8Aug
MAC-adressefiltrering giver dig mulighed for at definere en liste over enheder og kun tillade disse enheder på dit Wi-Fi-netværk. Det er alligevel teorien. I praksis er denne beskyttelse kedelig at oprette og let at bryde.
Dette er en af Wi-Fi-routerfunktionerne, der giver dig en falsk følelse af sikkerhed. Det er nok at bruge WPA2-kryptering. Nogle mennesker kan lide at bruge MAC-adressefiltrering, men det er ikke en sikkerhedsfunktion.
Sådan fungerer MAC-adressefiltering
Hver enhed, du ejer, kommer med en unik medieadgangskontroladresse( MAC-adresse), der identificerer den på et netværk. Normalt tillader en router, at enheden forbinder - så længe den kender den korrekte adgangskode. Ved MAC-adressefiltrering sammenligner en router først en enheds MAC-adresse mod en godkendt liste over MAC-adresser og tillader kun en enhed på Wi-Fi-netværket, hvis MAC-adressen er specifikt godkendt.
Din router giver dig mulighed for at konfigurere en liste over tilladte MAC-adresser i sin web-grænseflade, så du kan vælge, hvilke enheder der kan oprette forbindelse til dit netværk.
MAC-adressefiltrering giver ingen sikkerhed
Indtil videre lyder det ganske godt. Men MAC-adresser kan let spoofes i mange operativsystemer, så enhver enhed kan foregive at have en af de tilladte, unikke MAC-adresser.
MAC-adresser er også nemme at få.De sendes over luften med hver pakke, der går til og fra enheden, da MAC-adressen bruges til at sikre, at hver pakke kommer til den rigtige enhed.
Alle en angriber skal gøre er at overvåge Wi-Fi-trafikken i et sekund eller to, undersøge en pakke for at finde MAC-adressen på en tilladt enhed, ændre deres enheds MAC-adresse til den tilladte MAC-adresse og oprette forbindelse på den pågældende enheds sted. Du kan tænke på, at dette ikke vil være muligt, fordi enheden allerede er tilsluttet, men et "deauth" eller "deassoc" -angreb, der tvangsfjerner en enhed fra et Wi-Fi-netværk, gør det muligt for en hacker at genoprette forbindelse på stedet.
Vi exagerer ikke her. En angriber med et værktøjssæt som Kali Linux kan bruge Wireshark til at aflytte på en pakke, køre en hurtig kommando for at ændre deres MAC-adresse, bruge aireplay-ng til at sende deassociation pakker til den pågældende klient og derefter forbinde på stedet. Hele denne proces kan nemt tage mindre end 30 sekunder. Og det er bare den manuelle metode, der indebærer at gøre hvert enkelt trin for hånden - pas på de automatiske værktøjer eller skalskripter, der kan gøre det hurtigere.
WPA2-kryptering er nok
På dette tidspunkt kan du tænke, at MAC-adressefiltrering ikke er idiotsikker, men giver nogle ekstra beskyttelse over kun ved hjælp af kryptering. Det er sant, men ikke rigtigt.
I princippet, så længe du har en stærk adgangsfrase med WPA2-kryptering, er krypteringen den sværeste ting at knække. Hvis en hacker kan ødelægge din WPA2-kryptering, vil det være trivielt for dem at narre MAC-adressefiltreringen. Hvis en angriber ville blive stumpet af MAC-adressefiltrering, vil de helt sikkert ikke kunne bryde din kryptering i første omgang.
Tænk på det som at tilføje en cykelås til en bankvalvdør. Enhver bankrøver, der kan komme igennem den bankvoklede dør, har ingen problemer med at klippe en cykelås. Du har ikke tilføjet nogen reel ekstra sikkerhed, men hver gang en bankmedarbejder har brug for adgang til hvælvet, skal de bruge tid til at beskæftige sig med cykelåsen.
Det er kedeligt og tidskrævende
Den tid, der bruges til at administrere dette, er hovedårsagen til, at du ikke bør forstyrre. Når du konfigurerer MAC-adressefiltrering i første omgang, skal du hente MAC-adressen fra alle enheder i din husstand og tillade den i din routerens webgrænseflade. Det tager lidt tid, hvis du har mange Wi-Fi-aktiverede enheder, som de fleste mennesker gør.
Når du får en ny enhed - eller en gæst kommer forbi og skal bruge din Wi-Fi på deres enheder - skal du gå ind i din routerens webgrænseflade og tilføje de nye MAC-adresser. Dette er oven på den sædvanlige installationsproces, hvor du skal tilslutte Wi-Fi-adgangskoden til hver enhed.
Dette tilføjer blot ekstra arbejde til dit liv. Denne indsats skal betale sig med bedre sikkerhed, men det minimale til ikke-eksisterende boost i sikkerhed, du får, gør dette ikke værd at din tid.
Dette er en netværksadministrationsfunktion
MAC-adressefiltrering, korrekt brugt, er mere en netværksadministrationsfunktion end en sikkerhedsfunktion. Det beskytter dig ikke mod outsidere, der forsøger at sprænge din kryptering aktivt og komme ind på dit netværk. Det vil dog give dig mulighed for at vælge hvilke enheder der er tilladt online.
Hvis du for eksempel har børn, kan du bruge MAC-adressefiltrering til at udelukke deres laptop eller smartphpone fra at få adgang til Wi-Fi-netværket, hvis du skal jordse dem og tage væk internetadgang. Børnene kunne komme rundt om disse forældrekontrol med nogle enkle værktøjer, men de ved det ikke.
Derfor har mange routere også andre funktioner, der afhænger af en enheds MAC-adresse. For eksempel kan de tillade dig at aktivere webfiltrering på bestemte MAC-adresser. Du kan også forhindre, at enheder med bestemte MAC-adresser får adgang til internettet i skoletiden. Disse er ikke rigtig sikkerhedsfunktioner, da de ikke er designet til at stoppe en angriber, der ved, hvad de laver.
Hvis du virkelig vil bruge MAC-adressefiltrering til at definere en liste over enheder og deres MAC-adresser og administrere listen over enheder, der er tilladt på dit netværk, er du velkommen. Nogle mennesker nyder faktisk denne form for ledelse på et eller andet niveau. Men MAC-adressefiltrering giver ingen reel boost til din Wi-Fi-sikkerhed, så du bør ikke føle dig tvunget til at bruge den. De fleste mennesker bør ikke gider med MAC-adressefiltrering, og hvis de gør det, skal de vide, at det ikke er en sikkerhedsfunktion.
Billedkredit: Nseika på Flickr