Zakaj na usmerjevalniku Wi-Fi ne bi smeli uporabljati filtriranja naslovov MAC

Filtriranje naslovov MAC vam omogoča, da določite seznam naprav in samo te naprave v vašem omrežju Wi-Fi. To je vseeno teorija. V praksi je ta zaščita dolgočasna za namestitev in jo je enostavno kršiti.

To je ena od funkcij usmerjevalnika Wi-Fi, ki vam bo dala lažni občutek varnosti. Dovolj je samo uporaba šifriranja WPA2. Nekateri ljudje radi uporabljajo filtriranje naslovov MAC, vendar to ni varnostna funkcija.

Kako deluje filtriranje naslovov MAC

POVEZANE: Ne imejte napačnega občutka varnosti: 5 nezanesljivih načinov za zaščito vašega Wi-Fi-ja

Vsaka lastna naprava ima edinstven naslov za nadzor dostopa do medijev (naslov MAC), ki jo identificira v omrežju. Usmerjevalnik običajno dovoli, da se katera koli naprava poveže, če pozna ustrezno geslo. Z filtriranjem naslovov MAC usmerjevalnik najprej primerja naslov MAC naprave z odobrenim seznamom naslovov MAC in napravo dovoli v omrežje Wi-Fi samo, če je njen naslov MAC posebej odobren.

Vaš usmerjevalnik vam verjetno omogoča, da v spletnem vmesniku konfigurirate seznam dovoljenih naslovov MAC in tako izberete, katere naprave se lahko povežejo z vašim omrežjem.

Filtriranje naslovov MAC ne zagotavlja nobene varnosti

Zaenkrat se to sliši precej dobro. Toda naslove MAC je mogoče v številnih operacijskih sistemih zlahka podvajati, zato se lahko katera koli naprava pretvarja, da ima enega od dovoljenih, edinstvenih naslovov MAC.

Tudi naslove MAC je enostavno dobiti. Pošiljajo se po zraku z vsakim paketom, ki gre v napravo in iz nje, saj se z naslovom MAC zagotovi, da vsak paket pride na pravo napravo.

POVEZANE: Kako lahko napadalec razbije varnost vašega brezžičnega omrežja

Vse, kar mora storiti napadalec, je sekundo ali dve nadzorovati promet Wi-Fi, preučiti paket, da poišče naslov MAC dovoljene naprave, spremeniti MAC naslov svoje naprave na dovoljeni naslov MAC in se povezati na mestu te naprave. Morda razmišljate, da to ne bo mogoče, ker je naprava že priključena, toda napad »deauth« ali »deassoc«, ki prisilno odklopi napravo iz omrežja Wi-Fi, bo omogočil, da se napadalec na njenem mestu znova poveže.

Tu ne pretiravamo. Napadalec z naborom orodij, kot je Kali Linux, lahko z Wiresharkom prisluhne paketu, zažene hiter ukaz za spremembo svojega naslova MAC, z uporabo aireplay-ng pošlje pakete za odstop odjemalcu in se nato poveže na njegovo mesto. Celoten postopek lahko traja manj kot 30 sekund. In to je samo ročna metoda, ki vključuje ročno izvajanje vsakega koraka - ne glede na avtomatizirana orodja ali skripte lupine, ki lahko to pospešijo.

Šifriranje WPA2 je dovolj

POVEZANE: Šifriranje WPA2 vašega Wi-Fija je mogoče razbiti brez povezave: Evo, kako

Na tem mestu morda mislite, da filtriranje naslovov MAC ni varno, vendar ponuja nekaj dodatne zaščite pred samo uporabo šifriranja. To je nekako res, a v resnici ne.

V bistvu, če imate močno geslo s šifriranjem WPA2, bo to šifriranje najtežje razbiti. Če lahko napadalec razbije vaše šifriranje WPA2, bo trivialno filtriral naslov MAC. Če bi napadalca oviralo filtriranje naslovov MAC, zagotovo ne bo mogel razbiti vašega šifriranja.

Pomislite na to, kot da na vrata bančnega trezorja dodate kolesarsko ključavnico. Vsak ropar banke, ki lahko pride skozi vrata bančnega trezorja, ne bo imel težav z rezanjem zaklepa kolesa. Nobene dodatne varnosti niste dodali, toda vsakič, ko mora bančni uslužbenec dostopati do trezorja, mora preživeti čas, ko se ukvarja s kolesno ključavnico.

To je utrujajoče in dolgotrajno

POVEZANE: 10 uporabnih možnosti, ki jih lahko konfigurirate v spletnem vmesniku usmerjevalnika

Čas, porabljen za upravljanje s tem, je glavni razlog, da se ne bi motili. Ko najprej nastavite filtriranje naslovov MAC, boste morali naslov MAC pridobiti iz vseh naprav v vašem gospodinjstvu in ga omogočiti v spletnem vmesniku usmerjevalnika. Če imate veliko naprav, ki podpirajo Wi-Fi, bo to trajalo nekaj časa, kot to počne večina ljudi.

Vsakič, ko dobite novo napravo - ali ko pride gost in potrebuje vaš Wi-Fi v svojih napravah - boste morali vstopiti v spletni vmesnik usmerjevalnika in dodati nove naslove MAC. To je povrh običajnega postopka namestitve, kjer morate v vsako napravo vstaviti geslo za Wi-Fi.

To samo doda dodatno delo v vaše življenje. Ta trud bi se moral obrestovati z boljšo varnostjo, toda zaradi majhne do neobstoječe povečane varnosti se to ne splača.

To je funkcija omrežne administracije

Pravilno uporabljeno filtriranje naslovov MAC je bolj funkcija omrežnega upravljanja kot varnostna funkcija. Ne bo vas zaščitil pred zunanjimi osebami, ki poskušajo aktivno razbiti vaše šifriranje in vstopiti v vaše omrežje. Vendar pa boste lahko izbrali, katere naprave so dovoljene v spletu.

Če imate na primer otroke, lahko s filtriranjem naslovov MAC onemogočite njihov prenosnik ali smartphpone dostop do omrežja Wi-FI, če jih želite ozemljiti in odvzeti dostop do interneta. Otroci bi lahko te starševske kontrole obšli z nekaj preprostimi orodji, a tega ne vedo.

Zato imajo številni usmerjevalniki tudi druge funkcije, ki so odvisne od naslova MAC naprave. Na primer, morda vam omogočajo, da omogočite spletno filtriranje na določenih naslovih MAC. Lahko pa tudi preprečite dostop naprav do spleta med napravami z določenimi naslovi MAC v času šolanja. To v resnici niso varnostne funkcije, saj niso namenjene ustavitvi napadalca, ki ve, kaj počne.

Če res želite s filtriranjem naslovov MAC določiti seznam naprav in njihove naslove MAC ter upravljati seznam naprav, ki so dovoljene v vašem omrežju, vas prosimo. Nekateri ljudje na neki ravni dejansko uživajo tovrstno upravljanje. Toda filtriranje naslovov MAC resnično ne poveča vaše varnosti Wi-Fi, zato ga ne bi smeli uporabljati. Večina ljudi se ne bi smela obremenjevati s filtriranjem naslovov MAC in - če se to zgodi - bi morali vedeti, da to v resnici ni varnostna funkcija.

Prispevek slike: nseika na Flickr