WIFI + DHCP

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
697

День добрый,

Давно не писал в данной ветке, видимо вопросов не было, сейчас появился один, интересно мнение специалистов.

Есть сетка в ней есть несколько точек доступа WiFi все подключены в коммутатор, DHCP раздает linux router.

Есть два варианта ограничения клиентов в сети:

1. Можно на каждой точке принудительно указать список допустимых MAC.

2. Можно на роутере в настройках DHCP ограничить так же по MAC списку, но при этом на точках доступа оставить только пароль ну или вообще сделать их открытыми.

Собственно какой вариант выбрать рациональнее? Я пока вижу что работать на стороне dhcp удобно, по той причине что менять надо 1 конфиг, а не лезть на каждую точку и прописывать там MAC, однако с другой стороны пока точно не понимаю чем может быть чревата ситуация если к примеру узнали пароль от WiFi... (ну допустим).... IP адрес DHCP клиенту не выдаст... но зная пароль не сможет ли злоумышленник чего-то "этакого" без получения IP?

Мне видится что если МАК фильтрация стоит на самой точке, то она не будет работать никак с клиентом, а вот если клиент по паролю прошел... может он без получения IP может "чудить" ?

Паранойка конечно, но хотелось бы узнать мнения.

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
MU
На сайте с 01.10.2013
Offline
43
#1
Romka_Kharkov:

может он без получения IP может "чудить" ?

Как минимум сможет присвоить себе статично любой адрес и статично же указать гейтвей.

Если не хочется менять что-то на каждой точке, то можно просто поднять на роутере фаерволл и фильтровать там по макам.

Хостинг на SSD от 49 руб./мес. (http://mne.ru/services/virt_hosting.shtml) + бесплатный SSL VPS/VDS на SSD в России от 75 руб./мес. (http://mne.ru/services/vps.shtml) Скидка 10% на хостинг и VPS по промокоду — SEARCHENGINES
AP
На сайте с 12.06.2015
Offline
75
#2

Зная пароль от вайфай и хотя бы диапазон адресов сети, можно присвоить себе "статику" и dhcp не нужен. А далее все зависит от того, что в сети открыто.

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#3

Ну да, логично, как-то не подумал, стало быть для безопасности лучше таки фильтровать маки на самих точках...

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий