8Aug
MAC-aadresside filtreerimine võimaldab teil määratleda seadmete loendi ja lubada ainult need seadmed teie WiFi-võrgus. Igatahes on see teooria. Praktikas on see kaitse vaevatu seadistamine ja lihtne rikkuda.
See on Wi-Fi ruuteri funktsioon, mis annab sulle vale turvatunde. Lihtsalt WPA2-krüpteering on piisav. Mõnedel inimestel meeldib kasutada MAC-aadressi filtreerimist, kuid see ei ole turbefunktsioon.
Kuidas MAC-aadressifiltreerimine toimib
Igal seadmel on unikaalne meediumipöörduse juhtimise aadress( MAC-aadress), mis tuvastab selle võrgus. Tavaliselt lubab ruuter ühendada mis tahes seadme - nii kaua, kuni ta teab asjakohast paroolifraasi. MAC-aadressi filtrimisel ruuter võrdleb esmalt seadme MAC-aadressi heakskiidetud MAC-aadresside nimekirja ja lubab seadmel ainult Wi-Fi-võrku, kui selle MAC-aadress on spetsiaalselt heaks kiidetud.
Teie ruuter tõenäoliselt lubab teil oma veebiliideses konfigureerida lubatavate MAC-aadresside loendi, mis võimaldab teil valida, millised seadmed suudavad võrku ühenduda.
MAC-aadressi filtreerimine ei anna turvatunnet
Siiani tundub see päris hea. Kuid MAC-aadresse saab paljudes operatsioonisüsteemides hõlpsasti rämpsida, nii et kõik seadmed võivad teeselda, et neil on lubatud üksikud unikaalsed MAC-aadressid.
MAC-aadressid on ka hõlpsasti kättesaadavad. Neid saadetakse õhuga, kui iga pakett läheb seadmesse ja sealt välja, kuna MAC-aadressi kasutatakse, et tagada iga paki jõudmine õigesse seadmesse.
Kõik ründaja peab tegema Wi-Fi liikluse jälgimise sekundi või kahe sekundi jooksul, uurima paketti, et leida lubatud seadme MAC-aadress, muuta seadme MAC-aadressi selle lubatud MAC-aadressi ja ühendada selle seadme kohas. Te võite arvata, et see ei ole võimalik, kuna seade on juba ühendatud, kuid ründaja, kes seob seadet võrgust jõuetult, võib deauth või deassoc rünnakuks lubada ründajal oma kohas taasühendada.
Me ei paranda siin. Ristik, kellel on selline tööriistakomplekt nagu Kali Linux, võib Wiresharki kasutada pakettide pealtkuulamiseks, käivitada kiire käsu oma MAC-aadressi muutmiseks, kasutada selle reaalajapakettide saatmiseks seda klient, seejärel ühendada selle asemel. Kogu protsess võib kergesti kuluda vähem kui 30 sekundit. Ja see on lihtsalt käsitsimeetod, mis eeldab iga sammu käsitsi teostamist - mitte kunagi silmas automatiseeritud tööriistu või shelli skripte, mis seda kiiremini teevad.
WPA2 krüpteerimine on küllaldane
Selles punktis võite arvata, et MAC-aadressi filtreerimine ei ole tõrgeteta, kuid pakub krüptimisega lihtsalt täiendavat kaitset. See on tõsi, kuid mitte tõesti.
Põhimõtteliselt, nii kaua, kui teil on WPA2-krüpteeringuga tugev paroolifraas, on see krüptimine kõige raskem asi, mida peaks krakima. Kui ründaja võib teie WPA2-krüpteerimist murda, pole see nende jaoks MAC-aadresside filtreerimise petmine. Kui ründaja hakkab MAC-aadressi filtreerimist katkestama, ei suuda nad kindlasti teie krüpteerimist murda.
Mõelge sellele, et lisage jalgratta lukk panga vaate uksele. Mis tahes pankrobarööre, kes pääseb selle pankade võlviukse kaudu, pole raskusi ratta luku lõikamisega. Te pole lisanud tõelist täiendavat turvalisust, kuid iga kord, kui pangatöötaja vajab veekogu juurde pääsemist, peavad nad bike lukuga tegelema.
See on tüütu ja ajasäästlik
. Selle haldamise aeg on peamine põhjus, miks te ei peaks vaeva nägema. Kui te seadisite MAC-aadresside filtreerimise kõigepealt, peate saama MAC-aadressi kõigilt teie leibkonna seadmetest ja lubage see oma ruuteri veebiliideses. See võtab veidi aega, kui teil on palju WiFi-seadmeid, nagu enamik inimesi seda teeb.
Kui saate uue seadme - või külastaja saabub ja peab teie seadmetes oma WiFi-d kasutama - peate minema oma ruuteri veebihaldusesse ja lisama uued MAC-aadressid. See on tavapärase seadistamise protsessi peal, kus peate iga seadme jaoks ühendama Wi-Fi paroolifraasi.
See lihtsalt lisab täiendavat tööd oma elule. See jõupingutus peaks maksma paremaks turvalisuse tagamiseks, kuid miniscule-to-nonexing julgeoleku suurendamine teie turvalisus ei tee seda väärt oma aega.
See on võrguhalduse funktsioon
MAC-aadresside filtreerimine on korralikult kasutatav võrguhaldusfunktsioon kui turvafunktsioon. See ei kaitse teid kõrvaliste eest, kes püüavad aktiivselt oma krüpteerimist murda ja oma võrku pääseda. Kuid see võimaldab teil valida, millised seadmed on veebis lubatud.
Näiteks kui teil on lapsi, võite kasutada MAC-aadressi filtreerimist, et keelduda oma sülearvutist või nutitelefonist Wi-Fi-võrgule juurdepääsemiseks, kui peate neid maandama ja Internetti ära võtma. Lapsed võisid nende vanemliku kontrolli abil minna mõne lihtsa tööriistaga, kuid nad seda ei tea.
Sellepärast on paljudel ruuteritel ka muud funktsioonid, mis sõltuvad seadme MAC-aadressist. Näiteks võivad need lubada teil lubada veebifiltreerimist teatud MAC-aadressidel. Samuti võite takistada konkreetsete MAC-aadressidega seadmete juurdepääsu õppetööde ajal veebis. Need ei ole tõesti turvafunktsioonid, kuna need ei ole mõeldud ründaja jaoks, kes teab, mida nad teevad.
Kui soovite kindlasti kasutada MAC-aadressi filtreerimist seadmete ja nende MAC-aadresside loendi määratlemiseks ja oma võrku lubatud seadmete loendi haldamiseks, võite vabalt. Mõnel inimesel on mõnel tasandil tegelikult selline juhtimine teatud tasemel. Kuid MAC-aadresside filtreerimine ei toeta teie WiFi-turvalisust, nii et te ei peaks seda sundima. Enamik inimesi ei tohiks MAC-aadresside filtreerimisega häirida, ja kui nad seda teevad, peaks ta teadma, et see pole tõepoolest turvafunktsioon.
Image Credit: nseika Flickr
-l