Kodėl neturėtumėte naudoti „Wi-Fi“ maršrutizatoriaus MAC adresų filtravimo

MAC adresų filtravimas leidžia apibrėžti įrenginių sąrašą ir leisti tuos įrenginius naudoti tik „Wi-Fi“ tinkle. Šiaip ar taip, tokia teorija. Praktiškai ši apsauga yra varginanti ir lengvai pažeidžiama.

Tai yra viena iš „Wi-Fi“ maršrutizatoriaus funkcijų, kuri suteiks klaidingą saugumo jausmą. Pakanka tik naudoti WPA2 šifravimą. Kai kuriems žmonėms patinka naudoti MAC adresų filtravimą, tačiau tai nėra saugos funkcija.

Kaip veikia MAC adresų filtravimas

SUSIJ :S: Neturėkite klaidingo saugumo jausmo: 5 nesaugūs būdai, kaip apsaugoti jūsų „Wi-Fi“

Kiekvienas jūsų turimas įrenginys turi unikalų laikmenos prieigos valdymo adresą (MAC adresą), kuris jį identifikuoja tinkle. Paprastai maršrutizatorius leidžia prisijungti bet kuriam įrenginiui, jei tik jis žino tinkamą slaptafrazę. Filtruodamas MAC adresus, maršrutizatorius pirmiausia palygins įrenginio MAC adresą su patvirtintu MAC adresų sąrašu ir leis įrenginį į „Wi-Fi“ tinklą tik tuo atveju, jei jo MAC adresas bus specialiai patvirtintas.

Jūsų maršrutizatorius tikriausiai leidžia sukonfigūruoti leidžiamų MAC adresų sąrašą jo žiniatinklio sąsajoje, leidžiant pasirinkti, kurie įrenginiai gali prisijungti prie jūsų tinklo.

MAC adresų filtravimas nesaugo

Kol kas tai skamba gana gerai. Tačiau MAC adresus galima lengvai suklastoti daugelyje operacinių sistemų, todėl bet kuris įrenginys gali apsimesti vienu iš leistinų, unikalių MAC adresų.

MAC adresus taip pat lengva gauti. Jie siunčiami oru, kiekvienam paketui einant į įrenginį ir iš jo, nes MAC adresas naudojamas siekiant užtikrinti, kad kiekvienas paketas patektų į reikiamą įrenginį.

SUSIJEDS: Kaip užpuolikas gali sugadinti jūsų belaidžio tinklo saugumą

Užpuolikas turi tik sekundę ar dvi stebėti „Wi-Fi“ srautą, ištirti paketą, kad surastų leidžiamo įrenginio MAC adresą, pakeisti jo įrenginio MAC adresą į leistiną MAC adresą ir prisijungti to įrenginio vietoje. Galbūt galvojate, kad tai nebus įmanoma, nes įrenginys jau yra prijungtas, tačiau „deauth“ ar „deassoc“ ataka, priverstinai atjungianti įrenginį nuo „Wi-Fi“ tinklo, leis užpuolikui vėl prisijungti vietoje.

Mes čia neperdedame. Užpuolikas, turintis įrankių rinkinį, pvz., „Kali Linux“, gali naudoti „Wireshark“ paketui pasiklausyti, paleisti greitą komandą, kad pakeistų jų MAC adresą, naudodamas „aireplay-ng“ nusiųs diasociacijos paketus tam klientui ir tada prisijungs vietoje. Visas šis procesas gali lengvai užtrukti mažiau nei 30 sekundžių. Ir tai tik rankinis metodas, apimantis kiekvieną žingsnį rankomis - nepamirškite automatizuotų įrankių ar „shell“ scenarijų, kurie gali tai padaryti greičiau.

Pakanka WPA2 šifravimo

SUSIJEDS: „Wi-Fi“ WPA2 šifravimas gali būti nulaužtas neprisijungus: štai kaip

Šiuo metu galite galvoti, kad MAC adresų filtravimas nėra patikimas, tačiau suteikia tam tikrą papildomą apsaugą, naudojant tik šifravimą. Tai tiesa, bet ne iš tikrųjų.

Iš esmės, jei turite stiprią slaptafrazę su WPA2 šifravimu, tą šifravimą bus sunkiausia nulaužti. Jei užpuolikas gali sugadinti jūsų WPA2 šifravimą, jiems bus nereikšminga apgauti MAC adresų filtravimą. Jei MAC adresų filtravimas užklupo užpuoliką, jis tikrai negalės sugadinti jūsų šifravimo.

Pagalvokite apie tai, kaip pridėti dviračio spyną prie banko saugyklos durų. Bet kuris banko plėšikas, galintis patekti pro tas banko saugyklos duris, neturės jokių problemų nupjaudamas dviračio užraktą. Nepridėjote jokio realaus papildomo saugumo, tačiau kiekvieną kartą, kai banko darbuotojui reikia patekti į saugyklą, jis turi praleisti laiką tvarkydamas dviračio užraktą.

Tai varginantis ir daug laiko reikalaujantis

SUSIJ : S : 10 naudingų parinkčių, kurias galite konfigūruoti savo maršrutizatoriaus žiniatinklio sąsajoje

Laikas, praleistas šiam valdant, yra pagrindinė priežastis, dėl kurios neturėtumėte jaudintis. Pirmiausia nustatę MAC adresų filtravimą, turėsite gauti MAC adresą iš kiekvieno jūsų namų įrenginio ir leisti jį naudoti savo maršrutizatoriaus žiniatinklio sąsajoje. Tai užtruks šiek tiek laiko, jei turite daug „Wi-Fi“ palaikančių įrenginių, kaip tai daro dauguma žmonių.

Kai tik gausite naują įrenginį - arba ateis svečias, kuriam reikės naudoti jūsų „Wi-Fi“ savo įrenginiuose - turėsite įeiti į savo maršrutizatoriaus žiniatinklio sąsają ir pridėti naujus MAC adresus. Tai yra įprasto sąrankos proceso viršuje, kai kiekviename įrenginyje turite prijungti „Wi-Fi“ slaptafrazę.

Tai tiesiog papildo jūsų gyvenimą. Šios pastangos turėtų pasiteisinti užtikrinant geresnį saugumą, tačiau dėl minimalaus, bet neegzistuojančio padidinto saugumo padidėjimo tai neverta jūsų laiko.

Tai yra tinklo administravimo funkcija

Tinkamai naudojamas MAC adresų filtravimas yra daugiau tinklo administravimo, o ne saugos funkcija. Tai neapsaugos jūsų nuo pašalinių žmonių, bandančių aktyviai sugadinti jūsų šifravimą ir patekti į jūsų tinklą. Tačiau tai leis jums pasirinkti, kuriuos įrenginius leidžiama naudoti internete.

Pavyzdžiui, jei turite vaikų, galite naudoti MAC adresų filtravimą, norėdami neleisti jų nešiojamam kompiuteriui ar išmaniajam telefonui prisijungti prie „Wi-Fi“ tinklo, jei jums reikia juos įžeminti ir atimti interneto prieigą. Vaikai galėtų apeiti šias tėvų kontrolės priemones naudodamiesi paprastomis priemonėmis, tačiau jie to nežino.

Štai kodėl daugelis maršrutizatorių turi ir kitų funkcijų, kurios priklauso nuo įrenginio MAC adreso. Pavyzdžiui, jie gali leisti jums įgalinti žiniatinklio filtravimą konkrečiais MAC adresais. Arba galite neleisti įrenginiams, turintiems konkrečius MAC adresus, patekti į internetą mokyklos valandomis. Tai iš tikrųjų nėra saugos funkcijos, nes jos nėra skirtos sustabdyti užpuoliką, kuris žino, ką daro.

Jei tikrai norite naudoti MAC adresų filtravimą, norėdami apibrėžti įrenginių ir jų MAC adresų sąrašą ir administruoti įrenginių, kurie leidžiami jūsų tinkle, sąrašą, nedvejodami. Kai kuriems žmonėms iš tikrųjų patinka toks valdymas tam tikru lygiu. Tačiau MAC adresų filtravimas realiai nedidina jūsų „Wi-Fi“ saugumo, todėl neturėtumėte jaustis priversti jį naudoti. Daugelis žmonių neturėtų jaudintis dėl MAC adresų filtravimo, o jei taip ir turi - turėtų žinoti, kad tai tikrai nėra saugos funkcija.

Vaizdo kreditas: nseika „Flickr“