8Aug
umožňuje definovat seznam zařízení a povolit pouze tato zařízení ve vaší síti Wi-Fi. To je teorie. V praxi je tato ochrana nudná a snadno se poruší.
Jedná se o jeden z funkcí routeru Wi-Fi, který vám poskytne falešný pocit bezpečí.Pouze šifrování WPA2 stačí.Někteří lidé rádi používají filtrování MAC adres, ale není to bezpečnostní funkce.
Jak funguje filtrování MAC adresy
Každé zařízení, které vlastníte, je vybaveno jedinečnou řídící adresou pro přístup k médiím( MAC adresu), která ji identifikuje v síti. Za normálních okolností směrovač umožňuje připojení jakéhokoli zařízení - pokud zná správnou přístupovou frázi. S filtrováním MAC adres router nejprve porovná adresu MAC zařízení se schváleným seznamem MAC adres a povolí zařízení pouze do sítě Wi-Fi, pokud je jeho MAC adresa výslovně schválena.
Router pravděpodobně umožňuje konfigurovat seznam povolených adres MAC v jeho webovém rozhraní, což vám umožní zvolit, které zařízení se mohou připojit k síti.
Filtrování adres MAC poskytuje bez zabezpečení
Zatím to zní celkem dobře. Adresy MAC však lze v mnoha operačních systémech snadno vymazat, takže jakékoli zařízení může předstírat, že má jednu z těch povolených, jedinečných MAC adres.
MAC adresy se také snadno dostanou. Jsou odesílány vzduchem s každým paketem přicházejícím do a ze zařízení, protože MAC adresa se používá k zajištění toho, aby každý paket dostal správné zařízení.
Všichni útočníci musí sledovat provoz Wi-Fi za sekundu nebo dva, prozkoumat paket, aby zjistili MAC adresu povoleného zařízení, změnili MAC adresu svého zařízení na tuto povolenou adresu MAC a připojili se na místo zařízení.Možná si myslíte, že to nebude možné, protože zařízení je již připojeno, ale útok "deauth" nebo "deassoc", který násilně odpojí zařízení ze sítě Wi-Fi, umožní útočníkovi, aby se znovu připojil na místo.
Nejsme zde přeháněni.Útočník s sadou nástrojů, jako je Kali Linux, může pomocí služby Wireshark poslouchat balíček, spustit rychlý příkaz pro změnu adresy MAC, použít aireplay-ng k odeslání odpojovacích paketů tomuto klientovi a pak se připojit na místo. Celý tento proces by mohl trvat déle než 30 sekund. A to je jen ruční metoda, která vyžaduje, abyste každý krok prováděli ručně - bez ohledu na automatizované nástroje nebo shell skripty, které to mohou urychlit.Šifrování
WPA2 je dostatečné
V tomto okamžiku možná myslíte, že filtrování MAC adres není špatné, ale nabízí další ochranu před pouhým šifrováním. To je pravda, ale ne opravdu.
V zásadě, pokud máte silnou přístupovou frázi s šifrováním WPA2, šifrování bude nejtěžší věc, kterou byste mohli popraskat. Pokud útočník může splést vaše šifrování WPA2, bude pro ně triviální trik filtrování MAC adres. Pokud by útočník byl zneužit filtrováním MAC adres, určitě nebudou schopni šifrovat vaše šifrování.
Přemýšlejte o tom, jako byste přidali zámek jízdního kola do dveří bank. Jakýkoli bankovní zloděj, který může projít bankou dveří, nebude mít žádné problémy s řezáním kola. Nebyla jste přidána žádná skutečná dodatečná bezpečnost, ale pokaždé, když zaměstnanec banky potřebuje přístup do trezoru, musí trávit čas zabývat se zámkem na kolo.
Je to únavné a časově náročné
Doba strávená řízením je hlavním důvodem, proč byste se neměli obtěžovat. Když nastavíte nejprve filtrování adres MAC, budete muset získat adresu MAC z každého zařízení v domácnosti a povolit ji ve webovém rozhraní routeru. To bude trvat nějaký čas, pokud máte mnoho zařízení podporujících Wi-Fi, jako většina lidí.
Kdykoli získáte nové zařízení - nebo host přichází a potřebuje používat své zařízení Wi-Fi na svých zařízeních - budete muset jít do webového rozhraní routeru a přidat nové MAC adresy. Toto je na začátku obvyklého procesu instalace, kde musíte do každého zařízení připojit přístupovou frázi Wi-Fi.
To prostě dodává další práci do vašeho života. Tato snaha by se měla vyplatit s větší jistotou, ale minimální až neexistující zvýšení bezpečnosti, které dostanete, to nestojí za váš čas.
Toto je funkce správy sítě
správně používané filtrování adres MAC je spíše funkce správy sítě než bezpečnostní funkce. Nebude vás ochránit před outsidery, kteří se pokusí aktivně šukat se svým šifrováním a dostat se do vaší sítě.Umožňuje vám však vybrat, která zařízení jsou povolena online.
Například pokud máte děti, můžete použít filtrování adres MAC, abyste zakázali přístup k síti Wi-FI svým laptopům nebo smartphonům, pokud je potřebujete uzemnit a odpojit přístup k internetu. Děti by mohly obejít tyto rodičovské kontroly pomocí několika jednoduchých nástrojů, ale to nevědí.
Proto mnoho směrovačů má také další funkce, které závisí na adrese MAC zařízení.Mohou například povolit filtrování webů na určitých MAC adresách. Nebo můžete zabránit zařízením se specifickými MAC adresami při přístupu na web během školních hodin. Nejsou to opravdu bezpečnostní prvky, protože nejsou určeny k tomu, aby zastavili útočníka, který ví, co dělají.
Pokud opravdu chcete použít filtrování MAC adres, abyste definovali seznam zařízení a jejich MAC adresy a spravovali seznam zařízení povolených v síti, neváhejte se. Někteří lidé skutečně užívají tento druh řízení na určité úrovni. Filtrování MAC adres však neposkytuje žádné skutečné zvýšení zabezpečení Wi-Fi, takže byste se neměli cítit nuceni k jejímu použití.Většina lidí by se neměla obtěžovat s filtrováním adres MAC a - pokud ano, měla by vědět, že to není opravdu bezpečnostní funkce.
Image Credit: nseika na Flickr