8Aug
pozwala zdefiniować listę urządzeń i zezwalać tylko na te urządzenia w sieci Wi-Fi. Tak czy inaczej, to jest teoria. W praktyce ochrona ta jest żmudna i łatwa do złamania.
Jest to jedna z funkcji routera Wi-Fi, która daje fałszywe poczucie bezpieczeństwa. Wystarczy za pomocą szyfrowania WPA2.Niektórzy ludzie lubią używać filtrowania adresów MAC, ale nie jest to funkcja zabezpieczająca.
Jak działa filtrowanie adresów MAC
Każde urządzenie, które posiadasz, ma unikalny adres kontroli dostępu do nośnika( adres MAC), który identyfikuje go w sieci. Zwykle router umożliwia połączenie dowolnego urządzenia - o ile zna odpowiednie hasło. W przypadku filtrowania adresów MAC router najpierw porówna adres MAC urządzenia z zatwierdzoną listą adresów MAC i zezwoli na urządzenie tylko w sieci Wi-Fi, jeśli jego adres MAC został specjalnie zatwierdzony.
Router prawdopodobnie umożliwia skonfigurowanie listy dozwolonych adresów MAC w interfejsie internetowym, co pozwala wybrać, które urządzenia mogą łączyć się z siecią.
Filtrowanie adresów MAC nie zapewnia bezpieczeństwa
Jak dotąd brzmi całkiem nieźle. Ale adresy MAC mogą być łatwo sfałszowane w wielu systemach operacyjnych, więc każde urządzenie może udawać, że posiada jeden z tych dozwolonych, unikalnych adresów MAC.Adresy MAC
również są łatwe do zdobycia. Są wysyłane bezprzewodowo z każdym pakietem docierającym do i z urządzenia, ponieważ adres MAC jest używany w celu zapewnienia, że każdy pakiet trafi do właściwego urządzenia.
Wszystko, co atakujący musi zrobić, to monitorować ruch Wi-Fi przez sekundę lub dwie, zbadać pakiet, aby znaleźć adres MAC dozwolonego urządzenia, zmienić adres MAC urządzenia na ten dozwolony adres MAC i połączyć się w miejscu tego urządzenia. Możesz myśleć, że nie będzie to możliwe, ponieważ urządzenie jest już połączone, ale atak "deauth" lub "deassoc", który siłą odłącza urządzenie od sieci Wi-Fi, pozwoli intruzowi na ponowne połączenie w jego miejsce.
Nie jesteśmy tutaj przesadzeni. Osoba atakująca z zestawem narzędzi, takim jak Kali Linux, może użyć Wiresharka do podsłuchania pakietu, wykonać szybkie polecenie zmiany adresu MAC, użyć aireplay-ng do wysłania pakietów deassociation do tego klienta, a następnie połączyć się w jego miejsce. Cały ten proces może zająć mniej niż 30 sekund. A to tylko ręczna metoda polegająca na ręcznym wykonywaniu każdego kroku - bez względu na zautomatyzowane narzędzia lub skrypty powłoki, które mogą przyspieszyć ten proces.
Szyfrowanie WPA2 jest wystarczające
W tym momencie może się wydawać, że filtrowanie adresów MAC nie jest niezawodne, ale oferuje dodatkową ochronę za pomocą szyfrowania. To prawda, ale nie do końca.
Zasadniczo, o ile masz silne hasło z szyfrowaniem WPA2, szyfrowanie będzie najtrudniejsze do złamania. Jeśli atakujący może złamać szyfrowanie WPA2, będzie to dla nich łatwe, ponieważ oszuka filtrowanie adresów MAC.Jeśli atakujący zostanie zaskoczony przez filtrowanie adresów MAC, na pewno nie będzie w stanie złamać szyfrowania w pierwszej kolejności.
Pomyśl o tym, jak dodać blokadę roweru do drzwi skarbca banku. Każdy złodziej z banku, który przejdzie przez drzwi skarbca banku, nie będzie miał problemu z wycięciem blokady rowerowej. Nie dodałeś żadnych dodatkowych zabezpieczeń, ale za każdym razem, gdy pracownik banku musi uzyskać dostęp do skarbca, muszą spędzić czas zajmując się blokadą roweru.
To jest żmudne i czasochłonne
Czas spędzony na zarządzaniu tym jest głównym powodem, dla którego nie powinieneś się przejmować.Po skonfigurowaniu filtrowania adresów MAC w pierwszej kolejności, musisz uzyskać adres MAC z każdego urządzenia w swoim gospodarstwie domowym i pozwolić na to w interfejsie internetowym routera. Zajmie to trochę czasu, jeśli masz dużo urządzeń z włączoną funkcją Wi-Fi, jak większość ludzi.
Po otrzymaniu nowego urządzenia - lub gość przychodzi i musi korzystać z Wi-Fi na swoich urządzeniach - będziesz musiał wejść do interfejsu sieciowego routera i dodać nowe adresy MAC.Jest to typowy proces instalacji, w którym musisz podłączyć hasło do Wi-Fi do każdego urządzenia.
To tylko dodaje dodatkowej pracy do twojego życia. Wysiłek ten powinien przynieść lepsze zabezpieczenie, ale minimalny i nieistniejący wzrost bezpieczeństwa sprawia, że nie jest to warte twojego czasu.
To jest funkcja administrowania siecią
Filtrowanie adresów MAC, właściwie używane, jest bardziej funkcją administrowania siecią niż funkcją bezpieczeństwa. Nie ochroni cię to przed obcymi, którzy próbują aktywnie złamać twoje szyfrowanie i dostać się do twojej sieci. Pozwoli to jednak wybrać urządzenia, które są dozwolone online.
Na przykład, jeśli masz dzieci, możesz użyć filtrowania adresów MAC, aby uniemożliwić dostęp do sieci Wi-Fi laptopowi lub smartphpone, jeśli musisz je uziemić i zabrać dostęp do Internetu. Dzieci mogą obejść kontrolę rodzicielską za pomocą prostych narzędzi, ale nie wiedzą o tym.
Dlatego wiele routerów ma również inne funkcje, które zależą od adresu MAC urządzenia. Mogą na przykład umożliwić włączenie filtrowania w sieci na określonych adresach MAC.Możesz także uniemożliwić urządzeniom z określonymi adresami MAC dostęp do internetu w godzinach szkolnych. Nie są to tak naprawdę funkcje bezpieczeństwa, ponieważ nie są zaprojektowane, aby powstrzymać atakującego, który wie, co robią.
Jeśli naprawdę chcesz używać filtrowania adresów MAC do zdefiniowania listy urządzeń i ich adresów MAC oraz administrowania listą urządzeń, które są dozwolone w twojej sieci, nie krępuj się.Niektórzy ludzie cieszą się takim zarządzaniem na pewnym poziomie. Ale filtrowanie adresów MAC nie zwiększa bezpieczeństwa Wi-Fi, więc nie powinieneś czuć się zmuszonym do jego używania. Większość ludzi nie powinna zajmować się filtrowaniem adresów MAC, a jeśli tak, to powinna wiedzieć, że to nie jest funkcja bezpieczeństwa.
Image Credit: nseika na Flickr