Това е една от функциите на маршрутизатора за Wi-Fi, която ще ви даде фалшиво чувство за сигурност. Просто използването на WPA2 криптиране е достатъчно. Някои хора искат да използват филтриране на MAC адрес, но това не е функция за сигурност.
Как функционира филтрирането на MAC адресите
Всяко устройство, което притежавате, има уникален адрес за контрол на достъпа до медиите (MAC адрес), който го идентифицира в мрежа. Обикновено маршрутизаторът позволява на всяко устройство да се свърже - стига да знае подходящата парола. При филтриране на MAC адрес маршрутизаторът първо ще сравни MAC адреса на устройството с одобрен списък с MAC адреси и ще позволи на устройството да се свързва с Wi-Fi мрежа само ако неговият MAC адрес е специално одобрен.
Вашият маршрутизатор вероятно ви позволява да конфигурирате списък на разрешените MAC адреси в неговия уеб интерфейс, като ви позволява да изберете кои устройства да могат да се свързват с вашата мрежа.
Филтрирането на MAC адреси не осигурява сигурност
Досега това звучи доста добре. Но MAC адресите могат лесно да се фалшифицират в много операционни системи, така че всяко устройство може да претендира, че има един от разрешените, уникални MAC адреси.
MAC адресите са лесни за получаване. Те се изпращат по въздуха с всеки пакет, който отива към и от устройството, тъй като MAC адреса се използва, за да се гарантира, че всеки пакет ще получи правилното устройство.
Всички атакуващи трябва да направят наблюдение на трафика през Wi-Fi за секунда или две, да проверят пакета, за да намерят MAC адреса на позволено устройство, да променят MAC адреса на устройството си до този разрешен MAC адрес и да се свържат на това устройство. Може да мислите, че това няма да е възможно, защото устройството вече е свързано, но атаката "deauth" или "deassoc", която насилствено прекъсва връзката на устройство с Wi-Fi мрежа, ще позволи на атакуващия да се свърже отново на мястото си.
Ние не прекаляваме тук. Нападател с инструментариум като Kali Linux може да използва Wireshark за подслушване на пакет, да изпълни бърза команда за промяна на MAC адреса си, да използва aireplay-ng, за да изпрати пакети за деасоцииране на този клиент и след това да се свърже на мястото си. Целият процес може лесно да отнеме по-малко от 30 секунди. И това е само ръчният метод, който включва предприемането на всяка стъпка на ръка - без значение на автоматизираните инструменти или shell скриптове, които могат да направят това по-бързо.
Криптирането WPA2 е достатъчно
В този момент може би си мислите, че филтрирането на MAC адрес не е лесно, но предлага допълнителна защита срещу просто използване на криптиране. Това е нещо вярно, но не и вярно.
По принцип, стига да имате силна пропусклива ключова дума с криптиране WPA2, това криптиране ще бъде най-трудното нещо, което да се справи. Ако нападателят може да пропусне шифроването Ви WPA2, ще бъде тривиално за него да измами филтъра на MAC адреса. Ако нападателят ще бъде заличен от филтрирането на MAC адрес, определено няма да успее да наруши криптирането ви на първо място.
Помислете за това като добавяне на велосипедна ключалка към вратата на банковата секция. Всеки банков обирджия, който може да премине през вратата на банковата секция, няма да има проблеми с рязането на ключалка. Не сте добавили никаква реална допълнителна сигурност, но всеки път, когато банков служител трябва да влезе в трезора, те трябва да прекарват времето си, за да се занимават с заключването на велосипеда.
Това е досадно и време-консумират
Времето, прекарано в управлението на това, е основната причина, поради която не бива да се притеснявате. Когато настроите филтрирането на MAC адрес на първо място, ще трябва да получите MAC адреса от всяко устройство във вашето домакинство и да го разрешите в уеб интерфейса на рутера. Това ще отнеме известно време, ако имате много устройства с възможност за Wi-Fi, както повечето хора правят.
Всеки път, когато получите ново устройство - или гост идва и трябва да използва вашето Wi-Fi на техните устройства - ще трябва да отидете в уеб интерфейса на вашия маршрутизатор и да добавите новите MAC адреси. Това е в допълнение към обичайния процес на настройка, в който трябва да включите пропуск за Wi-Fi във всяко устройство.
Това просто добавя допълнителна работа към живота ви. Това усилие трябва да се изплати с по-добра сигурност, но миниатюрният и несъществуващ тласък на сигурността, който получавате, не заслужава вашето време.
Това е функция за администриране на мрежата
Филтрирането на MAC адрес, правилно използвано, е по-скоро функция за мрежова администрация, отколкото функция за защита. Тя няма да ви защити от външни хора, опитвайки се да пропуснете активно криптирането си и да влезете в мрежата си. Това обаче ще ви позволи да изберете кои устройства да са разрешени онлайн.
Например, ако имате деца, можете да използвате филтриране на MAC адреси, за да забраните на лаптопа или смартфона си да имат достъп до Wi-Fi мрежата, ако трябва да ги заземете и да отнемете достъп до Интернет. Децата биха могли да заобиколят тези родителски контрол с някои прости инструменти, но те не знаят това.
Ето защо много маршрутизатори имат и други функции, които зависят от MAC адреса на устройството. Например, те биха ви позволили да активирате филтрирането в мрежата на конкретни MAC адреси. Или можете да предотвратите достъпа на устройства с конкретни MAC адреси до мрежата по време на учебните часове. Това не са наистина функции за сигурност, тъй като те не са предназначени да спрат нападател, който знае какво правят.
Ако наистина искате да използвате филтриране на MAC адрес, за да дефинирате списък на устройствата и техните MAC адреси и да администрирате списъка с устройства, които са разрешени в мрежата, се чувствайте свободни. Някои хора всъщност се радват на този вид управление на някакво ниво. Но филтрирането на MAC адреси не дава реален тласък на вашето Wi-Fi сигурност, така че не трябва да се чувствате принудени да го използвате. Повечето хора не трябва да се занимават с филтриране на MAC адреси и - ако го правят - трябва да знаят, че това не е наистина функция за сигурност.
