрутизатори SOHO фільтрують MAC в режимі білого списку або в режимі чорного списку - поєднувати це дійсно немає сенсу. Переконайтеся, що ви встановили правильний режим для того, як ви хочете, щоб ваш маршрутизатор поводився. Якщо включити опцію білого списку, але лише заповнити чорний список (або навпаки), це не матиме ефекту. (Ну, насправді це повинно перешкоджати підключенню всіх пристроїв, тоді як навпаки все дозволило б. Справа в тому, що ніякої переваги для безпеки немає.)
Чорний список: Дозволити всі пристрої, крім вказаних у списку "заборонено". (Простіше в управлінні, але складніше блокувати зловмисників.)
Білий список: дозволяти лише пристрої, вказані у списку "Дозволені". (Переважно між цими двома, оскільки він за замовчуванням блокує несанкціоновані пристрої, але складніше керувати, особливо якщо ви часто дозволяєте відвідувачам відвідувати вашу мережу.)
В будь-якому випадку вам не слід покладатися на фільтрацію MAC як основний захист!
Або режим фільтрації MAC досить тривіально обходити, оскільки MAC-адреси не є постійним ідентифікатором, і вони завжди передаються в просторі по повітрю. Таким чином, кожен може змінити свою MAC-адресу на все, що завгодно, а також побачити MAC-адреси будь-якого пристрою в діапазоні.
Потім зловмисник легко обійде чорний список, просто змінивши свою адресу на все, що ви ще не зробили в чорному списку.
Білий список лише трохи складніше, але все ще досить простий. Зловмисник просто чекає, щоб побачити MAC-адреси будь-яких пристроїв, які активно спілкуються з вашою точкою доступу, а потім змінює їх MAC на відповідність.
Чи запобігає фільтрація MAC попереджати деякі атаки? Звичайно. Але якщо ви стикаєтеся з відданим нападником (і, здається, ви є), це насправді не зупинить їх сильно.
Хоча ви й не згадували про це, "приховування SSID" або "відключення маяків" або "відключення трансляції SSID" є ще одним слабким заходом безпеки, який не тільки не варто - цього слід уникати. Все, що він робить, це зупинити ваш AP від реклами, коли він не працює. Однак SSID все ще надсилається у поле очищення кожного разу, коли він активно спілкується, тому зловмисники все одно зможуть захопити та використовувати його незалежно. Найгірше те, що ваш AP не транслює свою присутність, тоді клієнтські пристрої повинні бути налаштовані на пошук AP, навіть якщо вони можуть бути неподалік від нього. Тоді зловмисники можуть використовувати маяки, які створюють ваші клієнтські пристрої, щоб налаштувати власну підроблену точку доступу та ввести ваших клієнтів у підключення.
Що сліднатомість покладатися на сильний протокол шифрування та автентифікації, такий як поточний WPA2-PSK (який використовує AES-CCMP). Крім цього, ви повинні переконатися, що ваш загальнодоступний ключ (PSK або просто ваш мережевий пароль Wi-Fi) є досить довгим і складним, щоб його не було легко довідатися або скласти. Поки у вас досить сильний PSK (я пропоную мінімум 15 символів з 3 різними типами символів - але WPA2 підтримує до 63 символів, і я особисто використовую їх повністю рандомізовано) ваше Wi-Fi шифрування / автентифікація не може бути легко зламаним в осяжному майбутньому. О, і навіть не турбуйтеся з WEP (жахливо зламаним) або WPA-TKIP (теж зламаним, але все ж краще, ніж WEP). Якщо ви дійсно не можете використовувати WPA2 з будь-якої причини, WPA-AES є гідною резервною копією, поки ви не зможете придбати новий маршрутизатор.
Однак є один важливий застереження: WPS. Захищена настройка Wi-Fi - це прекрасний, зручний, режим з'єднання однією кнопкою, який доступний у більшості точок доступу сьогодні. Проблема WPS полягає в тому, що в режимі автентифікації PIN існує слабкість, яка - на багатьох, якщо не більшості маршрутизаторах SOHO, які зараз використовуються - дозволяє зловмисникам легко зламати PIN-код і потім аутентифікуватись через WPS. Після того, як WPS надав комусь доступ, він надає їм ваш PSK, щоб їх пристрій міг нормально підключатися до мережі. Зміна вашого PSK цього не пом'якшить!Зловмисник може просто зламати WPS знову (це не займе багато часу) та отримати новий PSK. Єдиний спосіб пом'якшити це, що повністю знаходиться під вашим контролем - це повністю відключити WPS. (Деякі нові маршрутизатори додали функціональність для заборони таких атак, але це не те, що кінцеві користувачі можуть легко перевірити з певністю, якщо вони не готові перевірити експлуатацію.) На жаль, багато виробників маршрутизаторів - особливо на старих моделях - зробили це це важко чи неможливо зробити. Якщо це стосується вашого маршрутизатора, я настійно рекомендую придбати новий або подумайте прошивання мікропрограмного забезпечення із сторонніми зображеннями, такими як Tomato, DD-WRT або OpenWRT.
Підсумовуючи:
- Перестаньте покладатися на фільтрацію MAC. Це приємне доповнення до безпеки, але його дуже просто обійти.
- Навіть не намагайтеся ховати свій SSID. Все ще може бачити це, а ваші клієнти залишаються менш захищеними, коли вони не транслюються.
- Використовуйте WPA2-PSK з сильним PSK. Це має бути вашим основним захистом від пропускної здатності Wi-Fi та злодіїв даних.
- Вимкнути WPS. Незалежно від того, наскільки велика ваша автентифікація та шифрування, це задні двері, що легко експлуатуються.
- Отримайте новий пристрій або мікропрограмне забезпечення, якщо він потрібен. Якщо ваш поточний маршрутизатор не підтримує WPA2-PSK та / або не дозволяє вам відключити WPS, настає час оновлення. Якщо вказаний маршрутизатор надає ваш Інтернет-провайдер, ви завжди можете придбати свій власний і викинути його в мережу за маршрутизатором провайдера. Потім переконайтесь, що Wi-Fi вашого маршрутизатора надійно налаштовано, як зазначено вище, і відключіть Wi-Fi на маршрутизаторі провайдера.