8Aug
MAC-adressfiltrering gör att du kan definiera en lista över enheter och bara tillåta dessa enheter på ditt Wi-Fi-nätverk. Det är alltså teorin. I praktiken är detta skydd tråkigt att sätta upp och lätt att bryta mot.
Detta är en av Wi-Fi-routerfunktionerna som ger dig en falsk känsla av säkerhet. Att bara använda WPA2-kryptering är tillräckligt. Vissa människor gillar att använda MAC-adressfiltrering, men det är inte en säkerhetsfunktion.
Hur MAC-adressfiltrering fungerar
Varje enhet du äger kommer med en unik mediaåtkomstkontrolladress( MAC-adress) som identifierar den på ett nätverk. Normalt tillåter en router någon enhet att ansluta - så länge som den vet rätt passord. Med MAC-adressfiltrering jämför en router först en MAC-adress för en enhet mot en godkänd lista över MAC-adresser och tillåter endast en enhet på Wi-Fi-nätverket om dess MAC-adress har godkänts specifikt.
Din router låter dig förmodligen konfigurera en lista över tillåtna MAC-adresser i sitt webbgränssnitt, så att du kan välja vilka enheter som kan anslutas till ditt nätverk.
MAC-adressfiltrering ger ingen säkerhet
Hittills låter det ganska bra. Men MAC-adresser kan enkelt spoofed i många operativsystem, så någon enhet kan låtsas ha en av de tillåtna, unika MAC-adresserna.
MAC-adresser är också lätta att få.De skickas över luften med varje paket som går till och från enheten, eftersom MAC-adressen används för att säkerställa att varje paket kommer till rätt enhet.
Allt en angripare måste göra är att övervaka Wi-Fi-trafiken i en sekund eller två, undersöka ett paket för att hitta MAC-adressen till en tillåten enhet, ändra deras MAC-adress till den tillåtna MAC-adressen och anslut i den enhetens plats. Du kanske tror att det här inte kommer att vara möjligt eftersom enheten redan är ansluten, men en "deauth" eller "deassoc" -attack som tvingas koppla bort en enhet från ett Wi-Fi-nätverk gör det möjligt för en angripare att återansluta på plats.
Vi exagerar inte här. En angripare med en verktygssats som Kali Linux kan använda Wireshark för att avlyssna på ett paket, köra ett snabbt kommando för att ändra sin MAC-adress, använd aireplay-ng för att skicka avdelningspaket till den klienten och anslut sedan på plats. Hela processen kan lätt ta mindre än 30 sekunder. Och det är bara den manuella metoden som innebär att man gör varje steg för hand - kom aldrig ihåg de automatiska verktygen eller skalskript som kan göra det snabbare.
WPA2-kryptering är tillräckligt
Vid den här tiden kanske du tänker att MAC-adressfiltrering inte är idiotsäker, men erbjuder ytterligare skydd över att bara använda kryptering. Det är sant, men inte riktigt.
I grund och botten så länge du har en stark lösenordsfras med WPA2-kryptering kommer den kryptering att vara den svåraste att knäcka. Om en angripare kan krossa din WPA2-kryptering kommer det att vara trivialt för dem att lura MAC-adressfiltreringen. Om en angripare skulle stumas av MAC-adressfiltreringen kommer de definitivt inte att kunna bryta din kryptering i första hand.
Tänk på att du lägger till ett cykellås i en bankvalvdörr. Alla bankrörare som kan komma igenom den här bankvalvdörren har inga problem med att klippa ett cykellås. Du har inte lagt till någon riktig extra säkerhet, men varje gång en bankmedlem behöver tillgång till valvet måste de ägna sig åt cykellås.
Det är tråkigt och tidskonsumtion
Tiden att hantera detta är den främsta anledningen till att du inte bör stör. När du konfigurerar MAC-adressfiltrering i första hand måste du hämta MAC-adressen från varje enhet i ditt hushåll och tillåta den i routerns webbgränssnitt. Det tar lite tid om du har många Wi-Fi-aktiverade enheter, som de flesta gör.
När du får en ny enhet - eller om en gäst kommer över och behöver använda din Wi-Fi på sina enheter - måste du gå in i routerns webbgränssnitt och lägga till nya MAC-adresser. Detta ligger ovanpå den vanliga installationsprocessen, där du måste ansluta Wi-Fi-lösenfrasen till varje enhet.
Detta lägger bara till ytterligare arbete i ditt liv. Denna insats borde löna sig med bättre säkerhet, men det minsta möjliga ökningen av säkerheten du får gör detta inte värt din tid.
Detta är ett nätverksadministrationsfunktion
MAC-adressfiltrering, korrekt använd, är mer av en nätverksadministrationsfunktion än en säkerhetsfunktion. Det skyddar dig inte mot outsidare som försöker aktivt spricka din kryptering och komma in i ditt nätverk. Det låter dig dock välja vilka enheter som tillåts på nätet.
Om du till exempel har barn kan du använda MAC-adressfiltrering för att inte tillåta din bärbara dator eller smartphpone att komma åt Wi-Fi-nätverket om du behöver slipa dem och ta bort Internetåtkomst. Barnen kunde komma runt dessa föräldrakontroll med några enkla verktyg, men de vet inte det.
Därför har många routrar också andra funktioner som beror på en enhetens MAC-adress. De kan till exempel tillåta dig att aktivera webbfiltrering på specifika MAC-adresser. Du kan också förhindra att enheter med specifika MAC-adresser kommer åt webben under skoltiden. Det här är inte riktigt säkerhetsfunktioner, eftersom de inte är utformade för att stoppa en angripare som vet vad de gör.
Om du verkligen vill använda MAC-adressfiltrering för att definiera en lista över enheter och deras MAC-adresser och administrera listan över enheter som är tillåtna på ditt nätverk, känner du dig fri. Vissa människor tycker verkligen om den här typen av förvaltning på en viss nivå.Men MAC-adressfiltrering ger ingen verklig ökning av din Wi-Fi-säkerhet, så du borde inte känna dig tvungen att använda den. De flesta borde inte bry sig om MAC-adressfiltrering, och om de gör det borde de veta att det inte är en säkerhetsfunktion.
Bildkrediter: Nseika på Flickr