8Aug
MAC umožňuje definovať zoznam zariadení a povoliť iba tieto zariadenia vo vašej sieti Wi-Fi. To je teória. V praxi je táto ochrana nudná a ľahko sa poruší.
Toto je jeden z funkcií smerovača Wi-Fi, ktorý vám poskytne falošný pocit bezpečia. Stačí stačiť šifrovaním WPA2.Niektorí ľudia radi používajú filtrovanie MAC adries, ale nie je to bezpečnostná funkcia.
Ako funguje filtrovanie adresy MAC
Každé zariadenie, ktoré vlastníte, je vybavené unikátnou adresou riadenia prístupu k médiu( MAC adresa), ktorá ju identifikuje v sieti. Zvyčajne router umožňuje pripojiť akékoľvek zariadenie - pokiaľ vie príslušnú prístupovú frázu. Pri filtrovaní MAC adries router najskôr porovná adresu MAC zariadenia so schváleným zoznamom adries MAC a povolí zariadenie iba v sieti Wi-Fi, ak je jeho adresa MAC špecificky schválená.
Váš smerovač vám pravdepodobne umožňuje konfigurovať zoznam povolených adries MAC vo svojom webovom rozhraní, čo vám umožní vybrať, ktoré zariadenia sa môžu pripojiť k vašej sieti. Adresovanie
adresy MAC neposkytuje žiadnu bezpečnosť
Zatiaľ to znie celkom dobre. MAC adresy však môžu byť ľahko falšované v mnohých operačných systémoch, takže každé zariadenie môže predstierať, že má jednu z povolených, jedinečných MAC adries. Adresy MAC
sa ľahko dostanú.Vysielajú sa vzduchom s každým paketom, ktorý ide do a z prístroja, pretože MAC adresa sa používa na zaistenie toho, aby sa každý paket dostal na správne zariadenie.
Všetok útočník musí urobiť, je sledovať prevádzku Wi-Fi na sekundu alebo dve, skúmať paket na vyhľadanie MAC adresy povoleného zariadenia, zmeniť adresu MAC zariadenia na túto povolenú adresu MAC a pripojiť sa na miesto tohto zariadenia, Možno si myslíte, že to nebude možné, pretože zariadenie je už pripojené, ale útok "deauth" alebo "deassoc", ktorý násilne odpojí zariadenie z siete Wi-Fi, umožní útočníkovi, aby sa znova pripojil na svoje miesto.
Nepreháňame tu.Útočník so súpravou nástrojov, ako je Kali Linux, môže používať službu Wireshark na odposluch na paket, spustiť rýchly príkaz na zmenu svojej MAC adresy, použiť aireplay-ng na odoslanie deasociačných paketov tomuto klientovi a potom sa pripojiť na svoje miesto. Tento celý proces by mohol ľahko trvať menej ako 30 sekúnd. A to je len ručná metóda, ktorá zahŕňa vykonanie každého kroku rukou - nevadí automatizované nástroje alebo shell skripty, ktoré to dokážu rýchlejšie.Šifrovanie
WPA2 je dosť
V tomto momente si možno myslíte, že filtrovanie MAC adries nie je úplne bezpečné, ale ponúka určitú dodatočnú ochranu pred použitím šifrovania. To je pravda, ale nie naozaj.
V podstate, ak máte silnú prístupovú frázu s šifrovaním WPA2, toto šifrovanie bude najťažšou vecou, ktorú by ste mohli prasknúť.Ak útočník môže odstrániť šifrovanie WPA2, bude pre ne triviálne trik na filtrovanie adries MAC.Ak by bol útočník zneužitý filtrovaním MAC adries, určite nebudú schopní rozbiť šifrovanie na prvom mieste.
Premýšľajte o tom, ako by ste pridali zámok bicykla do dverí banky. Akékoľvek bankové zlodejnice, ktoré môžu prejsť dverami trezoru banky, nebudú mať problémy s rezaním zámku motocykla. Nepridali ste žiadnu skutočnú dodatočnú bezpečnosť, ale zakaždým, keď potrebuje bankový zamestnanec prístup do trezoru, musia tráviť čas zaoberajúcim sa zámkom bicykla.
Je to zdĺhavé a časovo náročné
Čas strávený riadením tohto je hlavným dôvodom, prečo by ste nemali obťažovať.Keď nastavíte filtrovanie MAC adries na prvom mieste, budete musieť získať adresu MAC z každého zariadenia v domácnosti a povoliť to vo webovom rozhraní routeru. To bude chvíľu trvať, ak máte veľa zariadení s podporou Wi-Fi, ako väčšina ľudí.
Kedykoľvek dostanete nové zariadenie - alebo hosť prišiel a musí používať svoj Wi-Fi na svojich zariadeniach - budete musieť prejsť do webového rozhrania smerovača a pridať nové MAC adresy. Toto je nad rámec bežného procesu inštalácie, kde musíte do každého zariadenia pripojiť prístupovú frázu Wi-Fi.
Toto jednoducho pridáva ďalšiu prácu do vášho života. Táto snaha by sa mala vyplatiť s lepšou bezpečnosťou, ale nepoddajné zvýšenie bezpečnosti, ktoré dostanete, neoplatí váš čas.
Toto je funkcia správy siete
správne používané filtrovanie adresy MAC je viac ako funkcia správy siete ako bezpečnostná funkcia. Nebude vás ochraňovať pred vonkajšími stranami, ktorí sa snažia aktívne spútať šifrovanie a dostať sa do vašej siete. Môžete si však vybrať, ktoré zariadenia sú povolené online.
Ak máte napríklad deti, môžete použiť filtrovanie adries MAC, aby ste zabránili prístupu k sieti Wi-FI svojmu notebooku alebo inteligentnému telefónnemu telefónu, ak ich chcete uzemniť a odpojiť.Deti by mohli obísť tieto rodičovské kontroly pomocou niekoľkých jednoduchých nástrojov, ale to nevedia.
Preto má mnoho smerovačov aj ďalšie funkcie, ktoré závisia od MAC adresy zariadenia. Mohli by napríklad povoliť filtrovanie webových stránok na konkrétnych MAC adresách. Prípadne môžete zabrániť zariadeniam s určitými MAC adries z prístupu na web počas školských hodín. Nie sú to bezpečnostné prvky, pretože nie sú určené na zastavenie útočníka, ktorý vie, čo robí.
Ak naozaj chcete použiť filtrovanie MAC adries na definovanie zoznamu zariadení a ich MAC adries a spravovanie zoznamu zariadení, ktoré sú povolené vo vašej sieti, neváhajte sa. Niektorí ľudia naozaj využívajú tento druh riadenia na istej úrovni. Filtrovanie adries MAC však neposkytuje skutočné zvýšenie bezpečnosti Wi-Fi, takže by ste sa nemali cítiť nútení ho používať.Väčšina ľudí by sa nemala obťažovať filtrovaním adries MAC a - ak by to mali - mali vedieť, že to nie je vlastne bezpečnostná funkcia.
Image Credit: nseika na Flickr