8Aug
El filtrado de direcciones MAC le permite definir una lista de dispositivos y solo permitir esos dispositivos en su red Wi-Fi. Esa es la teoría, de todos modos. En la práctica, esta protección es tediosa de configurar y fácil de violar.
Esta es una de las características del enrutador Wi-Fi que le dará una falsa sensación de seguridad. Solo usar encriptación WPA2 es suficiente. A algunas personas les gusta usar el filtrado de direcciones MAC, pero no es una función de seguridad.
Cómo funciona el filtrado de direcciones MAC
Cada dispositivo que posee viene con una dirección única de control de acceso a medios( dirección MAC) que lo identifica en una red. Normalmente, un enrutador permite que cualquier dispositivo se conecte, siempre que conozca la frase de contraseña adecuada. Con el filtrado de direcciones MAC, un enrutador primero comparará la dirección MAC de un dispositivo con una lista aprobada de direcciones MAC y solo permitirá que un dispositivo entre a la red Wi-Fi si su dirección MAC ha sido aprobada específicamente.
Su enrutador probablemente le permita configurar una lista de direcciones MAC permitidas en su interfaz web, lo que le permite elegir qué dispositivos se pueden conectar a su red.
MAC Address Filtering no proporciona seguridad
Hasta ahora, esto suena bastante bien. Pero las direcciones MAC se pueden falsificar fácilmente en muchos sistemas operativos, por lo que cualquier dispositivo podría pretender tener una de esas direcciones MAC únicas permitidas. Las direcciones
MAC también son fáciles de obtener. Se envían por el aire con cada paquete yendo y viniendo del dispositivo, ya que la dirección MAC se usa para asegurar que cada paquete llegue al dispositivo correcto.
Todo lo que tiene que hacer un atacante es monitorear el tráfico de Wi-Fi por uno o dos segundos, examinar un paquete para encontrar la dirección MAC de un dispositivo permitido, cambiar la dirección MAC de ese dispositivo a la dirección MAC permitida y conectarse en el lugar del dispositivo. Puede pensar que esto no será posible porque el dispositivo ya está conectado, pero un ataque "deauth" o "deassoc" que desconecta por la fuerza un dispositivo de una red Wi-Fi permitirá que un atacante se vuelva a conectar en su lugar.
No estamos exagerando aquí.Un atacante con un conjunto de herramientas como Kali Linux puede usar Wireshark para espiar un paquete, ejecutar un comando rápido para cambiar su dirección MAC, usar aireplay-ng para enviar paquetes de desasociación a ese cliente y luego conectarse en su lugar. Todo este proceso podría tardar fácilmente menos de 30 segundos. Y ese es solo el método manual que implica hacer cada paso a mano, sin importar las herramientas automáticas o los scripts de shell que pueden hacerlo más rápido.
El cifrado WPA2 es suficiente
En este punto, puede estar pensando que el filtrado de direcciones MAC no es infalible, pero ofrece alguna protección adicional sobre el simple uso del cifrado. Eso es cierto, pero no realmente.
Básicamente, siempre que tenga una frase de contraseña segura con encriptación WPA2, esa encriptación será lo más difícil de descifrar. Si un atacante puede descifrar su encriptado WPA2, será trivial para ellos engañar al filtrado de la dirección MAC.Si un atacante se deja perplejo por el filtrado de direcciones MAC, definitivamente no podrá romper su encriptación en primer lugar.
Piense que es como agregar un candado de bicicleta a la puerta de la bóveda del banco. Cualquier ladrón de bancos que pueda atravesar la puerta de la bóveda de un banco no tendrá problemas para cortar el candado de una bicicleta. No ha agregado ninguna seguridad adicional real, pero cada vez que un empleado del banco necesita acceder a la bóveda, tienen que dedicar un tiempo a lidiar con el bloqueo de la bicicleta.
Es tedioso y toma mucho tiempo
El tiempo dedicado a administrar esto es la razón principal por la que no debería molestarse. Cuando configure el filtrado de direcciones MAC en primer lugar, deberá obtener la dirección MAC de todos los dispositivos de su hogar y permitirla en la interfaz web de su enrutador. Esto llevará algún tiempo si tiene muchos dispositivos habilitados para Wi-Fi, como lo hace la mayoría de la gente.
Cada vez que obtiene un nuevo dispositivo, o un invitado se acerca y necesita usar su Wi-Fi en sus dispositivos, deberá acceder a la interfaz web de su enrutador y agregar las nuevas direcciones MAC.Esto está en la parte superior del proceso de configuración habitual donde tiene que conectar la frase de contraseña de Wi-Fi en cada dispositivo.
Esto solo agrega trabajo adicional a tu vida. Ese esfuerzo debería dar sus frutos con una mayor seguridad, pero el impulso minúsculo a inexistente en la seguridad que obtienes hace que esto no valga la pena.
Esta es una característica de administración de red
El filtrado de direcciones MAC, utilizado correctamente, es más una función de administración de red que una característica de seguridad. No lo protegerá contra personas ajenas que intenten descifrar activamente su encriptación y acceder a su red. Sin embargo, le permitirá elegir qué dispositivos están permitidos en línea.
Por ejemplo, si tiene hijos, podría usar el filtrado de direcciones MAC para no permitir que su laptop o smartphpone accedan a la red Wi-FI si necesita conectarlos a tierra y quitarle el acceso a Internet. Los niños pueden sortear estos controles parentales con algunas herramientas simples, pero no lo saben.
Es por eso que muchos enrutadores también tienen otras características que dependen de la dirección MAC de un dispositivo. Por ejemplo, pueden permitirle habilitar el filtrado web en direcciones MAC específicas. O bien, puede evitar que dispositivos con direcciones MAC específicas accedan a la web durante el horario escolar. Estas no son realmente características de seguridad, ya que no están diseñadas para detener a un atacante que sabe lo que está haciendo.
Si realmente desea usar el filtrado de direcciones MAC para definir una lista de dispositivos y sus direcciones MAC y administrar la lista de dispositivos que están permitidos en su red, siéntase libre. Algunas personas realmente disfrutan de este tipo de gestión en algún nivel. Pero el filtrado de direcciones MAC no proporciona ningún impulso real a su seguridad de Wi-Fi, por lo que no debe sentirse obligado a usarlo. La mayoría de las personas no deberían molestarse con el filtrado de direcciones MAC y, si lo hacen, deberían saber que no es realmente una característica de seguridad. Crédito de imagen
: nseika en Flickr