8Aug

Zakaj ne bi smeli uporabljati filtriranja MAC naslovov na vašem brezžičnem usmerjevalniku

Filtriranje MAC naslovov

vam omogoča, da določite seznam naprav in dovolite le te naprave v omrežju Wi-Fi. Kakorkoli, to je teorija. V praksi je ta zaščita dolgočasna za vzpostavitev in enostavno kršitev.

To je ena od funkcij usmerjevalnika Wi-Fi, ki vam daje napačen občutek varnosti. Z uporabo šifriranja WPA2 je dovolj. Nekateri ljudje radi uporabljajo filtriranje naslovov MAC, vendar to ni varnostna funkcija.

Kako deluje MAC Address Filtering

Vsaka naprava, ki jo posedujete, ima edinstven naslov za nadzor dostopa do medijev( MAC naslov), ki ga identificira v omrežju. Običajno usmerjevalnik omogoča povezavo katerekoli naprave - če pozna ustrezno geslo. Z filtriranjem naslovov MAC usmerjevalnik najprej primerja MAC-naslov naprave z odobrenim seznamom naslovov MAC in dovolijo samo napravo v omrežje Wi-Fi, če je njegov naslov MAC posebej odobren.

Vaš usmerjevalnik vam verjetno omogoča, da v svojem spletnem vmesniku konfigurirate seznam dovoljenih naslovov MAC, kar vam omogoča, da izberete, katere naprave se lahko povežejo z vašim omrežjem.

filtriranje MAC-naslovov ne zagotavlja varnosti

Do sedaj je to precej dobro. Toda MAC-naslove je mogoče zlahka prevarati v številnih operacijskih sistemih, zato se lahko vsaka naprava pretvarja, da ima enega od dovoljenih, edinstvenih naslovov MAC.

MAC naslove je tudi enostavno dobiti. Poslane so po zraku z vsakim paketom, ki gredo v napravo in iz nje, saj se MAC-naslov uporablja za zagotovitev, da vsak paket pride v pravo napravo.

Vsi napadalci morajo storiti, da spremljajo promet Wi-Fi za drugo ali dve, preučijo paket, če želite poiskati naslov MAC dovoljene naprave, spremeniti MAC-naslov svoje naprave na dovoljeni naslov MAC in se povezati na mestu te naprave. Morda razmišljate, da to ne bo mogoče, ker je naprava že povezana, ampak deauth ali deassoc napad, ki prisilno odklopi napravo iz omrežja Wi-Fi, bo omogočil, da se napadalec ponovno poveže na svoje mesto.

Tukaj ne pretiravamo. Napadalec z orodjem, kot je Kali Linux, lahko uporablja Wireshark za prisluškovanje v paketu, zaženite hiter ukaz za spremembo njihovega MAC-naslova, uporabite aireplay-ng za pošiljanje paketov za deassociation temu odjemalcu in se nato priključite na svoje mesto. Ta celoten proces bi lahko trajal manj kot 30 sekund. In to je samo ročna metoda, ki vključuje vsak korak z roko - nikoli ne moti avtomatiziranih orodij ali skriptov lupine, ki lahko to naredijo hitreje.

Enkripcija je dovolj velika

Morda razmišljate, da filtriranje naslovov MAC ni zanesljivo, ampak ponuja nekaj dodatnega varstva pred uporabo šifriranja. To je res, vendar ne res.

V bistvu, če imate močno geslo z šifriranjem WPA2, bo to najtežje šokiranje.Če napadalec lahko razbije vašo WPA2 šifriranje, je za njih trikotno, da prevare filtriranje naslovov MAC.Če bi napadalec napadel filtriranje naslovov MAC, zagotovo ne bo mogel prekiniti vašega šifriranja.

Pomislite na to, da dodate kolesno ključavnico na vrata bančnega trezorja. Vsak bančni roparji, ki lahko pritečejo skozi vrata trezorja, ne bodo imeli težav pri rezanju koles. Niste dodali nobene resnične dodatne varnosti, vendar vsakič, ko bančni delavec potrebuje dostop do trezorja, morajo preživeti čas, ko se ukvarjajo s ključavnico.

To je pomirjujoč in porabljen čas

Čas, porabljen za upravljanje tega, je glavni razlog, zakaj se ne smete truditi. Ko nastavite filtriranje MAC naslovov, morate najprej pridobiti naslov MAC iz vsake naprave v vašem gospodinjstvu in ga dovoliti v spletnem vmesniku vašega usmerjevalnika. To bo trajalo nekaj časa, če imate veliko naprav, ki podpirajo Wi-Fi, saj večina ljudi to počne.

Vsakič, ko dobite novo napravo - ali gost pride in mora uporabljati vašo Wi-Fi na svojih napravah, boste morali iti v spletni vmesnik vašega usmerjevalnika in dodati nove naslove MAC.To je poleg običajnega postopka namestitve, kjer morate v vsako napravo vnesti geslo za dostop Wi-Fi.

To samo dodaja dodatno delo v tvoje življenje. Ta trud bi se moral izplačati z boljšo varnostjo, vendar pa to neizmerno povečanje varnosti, ki ga dobite, pomeni, da to ni vredno svojega časa.

To je omrežna funkcija

filtriranje naslovov, pravilno uporabljanih, je več kot funkcija omrežne administracije kot varnostna funkcija. Ne bo vas ščitil pred tujci, ki bi poskušali aktivno ščititi vaše šifriranje in vstopiti v vaše omrežje. Vendar vam bo omogočilo, da izberete, katere naprave so dovoljene v spletu.

Na primer, če imate otroke, lahko uporabite filtriranje naslovov MAC, da onemogočite njihov prenosni računalnik ali smartphpone dostop do omrežja Wi-Fi, če jih želite izločiti in odstraniti dostop do interneta. Otroci so lahko s temi starševskimi kontrolami dobili nekaj preprostih orodij, vendar to ne vedo.

Zato mnogi usmerjevalniki imajo tudi druge funkcije, ki so odvisne od MAC naslova naprave. Na primer, lahko dovolijo, da omogočite spletno filtriranje na določenih naslovih MAC.Ali lahko napravam s posebnimi MAC-adresami preprečite dostop do spleta med šolskimi urami. To v resnici niso varnostne funkcije, saj niso namenjene zaustavitvi napadalca, ki ve, kaj počnejo.

Če res želite uporabiti filtriranje naslovov MAC za določitev seznama naprav in njihovih naslovov MAC in upravljati seznam naprav, ki so dovoljene v vašem omrežju, se počutite brezplačno. Nekateri ljudje dejansko uživajo tovrstno upravljanje na neki ravni. Vendar filtriranje naslovov MAC ne zagotavlja nobenega resničnega povečanja varnosti Wi-Fi, zato se ne smete počutiti prisilnega, da ga uporabite. Večina ljudi se ne sme truditi s filtriranjem naslovov MAC in, če se to počne, bi morale vedeti, da to ni resnična varnostna funkcija.

Image Credit: nseika na Flickr