Фильтрация MAC-адресов позволяет вам определить список устройств и разрешить только эти устройства в вашей сети Wi-Fi. Во всяком случае, это теория. На практике эту защиту сложно установить, и ее легко взломать.
Это один из функции маршрутизатора Wi-Fi, которые дадут вам ложное чувство безопасности . Достаточно просто использовать шифрование WPA2. Некоторым нравится использовать фильтрацию MAC-адресов, но это не функция безопасности.
Как работает фильтрация MAC-адресов
СВЯЗАННЫЕ С: Не испытывайте ложного чувства безопасности: 5 небезопасных способов защитить свой Wi-Fi
Каждое ваше устройство имеет уникальный адрес управления доступом к среде (MAC-адрес), который идентифицирует его в сети. Обычно маршрутизатор позволяет подключаться любому устройству, если ему известна соответствующая кодовая фраза. При фильтрации MAC-адресов маршрутизатор сначала сравнивает MAC-адрес устройства с утвержденным списком MAC-адресов и разрешает доступ устройству к сети Wi-Fi только в том случае, если его MAC-адрес был специально одобрен.
Ваш маршрутизатор, вероятно, позволяет вам настроить список разрешенных MAC-адресов в его веб-интерфейсе, что позволит вам выбрать, какие устройства могут подключаться к вашей сети.
Фильтрация MAC-адресов не обеспечивает безопасности
Пока это звучит неплохо. Но MAC-адреса можно легко подделать во многих операционных системах , поэтому любое устройство может претендовать на один из разрешенных уникальных MAC-адресов.
MAC-адреса также легко получить. Они отправляются по воздуху с каждым пакетом, поступающим на устройство и от него, поскольку MAC-адрес используется для обеспечения того, чтобы каждый пакет попадал на нужное устройство.
СВЯЗАННЫЕ С: Как злоумышленник может взломать безопасность вашей беспроводной сети
Все, что нужно сделать злоумышленнику, - это отслеживать трафик Wi-Fi в течение секунды или двух, исследовать пакет, чтобы найти MAC-адрес разрешенного устройства, изменить MAC-адрес своего устройства на этот разрешенный MAC-адрес и подключиться на месте этого устройства. Вы можете подумать, что это будет невозможно, потому что устройство уже подключено, но атака «deauth» или «deassoc», принудительно отключающая устройство от сети Wi-Fi, позволит злоумышленнику повторно подключиться на своем месте.
Мы здесь не преувеличиваем. Злоумышленник с таким набором инструментов, как Kali Linux можно использовать Wireshark чтобы подслушать пакет, выполните быструю команду для изменения их MAC-адреса, используйте aireplay-ng для отправки пакетов деассоциации этому клиенту, а затем подключитесь вместо него. Весь этот процесс может занять менее 30 секунд. И это всего лишь ручной метод, который предполагает выполнение каждого шага вручную - не говоря уже об автоматизированных инструментах или сценариях оболочки, которые могут сделать это быстрее.
Шифрование WPA2 достаточно
СВЯЗАННЫЕ С: Шифрование WPA2 вашего Wi-Fi можно взломать в автономном режиме: вот как
На этом этапе вы можете подумать, что фильтрация MAC-адресов не надежна, но предлагает некоторую дополнительную защиту по сравнению с использованием простого шифрования. Это вроде как правда, но не совсем.
По сути, пока у вас есть надежная парольная фраза с шифрованием WPA2, взломать это шифрование будет сложнее всего. Если злоумышленник может взломать шифрование WPA2 , им будет просто обмануть фильтрацию MAC-адресов. Если злоумышленник окажется в тупике из-за фильтрации MAC-адресов, он определенно не сможет взломать ваше шифрование.
Думайте об этом как о добавлении велосипедного замка к двери хранилища банка. Любой грабитель банка, который сможет пройти через дверь банковского хранилища, без труда вскроет замок велосипеда. Вы не добавили никакой реальной дополнительной защиты, но каждый раз, когда сотруднику банка требуется доступ к хранилищу, ему приходится тратить время на то, чтобы разбираться с велосипедным замком.
Это утомительно и отнимает много времени
СВЯЗАННЫЕ С: 10 полезных опций, которые вы можете настроить в веб-интерфейсе маршрутизатора
Время, потраченное на управление этим, - главная причина, по которой вам не стоит беспокоиться. Когда вы настраиваете фильтрацию MAC-адресов в первую очередь, вам нужно будет получить MAC-адрес от каждого устройства в вашем доме и разрешить его в веб-интерфейсе вашего маршрутизатора. Это займет некоторое время, если у вас много устройств с поддержкой Wi-Fi, как это делает большинство людей.
Каждый раз, когда вы получаете новое устройство - или когда к вам приходит гость и ему нужно использовать ваш Wi-Fi на своих устройствах, - вам придется войдите в веб-интерфейс вашего роутера и добавьте новые MAC-адреса. Это происходит в дополнение к обычному процессу настройки, когда вы должны вставить парольную фразу Wi-Fi в каждое устройство.
Это просто добавляет в вашу жизнь дополнительную работу. Эти усилия должны окупиться лучшей безопасностью, но из-за минимального или несуществующего повышения безопасности, которое вы получаете, это не стоит вашего времени.
Это функция сетевого администрирования
Фильтрация MAC-адресов при правильном использовании - это скорее функция сетевого администрирования, чем функция безопасности. Это не защитит вас от посторонних, которые пытаются активно взломать ваше шифрование и проникнуть в вашу сеть. Однако это позволит вам выбрать, какие устройства разрешены в сети.
Например, если у вас есть дети, вы можете использовать фильтрацию MAC-адресов, чтобы запретить их ноутбуку или смартфону доступ к сети Wi-Fi, если вам нужно заземлить их и лишить доступа к Интернету. Дети могли обойти эти родительский контроль с некоторыми простыми инструментами, но они этого не знают.
Вот почему у многих маршрутизаторов есть и другие функции, которые зависят от MAC-адреса устройства. Например, они могут позволить вам включить веб-фильтрацию по определенным MAC-адресам. Или вы можете запретить устройствам с определенными MAC-адресами доступ в Интернет в школьные часы. На самом деле это не функции безопасности, поскольку они не предназначены для остановки злоумышленника, который знает, что делает.
Если вы действительно хотите использовать фильтрацию MAC-адресов для определения списка устройств и их MAC-адресов и администрирования списка устройств, разрешенных в вашей сети, не стесняйтесь. Некоторым людям действительно нравится такое управление на каком-то уровне. Но фильтрация MAC-адресов не обеспечивает реального повышения безопасности Wi-Fi, поэтому вы не должны чувствовать себя обязанным ее использовать. Большинству людей не стоит беспокоиться о фильтрации MAC-адресов, и если они это сделают, они должны знать, что на самом деле это не функция безопасности.
Кредит изображения: nseika на Flickr
