Версия для печати темы

Автор: Engender 17.10.2011, 19:25

Друзья, вопрос в следующем. Стоит дома Wi-Fi роутер, собственно в последнее время заметно снизилась скорость работы - есть подозрения на соседей. Может есть программа какая нибудь, чтобы отследить подключения либо какой иной способ???
Протокол сейчас WPA, как перейти на WPA2???

Автор: Titus 17.10.2011, 19:27

Егорыч, ты бы хоть модель озвучил
Вообще, в большинстве более менее приличных точек во внутренней админке видно число и мак-адреса подключенных клиентов.
Чтобы перейти на WPA2 - опять же - зайти в админку точки и поменять там тип шифрования подключения

Автор: charly-sf 17.10.2011, 20:02

Егор, у роутеров Zyxel есть возможность видеть кол-во подключенных устройств. Есть возможность прописать мас-адреса устройств, имеющих право подключения. Даже без пароля, другие не смогут подключиться, хотя будут видеть открытую сеть.

Автор: Engender 17.10.2011, 20:32

Роутер ASUS WL520bg

Автор: Mihail V 17.10.2011, 20:36

Я например помимо своего вижу еще пять соседских, причем у некоторых дурачков даже без защиты они работают!

ЗЫ Если подозреваешь, что кто то "подсел", смени пароль на админку и на доступ!

Автор: Onotole 17.10.2011, 20:51

Сосед???
)))) сам тырю соседский. Хоть есть и свой но для неготнадо включать комп ) в принципе удмаю серфинг не сильно загрузит

Автор: AvtoLosk 17.10.2011, 22:26

Уважаемый, если у Вас стоит пароль на точке доступа, то шанс того что, кто-то будет подбирать пароль для пользования интернетом, ооооочень мал Вот если бы это было лет этак 5-10 назад, когда все на модемах сидели, это другое дело
Могу дать совет, что периодически роутер требуется перезагружать т.к. он начинает подвисать, часто замечал у себя на работе и дома, после перезагрузки все становилось хорошо. Так же возможен вариант, если перезагрузка не помогла, что нужна перепрошивка, на крайний случай ремонт.
Перезагрузить можно двумя вариантами:
1. зайдя в панель управления роутером (адрес написан на днище роутера, на наклейке, обычно это 192.168.1.1 или 192.168.0.1 логин admin пароль admin или вообще без пароля, но с логином), там же можно посмотреть кто подключался к Вашей точке доступа. Там же можно и перепрошить роутер.
2. выдернув адаптер из розетки подождать 30-60 секунд и воткнуть обратно, произойдет перезагрузка роутера (не советую сразу после выдергивания втыкать обратно в розетку т.к. это может привести к сбросу настроек роутера).

Автор: Engender 18.10.2011, 7:28

Спасибо за советы. Пароль доступа к админке я поменял сразу, как установил роутер. Посмотрел логи, подключения - вроде только мои. Хотя ощущение соседей все равно присутствует. Будем мониторить

Автор: charly-sf 18.10.2011, 10:46

Егорыч, в шкафу не смотрел?

Автор: witch 18.10.2011, 10:48

Поставь http://www.securitylab.ru/software/233883.php софтинку на ноут и посмотри на каких частотах(каналах) работают соседние ТД и какова их мощность. Исходя из этих данных отконфигурируюй свою ТД на свободные каналы, их 13 - непересекающихся из них только 3(как на логотипе ауди первое и 4-е кольца между собой не соеденяються) после частоты перенеси свою ТД подальше от соседских, там где "удобно" очень часто совсем хреновые условия
PS не всегда нужна мощность wi-fi модуля выставлять на 100%/

Автор: Titus 18.10.2011, 16:16

А вот за софтину сенк
Егорыч, разобрался, или хелп еще нужен?

Автор: Engender 18.10.2011, 19:37

Ооо, спасибо за софтик. Пойду разбираться. Если чего, спрошу совета

З.Ы. Димыч, в шкафу смотрел, пойду за шкафом погляжу

Автор: Vetalь 19.10.2011, 8:18

Егорыч, самое действенное это забить все мак-адреса домашних девайсов, в таблицу доступа и всё. Остальные будут видеть но идти лесом. А у тебя в плюсах, что при переустановке фрамуг ничего настраивать не надо будет, только сеть поймать.

Сам себе так настроил дома, и АДСЛ-роутер был, теперь вот тчка доступа, я чёйто запал на ДЛИНКи, забил адреса двух ноутов, принтера вафельного и мобилки, всё остальные курят бамбук.

Автор: Engender 19.10.2011, 8:34

Виталь, пасиб - разбираюсь как раз с этим. Просто вафля стоит уже 4 года у меня, за это время ни разу в точку доступа не лазил. Да и соседи недавно заехали - борзые хакеры.

Автор: witch 19.10.2011, 10:07

защита по МАС эфективна только от детей ДОшкольного возраста. точно не помню но с помощью этойже софтинки можно узнать МАСи всех девайсов с которыми работает ТД. да и WPA ломается за пару минут.

Автор: charly-sf 19.10.2011, 10:43

И что с этой ценной информацией делать? Можно присвоить чужой МАС своему компу?

Автор: Titus 19.10.2011, 16:07

Можно, witch абсолютно прав. Хотя, это не совсем тривиальная задача. Скажу так - WEP хватит, фильтрация по MAC - тоже полезная штука. Но, вообще, начать надо с того, что посмотреть - сколько клиентов висит на точке, и есть ли чужие. Может быть, там вообще все нормально, а тормозит тупо пров или точка

Автор: rem 19.10.2011, 18:29

5-10 минут под пивко чтобы сниффером собрать необходимое количество пакетов и еще минуты 2 на дешифрацию пароля ))

Автор: witch 19.10.2011, 18:56

можно, только за МАСos я не уверен - хотя тоже из *nix систем вышел.
Вась, даже меньше

Автор: Titus 19.10.2011, 19:07

Да с маками все вообще очень просто. Большинство современных wi-fi точек имеют опцию подмены своего собственного мак-адреса (сделано для того, что, допустим, вы подключились к провайдеру проводной или беспроводной сети, который осуществляет блокировку или авторизацию с учетом мак-адреса, то есть, при заключении договора с провайдером вы указали мак-адрес устройства, которое будет висеть на подключении (ноут, стационарный комп или радио-точка). Потом вы меняете оборудование (допустим, изначально подключили только комп, а потом купили точку) - маки будут разные, чтобы не перезаключать договор (или не вносить коррективы) - проще сказать точке, какой у нее должен быть мак-адрес и все. У меня в Севастополе подключение так реализовано - договор заключался на мак-адрес ноутбука, потом, когда я решил поставить туда еще и радио-точку - звонить было влом, просто в радио-точке есть опция в меню, где ей указывается, каким мак-адресом надо подписываться (в моем случае - мак адресом ноута) и все дела. Что с этим делать дальше, я думаю, всем понятно..

Автор: Vetalь 19.10.2011, 19:15

ПИПЕЦ, а у нас ПЕНТАГОН с МИ6 по моей точке доступа общаются, иногда ФСБ просится

Для домашней сети, когда этих точек доступа с десяток в подъезде, ИМХО, достаточно и фильтрации по МАК адресам

ПыСы - софтину, вышепредложенную скачал, чёйто не сетупится - еррор какой-то выдаёт

Автор: Titus 19.10.2011, 19:19

Идеальный вариант - фильтрация по МАКам и WPA2 криптование. Это так, для собственного успокоения
А вообще, с учетом того, что инет почти везде сейчас безлимитный и стоит относительно недорого - не будет жуткой проблемы, если кто и попользуется точкой

Автор: witch 19.10.2011, 20:48

Так. давайте кой чего проясню. для начала читаюем мою подпись - много вопросов отпадёт.
в каждом роутере есть ASIC с встроенным CPU и отдельный модуль для радио.
любой протокол использующий шифрование(не имеет значения, какой именно VPN, L2TP, PPPoE, WPA, PSK и пр.) (если провайдер даёт доступ по протоколу с шифрованием и вы заюзаете протокол шифрования для wi-fi то нагрузку умножаем на 2) - потребляет немалую часть CPU для декодирования, из=за этого у CPU остаётья мало ресурсов для быстрой работы остальных частей ASIC - чем устойчивей протокол к взлому и чем длинней\разрядней ключ тем меньше скорость обработки пакетов на выходе ASIC мы получим.
выводы делайте сами для себя, какой тип шифрования и длинну ключа использовать.
лично я для себя, домой, на рабочих мощностях(могу себе позволить) реализовал пул "public" адресов и DHCP сервер и протянул оптику от серверной до квартиры. никакой маршрутизации, NAT трансляций и прочего ресуроёмкого мой WL520G не испльзует, он вообще стоит в режиме бриджа с контролем МАС адресов с WAN порта в LAN порты и WLAN(wi-fi) - этим достиг максимальной скорости передачи данных. НО! уже достало: приходят гости и нужно добавлять MAC, но уже есть мыли по реализации хитрого подхода к этой проблеме, правда будет заюзан DD-WRT и хитрые скрипты
PS в нерезиновой из крупных проваёдеров только onlime не использует шифрование и даёт несколько реальных(public) адресов на порт(клиента). т.е. это тот самый вариант который я использую для себя.
PPS на тему ошибки - софтина требует единоичного доступа к драйверу wi-fi т.е. никакие софтины идущие в комплекте к компу юзать не надо(отключи их в автозагрузке или скажи винде использовать свои возможности)

Автор: Vetalь 19.10.2011, 21:36

Млин, я вижу ВЫ человек шибко грамотный в этой сфере, и выше прочитанный спич, ПО мне, дык похож на отблорную трёхэтажную матершину

Короче, предлагаю вам заняться ликбезом, открыть специальную рубрику и там всё по пролочкам раскладывать,для таких "чайников" как я.

Серъёзно половину, а то и больше, терминов я не знаю (считай не понимаю), а так просветился бы и что-то перенастроил в своём доме, потому как в своё время долго методом "научного тыка" настраивал адсл авфельный роутер, ну очень долго не знал что с ним делать, а тут оказывается не паханное поле

никакой софт не стоит, всегда захожу в девайс через броузер

Автор: charly-sf 19.10.2011, 21:42

А в компе есть опция в меню, чтобы он знал, каким адресом подписываться? Если есть, то будь добр, подскажи, где искать.

Короче, прошу конкретных практических рекомендаций по подключению к точке с установленным фильтром на МАС-адреса. Буду экспериментировать, обещаю, что только на своей точке

Автор: Porutchik-163 19.10.2011, 21:55

запускаем regedit с правами администратора, там находим следующий раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}. Здесь вы найдете настройки для всех ваших сетевых адаптеров. Это параметр 'NetworkAddress'' который отвечает за настройки МАС адреса.
или
диспетчер устройств - сетевушка - свойства - дополннительно - параметр 'NetworkAddress''

Автор: Titus 19.10.2011, 22:45

witch, я года так с 1995 с тем же вожусь
По сути - твое решение грамотное - точку надо избавить от вообще всех задач и оставить ее режимом прозрачного бриджа.
В моем случае - домой приходит оптика, дальше конвертер, далее махонький такой роутер Mikrotik с гигабитными портами (запас), далее витая по всей квартире и управляемые свитчи HP (все гигабит). Параллелью к этому две wi-fi точки Linksys WRT-54GL с DD-WRT каждая, в режиме просто бриджа - всем занимается роутер, раздачей по DHCP он же. Две точки - квартира железобетонная, лучше две Соответственно, точки вообще не напрягаются MAC-шифрофвание давно снял, за ненадобностью, да и из-за гостей, WEP2 достаточно. Опять же, всех местных "хакеров", кто способен - я знаю, они меня тоже, посему, никто не "посягает"

Поручик, угу

Автор: witch 20.10.2011, 9:53

Если есть вопросы - задавайте - отвечу.
на тему ошибки - посмотри http://www.stumbler.net/compat/ есть ли твой адаптер в списке. С некоторымы адаптерами может не работать... нужно просто найти другую софтинку...
к примеру:

Автор: Engender 20.10.2011, 19:19

Соседи таки коннектятся, сцуки...
Надо идти бить лицо

Автор: Onotole 20.10.2011, 19:48

сбей с них пиво за пользование

Автор: Onega 20.10.2011, 21:13

Егорыч, пошаговый отчет по вылавливанию соседей в студию!!!! и не плиз, а ...БЫСТРЕЕ!!!!

Автор: witch 21.10.2011, 9:31

ну как вариант в настройка DHCP укажи размер пула выдаваемых адресов = 1 тогда они если и подцепяться, когда ты подключён, то им адрес не выдасца и будет облом. но вот если они вперёд тебя подключаться

Автор: SSh 21.10.2011, 10:12

Тоже будет облом, но наоборот
Я сам в Ереване часто цепляюсь к открытым сетям, как-то попалась сеть какой-то аптеки, так у них еще и документация и принтер были расшарены. Напечатал на принтере сообщение чтоб прикрыли

Выловить, по-моему, невозможно, разве что предварительно известна кое-какая инфа...

МАС подменить да, раз плюнуть...

Автор: witch 21.10.2011, 11:29

Блин гениальное всегда простое - смени SSID сети и сделай SSID скрытым.
Всё.

Автор: Vetalь 21.10.2011, 15:50

я так понимаю это имя сети???
а как её, точку доступа мою со скрытым именем самому потом искать???

пысы - так и не нашёл как имя точки скрыть????????

Автор: Titus 21.10.2011, 15:53

А зачем ее искать, указать в подключении на какой SSID подключаться и все. Просто, точка его в сеть всем вещать не будет, а зная его - ты и подключишься на него.

Автор: Onega 21.10.2011, 15:56

прямо вижу картину: вечером после трудного дня нашпионившись вдоволь агент МИ-6 и агент Пентагона пришли к Витале домой распить бутылочку вискаря и заодно отчеты по инету домой скинуть. Задержавшийся на рыбалке контрразведчик из ФСБ с опозданием просится в эту теплую компанию тоже скинуть отчеты в Москву на Лубянку.

Автор: witch 21.10.2011, 16:42

to Vetalь
Скажи какая модель роутера - попробую скриншот найти.

Автор: Vetalь 21.10.2011, 18:06

Dlink DIR 300

Автор: temych 21.10.2011, 23:29

если SSID скрыто, то его при подключении каждый раз вводить надо ?

ЗЫ все, разобрался, один раз вводишь
походу у меня 2 захребетника инет тырили
походить аренду пособирать штоле ?

Vetalь, Установка беспроводной сети>Опции для настройки беспроводного соединения вручную>Включить Hidden Wireless (Также называется SSID Broadcast) поставь галочку
это настройки на Dlink DIR 320

Автор: SSh 21.10.2011, 23:39

Я, честно говоря, уже давно не занимался этим делом, многое подзабыл, но разве сокрытие SSID скрывает и саму точку доступа?

Автор: temych 21.10.2011, 23:48

Автор: SSh 22.10.2011, 0:05

Эта защита обходится без проблем... Не помню как NetStumbler, но Kismet-у скрытый SSID не помеха

Автор: temych 22.10.2011, 0:15

тогда вопрос, если пропишу в роутере IP-адреса и MAC-адреса своих девайсов, то соседи подключиться смогут ?
поменяв у себя MAC и IP-адреса на нужные или они не меняются (либо сканированием не узнаются) ?

интересно, подключил дочкин айпод к роутеру, после выключил на нем вайфай, но он все равно уже минут 15 висит в списке подключенных клиентов, ноут и андроиды из списка сразу пропадали при отключении вайфая

Автор: SSh 22.10.2011, 0:52

Если соседи более-менее продвинутые, то запустив какой-нибуть сниффер узнают все что надо...
Если нет - то можно ограничиться пропиской МАС адресов, сконфигурировав, например, как point-multipoint bridge.

Автор: SSh 22.10.2011, 0:53

Если соседи более-менее продвинутые, то запустив какой-нибуть сниффер узнают все что надо...
Если нет - то можно ограничиться пропиской МАС адресов, сконфигурировав, например, как point-multipoint bridge.

Автор: Vetalь 22.10.2011, 8:00

спасибо узрел

Автор: Vetalь 22.10.2011, 21:05

вот собственно один косяк вылез такого метода.

Значит при двух ноутах в сети, сидящих на оной точке, со своего ноута захожу и в настройках скрываю имя точки. Мой ноут живёт в комнате, в которой кроме моей точки он ничего не ловит. Пробую перезагружаться, мой ноут всегда коннектится с точкой без проблем. Ноут жены, живёт в другой комнате, и ловит ещё одну сетку, при условии что своя скрыта - в итоге при перезагрузке он не может сконектиться с родной точкой, в которой прописан его мак адрес, и предлагает сконектиться именно с ТОЙ, видимой.

В итоге, железобетонно, когда имя точки не скрыто оба ноута даже после перезагруза цепляются к ней без проблем. Как только точку скрываем, один ноут никак не цепляется. Смотрел настройки, в обоих стоит ХР, настройки одни и те же, удалил все сети, оставил СВОЮ и подрубаться автоматом....................... ноуты НР-шные, практически одинаковые......................

какие будут мнения на этот счёт?????

Автор: temych 23.10.2011, 0:03

у мну вин 7 правда, но в настройках беспроводного сетевого подключения ставил галочку "Подключаться, даже если сеть не ведет вещание своего имени (SSID)"

Автор: Vetalь 23.10.2011, 20:58

настройка такая есть и в ХР, а что это меняет?
................ попробую завтра

Автор: witch 23.10.2011, 21:21

Тут есть момент, в свойствах беспроводного сетевого подключения, на вкладке беспроводные сети, в списке предпочитаемых сетей нужно удалить все сети кроме своей.

Автор: Vetalь 23.10.2011, 21:23

так и делал, вот ведь штука какая

Автор: witch 23.10.2011, 22:32

1)обновить прошивку ТД(возможно откатиться на более старую верисию или ветку софта)
2)сменить канал на своей точке(с учётом рекомендаций выше) Главное чтоб ноут выдел её как самую лучшую по уровню сигнала.
3)поменять МАС адрес проблемного ноута допустим на aabbccddeeff или 001122334455 лишь-бы не как у нота(ов) и точки доступа.
4) третий wi-fi прибор(ноут, нетбук, смарт) попробуй на время взять для теста.
PS длик не айс по железу(по крайней мере в SOHO)
DD-WRT стоит попробовать посттавить

Автор: Ghost 23.10.2011, 22:34

Для тех, у кого Win7 советую inSSIDer -> http://www.metageek.net/products/inssider/

Автор: Bari 7.8.2012, 22:20

Итак, я, если можно, добавлю:
Защита любой WiFi сети состоит из 7-ми этапов:
1. WPA2 PSK (Personal) с любым шифрованием (AES или TKIP, обычно точки поддерживают AES). WPA взлымывается очень быстро, особенно за счет ограничения длины ключа шифрования.
2. Занесение в таблицу MAС-адресов всех своих устройств и запрет на подключение иных.
3. Замена пароля на Админку точки доступа. Чем длиннее, чем лучше. Использовать и строчные и прописные и цифры и знаки. Обычно 1-2 цифры, 1-2 знака, кроме букв.
4. Создание защищенного пароля шифрования (по аналогии с Административным).
5. Скрытие SSID (названия сети). При настройке на устройстве (компьютер-ноут обязательно указать: подключиться, даже если cеть не ведет вещание).
6. Отключение DHCP на точке доступа, и назначение статики на устройствах.
7. Отключение WPS.

И замена пароля 3-4 раза в год... все.

Автор: andr_mozg 8.8.2012, 8:22

мне кажется что это уже паранойя
зачем ломать точку доступа с WPA2 (то же уже ломается..)
если можно подключится к соседней открытой или с WEP...

WPA2 + скрытый SSID и все.... если оч хочется можно включить изоляцию клиентов (если нет замарочик с общей сетью)

все остальное МАК и т.д. это уже савсем бобо... ещеб Радиус поднять с доменом )))))))))

Автор: rem 8.8.2012, 12:56

извините, выпендрюсь, но тоже не поможет