A MAC-címszűrés lehetővé teszi az eszközök listájának meghatározását, és csak azokat engedélyezi a Wi-Fi hálózaton. Egyébként ez az elmélet. A gyakorlatban ez a védelem unalmas felállítása és könnyen megsérthető.
Ez az egyik a Wi-Fi útválasztó olyan funkciói, amelyek hamis biztonságérzetet adnak Önnek . Elég csak a WPA2 titkosítást használni. Vannak, akik szeretik a MAC-címszűrést, de ez nem biztonsági funkció.
Hogyan működik a MAC-címszűrés
ÖSSZEFÜGGŐ: Ne legyen hamis biztonságérzete: 5 nem biztonságos módszer a Wi-Fi biztonságának biztosítására
Minden tulajdonában lévő eszköz egyedi média-hozzáférés-vezérlési címmel (MAC-címmel) rendelkezik, amely azonosítja a hálózaton. Normális esetben egy útválasztó bármely eszköz számára lehetővé teszi a csatlakozást - mindaddig, amíg ismeri a megfelelő jelszót. A MAC-cím szűrésével az útválasztó először összehasonlítja az eszköz MAC-címét a MAC-címek jóváhagyott listájával, és csak akkor enged be egy eszközt a Wi-Fi-hálózatra, ha annak MAC-címét külön jóváhagyták.
Az útválasztó valószínűleg lehetővé teszi az engedélyezett MAC-címek listájának konfigurálását a webes felületén, lehetővé téve, hogy kiválassza, mely eszközök csatlakozhatnak a hálózathoz.
A MAC-címszűrés nem nyújt biztonságot
Eddig ez elég jól hangzik. De A MAC-címek sok operációs rendszerben könnyen meghamisíthatók , így bármely eszköz úgy tehet, mintha az engedélyezett, egyedi MAC címek valamelyikével rendelkezne.
A MAC-címeket is könnyű megszerezni. A levegőben küldik őket, amikor minden csomag az eszközre megy és onnan indul, mivel a MAC-címet arra használják, hogy minden csomag a megfelelő eszközhöz jusson.
ÖSSZEFÜGGŐ: Hogyan támadhatja meg egy támadó a vezeték nélküli hálózati biztonságot
A támadónak csak annyit kell tennie, hogy egy-két másodpercig figyelemmel kíséri a Wi-Fi forgalmat, megvizsgál egy csomagot, hogy megtalálja az engedélyezett készülék MAC-címét, az eszközük MAC-címét megváltoztassa az engedélyezett MAC-címre, és csatlakozzon az adott eszköz helyéhez. Gondolhat arra, hogy ez nem lesz lehetséges, mert az eszköz már csatlakoztatva van, de egy „deauth” vagy „deassoc” támadás, amely erőszakkal választja le az eszközt a Wi-Fi hálózatról, lehetővé teszi a támadó számára, hogy újra csatlakozzon a helyére.
Itt nem túlzunk. Támadó olyan eszközkészlettel, mint a Kali Linux lehet használni Wireshark egy csomag lehallgatásához futtasson egy gyors parancsot a MAC-címük megváltoztatásához, az aireplay-ng segítségével küldje el a dezsociációs csomagokat az ügyfélnek, majd csatlakozzon a helyére. Ez az egész folyamat könnyen kevesebb, mint 30 másodpercet vehet igénybe. És ez csak a manuális módszer, amely magában foglalja az egyes lépések kézi elvégzését - ne felejtse el az automatizált eszközöket vagy a shell parancsfájlokat, amelyek ezt gyorsabbá tehetik.
Elég a WPA2 titkosítás
ÖSSZEFÜGGŐ: A Wi-Fi WPA2 titkosítása offline módon feltörhető: Itt van, hogyan
Ezen a ponton arra gondolhat, hogy a MAC-címek szűrése nem bolondbiztos, de némi kiegészítő védelmet nyújt csupán a titkosítás használatával szemben. Ez valahogy igaz, de nem igazán.
Alapvetően, amíg van erős jelszava WPA2 titkosítással, ezt a titkosítást lesz a legnehezebb feltörni. Ha egy támadó teheti feltörni a WPA2 titkosítást , triviális lesz számukra a MAC címszűrés trükkje. Ha egy támadót elüt a MAC-cím szűrése, akkor biztosan nem fogják megszakítani a titkosítást.
Gondoljon arra, mintha kerékpáros zárat adna a bank boltozat ajtajához. Bármely bankrablónak, aki át tud jutni azon a bankraktár ajtaján, nem okoz gondot a kerékpárzár levágása. Nem adott hozzá valódi kiegészítő biztonságot, de minden alkalommal, amikor egy bank alkalmazottjának hozzáférnie kell a páncélszekrényhez, időt kell töltenie a kerékpárzár kezelésével.
Unalmas és időigényes
ÖSSZEFÜGGŐ: 10 Hasznos beállítás, amelyet konfigurálhat az útválasztó webes felületén
Az ennek kezelésére fordított idő a fő oka annak, hogy ne zavarjon. Ha először beállítja a MAC-címszűrést, akkor a háztartás minden eszközéről meg kell szereznie a MAC-címet, és engedélyeznie kell azt az útválasztó webes felületén. Ez eltart egy ideig, ha sok Wi-Fi-kompatibilis eszközzel rendelkezik, ahogyan a legtöbb ember.
Amikor új eszközt kap - vagy egy vendég érkezik, és Wi-Fi-t kell használnia az eszközén -, akkor menjen az útválasztó webes felületére és adja hozzá az új MAC-címeket. Ez a szokásos telepítési folyamat tetején van, ahol minden eszközbe be kell dugnia a Wi-Fi jelszót.
Ez csak további munkát jelent az életében. Ennek az erőfeszítésnek jobb biztonsággal kell kifizetődőnek lennie, de a biztonság minimális, nem létező növelése miatt ez nem éri meg az idejét.
Ez egy hálózati adminisztrációs szolgáltatás
A megfelelően használt MAC-címszűrés inkább hálózati adminisztrációs, mint biztonsági szolgáltatás. Nem fog megvédeni a kívülállóktól, akik megpróbálják aktívan feltörni a titkosítást és bekerülni a hálózatodba. Ez azonban lehetővé teszi, hogy kiválassza, mely eszközök engedélyezettek az interneten.
Például, ha gyerekei vannak, használhatja a MAC-címszűrést annak megakadályozására, hogy laptopjuk vagy okostelefonjuk hozzáférjen a Wi-Fi hálózathoz, ha földelniük kell és el kell távolítaniuk az internet-hozzáférést. A gyerekek megkerülhették ezeket szülői felügyelet néhány egyszerű eszközzel, de ezt nem tudják.
Ezért sok útválasztón más funkciók is vannak, amelyek az eszköz MAC-címétől függenek. Például lehetővé tehetik az internetes szűrés engedélyezését meghatározott MAC-címeken. Vagy megakadályozhatja, hogy a meghatározott MAC-címmel rendelkező eszközök az iskolai órákban hozzáférjenek az internethez. Ezek valójában nem biztonsági funkciók, mivel nem úgy tervezték, hogy megállítsák a támadókat, akik tudják, mit csinálnak.
Ha valóban a MAC-címszűrést szeretné használni az eszközök és azok MAC-címeinek meghatározásához, valamint a hálózatán engedélyezett eszközök listájának kezeléséhez, nyugodtan. Vannak, akik valamilyen szinten élvezik az ilyen irányítást. De a MAC-címszűrés nem nyújt valódi lendületet a Wi-Fi biztonságának, ezért nem szabad úgy éreznie, hogy kénytelen használni. A legtöbb embernek nem szabad bajlódnia a MAC-címek szűrésével, és - ha mégis - tudnia kell, hogy ez valójában nem biztonsági funkció.
Kép jóváírása: nseika a Flickr-en
