8Aug

Por que você não deve usar a filtragem de endereços MAC no seu roteador Wi-Fi

A filtragem de endereços MAC

permite que você defina uma lista de dispositivos e apenas permita esses dispositivos em sua rede Wi-Fi. Essa é a teoria, mesmo assim. Na prática, esta proteção é tediosa de configurar e fácil de violar.

Este é um dos recursos do roteador Wi-Fi que lhe dará uma falsa sensação de segurança. O simples uso de criptografia WPA2 é suficiente. Algumas pessoas gostam de usar a filtragem de endereços MAC, mas não é um recurso de segurança.

Como funciona o Filtragem de endereços MAC

Cada dispositivo que você possui vem com um endereço de controle de acesso de mídia exclusivo( endereço MAC) que o identifica em uma rede. Normalmente, um roteador permite que qualquer dispositivo se conecte - desde que conheça a senha apropriada. Com o filtro de endereço MAC, um roteador primeiro comparará o endereço MAC de um dispositivo com uma lista aprovada de endereços MAC e só permitirá que um dispositivo na rede Wi-Fi seja aprovado especificamente.

O seu roteador provavelmente permite que você configure uma lista de endereços MAC permitidos na sua interface web, permitindo que você escolha quais dispositivos podem se conectar à sua rede.

O filtro de endereços MAC não oferece segurança

Até agora, isso parece muito bom. Mas os endereços MAC podem ser facilmente falsificados em muitos sistemas operacionais, então qualquer dispositivo pode pretender ter um desses endereços MAC permitidos e exclusivos. Os endereços MAC

também são fáceis de obter. Eles são enviados ao ar com cada pacote indo e vindo do dispositivo, pois o endereço MAC é usado para garantir que cada pacote chegue ao dispositivo certo.

Tudo o que um atacante tem a fazer é monitorar o tráfego Wi-Fi por um segundo ou dois, examinar um pacote para encontrar o endereço MAC de um dispositivo permitido, alterar o endereço MAC do dispositivo para o endereço MAC permitido e se conectar no local desse dispositivo. Você pode estar pensando que isso não será possível porque o dispositivo já está conectado, mas um ataque "deauth" ou "desassociado" que desconecta um dispositivo de uma rede Wi-Fi permitirá que um invasor se reconecte em seu lugar.

Não estamos exagerando aqui. Um atacante com um conjunto de ferramentas como o Kali Linux pode usar o Wireshark para espiar um pacote, executar um comando rápido para mudar seu endereço MAC, usar aireplay-ng para enviar pacotes de dissociação para esse cliente e, em seguida, conectar-se em seu lugar. Todo esse processo poderia levar facilmente menos de 30 segundos. E esse é apenas o método manual que envolve fazer cada passo à mão - não importa as ferramentas automatizadas ou os scripts de shell que podem tornar isso mais rápido. A criptografia

WPA2 é suficiente

Neste ponto, você pode estar pensando que o filtro de endereços MAC não é infalível, mas oferece proteção adicional ao usar apenas criptografia. Isso é uma espécie de verdade, mas na verdade não.

Basicamente, enquanto você tiver uma senha segura com criptografia WPA2, essa criptografia será a coisa mais difícil de quebrar. Se um atacante pode quebrar sua criptografia WPA2, será trivial para eles enganar a filtragem do endereço MAC.Se um atacante for perdoado pela filtragem de endereços MAC, eles definitivamente não poderão quebrar sua criptografia em primeiro lugar.

Pense nisso como adicionar um bloqueio de bicicleta a uma porta do cofre do banco. Qualquer ladrão de banco que possa atravessar a porta do vaivém do banco não terá problemas para cortar uma bicicleta. Você não adicionou nenhuma segurança adicional real, mas sempre que um funcionário do banco precisa acessar o cofre, eles precisam gastar tempo lidando com o bloqueio da bicicleta.

É tedioso e consumindo tempo

O tempo gasto no gerenciamento desta é a principal razão pela qual você não deve incomodar. Quando você configura a filtragem de endereços MAC em primeiro lugar, você precisará obter o endereço MAC de todos os dispositivos em sua casa e permitir a sua interface na web do roteador. Isso levará algum tempo se você tiver muitos dispositivos habilitados para Wi-Fi, como a maioria das pessoas o faz.

Sempre que você obtenha um novo dispositivo - ou um convidado vier e precisar usar seu Wi-Fi em seus dispositivos - você terá que entrar na interface da web do seu roteador e adicionar os novos endereços MAC.Isso está no topo do processo de configuração usual, onde você precisa conectar a frase de acesso Wi-Fi em cada dispositivo.

Isso apenas adiciona trabalho adicional à sua vida. Esse esforço deve compensar com uma melhor segurança, mas o impulso minúsculo a inexistente na segurança que você obtém faz com que isso não valha a pena seu tempo.

Este é um recurso de administração de rede

O filtro de endereços MAC, usado corretamente, é mais um recurso de administração de rede do que um recurso de segurança. Não irá protegê-lo contra os estrangeiros que tentam ativamente quebrar sua criptografia e entrar na sua rede. No entanto, ele permitirá que você escolha quais dispositivos são permitidos on-line.

Por exemplo, se você tiver filhos, você poderia usar o filtro de endereços MAC para proibir o seu laptop ou smartpip de acessar a rede Wi-Fi se precisar aterrar e tirar o acesso à Internet. As crianças poderiam contornar esses controles parentais com algumas ferramentas simples, mas não sabem disso.

É por isso que muitos roteadores também possuem outros recursos que dependem do endereço MAC de um dispositivo. Por exemplo, eles podem permitir que você habilite a filtragem da web em endereços MAC específicos. Ou, você pode impedir que dispositivos com endereços MAC específicos acessem a web durante o horário escolar. Estes não são realmente recursos de segurança, pois não são projetados para impedir um invasor que sabe o que estão fazendo.

Se você realmente deseja usar a filtragem de endereço MAC para definir uma lista de dispositivos e seus endereços MAC e administrar a lista de dispositivos que são permitidos na sua rede, sinta-se livre. Algumas pessoas realmente gostam desse tipo de gerenciamento em algum nível. Mas o filtro de endereços MAC não fornece nenhum impulso real à sua segurança Wi-Fi, então você não deve se sentir obrigado a usá-lo. A maioria das pessoas não deve se preocupar com a filtragem de endereços MAC e, se o fizer, deve saber que não é realmente um recurso de segurança.

Crédito de Imagem: nseika no Flickr