Filtrovanie MAC adries vám umožňuje definovať zoznamzariadení a povoliť iba tieto zariadenia vo vašej sieti Wi-Fi. Aj tak je to teória. V praxi je táto ochrana zložitá a ľahko porušiteľná.
Toto je jedna z funkcií smerovača Wi-Fivám poskytne falošný pocit bezpečia. Stačí použiť šifrovanie WPA2. Niektorí ľudia radi používajú filtrovanie MAC adries, ale nejde o bezpečnostnú funkciu.
Ako funguje filtrovanie MAC adries
súvisiace: Nemajte falošný pocit bezpečia: 5 neistých spôsobov zabezpečenia siete Wi-Fi
Každé zariadenie, ktoré vlastníte, sa dodáva s jedinečným médiomprístupová kontrolná adresa (MAC adresa), ktorá ju identifikuje v sieti. Smerovač zvyčajne umožňuje pripojenie ľubovoľného zariadenia - pokiaľ pozná príslušnú prístupovú frázu. Pri filtrovaní MAC adries router najprv porovná MAC adresu zariadenia so schváleným zoznamom MAC adries a povolí zariadenie do siete Wi-Fi, iba ak je jeho MAC adresa špecificky schválená.
Váš smerovač pravdepodobne umožňuje nakonfigurovať zoznam povolených adries MAC vo svojom webovom rozhraní, čo vám umožňuje vybrať, ktoré zariadenia sa môžu pripojiť k vašej sieti.
Filtrovanie MAC adries neposkytuje žiadnu bezpečnosť
Zatiaľ to znie celkom dobre. V mnohých operačných systémoch je však MAC adresa ľahko spoofed, takže akékoľvek zariadenie by mohlo predstierať, že má jednu z povolených jedinečných MAC adries.
MAC adresy sa dajú tiež ľahko získať. Posielajú sa vzduchom s každým paketom smerujúcim do a zo zariadenia, pretože adresa MAC sa používa na zabezpečenie toho, aby sa každý paket dostal do správneho zariadenia.
súvisiace: Ako útočník mohol narušiť bezpečnosť vašej bezdrôtovej siete
Útočník musí monitorovať iba Wi-Fina sekundu alebo dva prenosy, preskúmajte paket a vyhľadajte MAC adresu povoleného zariadenia, zmeňte adresu MAC svojho zariadenia na povolenú adresu MAC a pripojte sa na miesto daného zariadenia. Možno si myslíte, že to nebude možné, pretože zariadenie je už pripojené, ale útok „deauth“ alebo „deassoc“, ktorý násilne odpojí zariadenie od siete Wi-Fi, umožní útočníkovi znovu sa pripojiť na svoje miesto.
Nehrozíme tu. Útočník so sadou nástrojov, ako je Kali Linux, môže použiť program Wireshark na odpočúvanie paketu, spustenie rýchleho príkazu na zmenu svojej adresy MAC, použitie aireplay-ng na odoslanie deassociačných paketov tomuto klientovi a potom sa na jeho miesto pripojí. Celý tento proces by mohol ľahko trvať menej ako 30 sekúnd. A to je len manuálna metóda, ktorá vyžaduje vykonať každý krok ručne - nevadí automatické nástroje alebo skripty shellu, ktoré to môžu urýchliť.
Šifrovanie WPA2 je dosť
súvisiace: Šifrovanie WPA2 vášho Wi-Fi môže byť prelomené offline: Tu je postup
V tejto chvíli si možno budete myslieť, že filtrovanie adries MAC nie je spoľahlivé, ale ponúka dodatočnú ochranu pred použitím iba šifrovania. To je pravda, ale v skutočnosti to tak nie je.
V podstate, pokiaľ máte silnú siluprístupovou frázou s šifrovaním WPA2, že šifrovanie bude najťažšie nalomiť. Ak útočník dokáže prelomiť vaše šifrovanie WPA2, bude triviálne pre neho trik filtrovania MAC adries. Ak by bol útočník napadnutý filtrovaním adries MAC, určite v prvom rade nedokáže prerušiť šifrovanie.
Pomyslite na to, ako by ste do banky pridali zámok na bicykeldvere trezoru. Akékoľvek bankové lupiči, ktorí sa dokážu dostať cez tieto dvere bankového trezoru, nebudú mať problémy s prerezaním zámku bicykla. Nepridali ste žiadne skutočné dodatočné zabezpečenie, ale zakaždým, keď zamestnanec banky potrebuje prístup do trezoru, musí sa venovať zámku bicykla.
Je to únavné a časovo náročné
súvisiace: 10 užitočných možností, ktoré môžete nakonfigurovať vo webovom rozhraní smerovača
Čas strávený spravovaním tohto je hlavným dôvodomnemali by ste sa obťažovať. Keď nastavíte filtrovanie MAC adries na prvom mieste, musíte získať MAC adresu zo všetkých zariadení v domácnosti a povoliť ju vo webovom rozhraní smerovača. Ak máte veľa zariadení s pripojením Wi-Fi, ako to robí väčšina ľudí, bude to chvíľu trvať.
Kedykoľvek dostanete nové zariadenie - alebo príde hosťa musíte na svojich zariadeniach používať Wi-Fi - budete musieť prejsť do webového rozhrania smerovača a pridať nové adresy MAC. Toto je na vrchole zvyčajného procesu nastavenia, keď musíte do každého zariadenia pripojiť prístupovú frázu Wi-Fi.
To len pridáva ďalšiu prácu do vášho života. Toto úsilie by sa malo vyplatiť s lepšou bezpečnosťou, ale vďaka minimálnemu zvýšeniu bezpečnosti, ktoré získate, to nestojí za váš čas.
Toto je funkcia správy siete
Správne používané je filtrovanie MAC adriesfunkcia správy siete ako funkcia zabezpečenia. Nechráni vás to pred cudzími pokusmi aktívne narušiť vaše šifrovanie a dostať sa do vašej siete. Umožní vám to však vybrať, ktoré zariadenia sú povolené online.
Napríklad, ak máte deti, môžete použiť MACfiltrovanie adries, aby sa ich prenosnému počítaču alebo smartphpone zabránilo v prístupe k sieti Wi-FI, ak ich potrebujete uzemniť a zrušiť prístup na internet. Deti mohli obísť tieto rodičovské kontroly pomocou jednoduchých nástrojov, ale to nevedia.
Preto má mnoho smerovačov aj ďalšie funkciektoré závisia od MAC adresy zariadenia. Môžu vám napríklad povoliť filtrovanie webu na konkrétnych adresách MAC. Môžete tiež zabrániť zariadeniam s konkrétnymi MAC adresami v prístupe na web počas školských hodín. Nejde o bezpečnostné funkcie, pretože nie sú navrhnuté tak, aby zastavili útočníka, ktorý vie, čo robí.
Ak naozaj chcete používať filtrovanie MAC adriesAk chcete definovať zoznam zariadení a ich MAC adries a spravovať zoznam zariadení, ktoré sú povolené vo vašej sieti, neváhajte. Niektorí ľudia sa skutočne tešia tomuto druhu riadenia na určitej úrovni. Filtrovanie MAC adries však neprináša skutočné zvýšenie zabezpečenia Wi-Fi, takže by ste sa nemali cítiť nútení ho používať. Väčšina ľudí by sa nemala obťažovať filtrovaním adries MAC a - ak áno, mali by vedieť, že to v skutočnosti nie je bezpečnostná funkcia.
Image Credit: nseika on Flickr
