Допустим, у нас есть DHCP-сервер и предусмотрена система фильтрации MAC. Можем ли мы заблокировать следующий поддельный MAC-адрес? Следующему устройству не будет выдан IP-адрес в аренду.
Или обычно он уже заблокирован DHCP-сервером?
Заранее спасибо.
Это не так просто. Может потребоваться дополнительный протокол, но по большей части он требует постоянной сетевой бдительности. Нечто похожее на то, что упоминается ниже.
https://infoexpress.com/content/practical/142
Программа / сценарий, которые я видел, в основном просматривали / контролировали все системы в сети и периодически искали различия в производительности, чтобы увидеть, не происходит ли что-то странное (например, потеря пакетов). Более современные решения, такие как 802.1x и т. Д., Также работают примерно так же, как упомянутый мной подход, но также страдают теми же ограничениями. Достаточно аналитических данных о целевой сети / системе, и у вас проблемы, что является одной из причин, по которой некоторое время назад пришлось обновиться. Это означает, что вы заботитесь о двух вещах. Подробнее об исходной системе и периодических проверках ...
http://en.wikipedia.org/wiki/IEEE_802.1X http://en.wikipedia.org/wiki/IEEE_802.1X#Vulnerabilities_in_802.1X-2001_and_802.1X-2004
Причина, по которой аутентификация Mac не работает очень хорошо (по моему опыту), заключается в том, что, если бы я был злоумышленником, я бы сначала отправил пакет деаутентификации клиенту, чей Mac я хотел подделать, и я бы использовал другой поддельный Mac сделать так. Тогда роутер не заметит разницы. Однако до тех пор, пока вы используете WPA или WPA2 и имеете надежную парольную фразу, злоумышленнику будет чрезвычайно сложно взломать ваш ключ, что предотвратит возможность аренды dchp.
Сервер radius действительно работает с мобильными устройствами и является лучшим способом защиты сети Wi-Fi при использовании с wpa2. Я считаю, что он обеспечивает метод двойной аутентификации с сертификатом.