Защо не трябва да използвате филтриране на MAC адреси на вашия Wi-Fi рутер

Филтрирането по MAC адрес ви позволява да дефинирате списък с устройства и да разрешите само тези устройства във вашата Wi-Fi мрежа. Така или иначе това е теорията. На практика тази защита е досадна за настройване и лесна за нарушаване.

Това е една от функциите на Wi-Fi рутера, която ще ви даде фалшиво усещане за сигурност. Достатъчно е само използването на WPA2 криптиране. Някои хора обичат да използват филтриране на MAC адреси, но това не е функция за защита.

Как работи филтрирането на MAC адреси

СВЪРЗАНИ: Не изпитвайте фалшиво чувство за сигурност: 5 несигурни начина да защитите Wi-Fi

Всяко устройство, което притежавате, се предлага с уникален адрес за контрол на достъпа до медии (MAC адрес), който го идентифицира в мрежа. Обикновено маршрутизаторът позволява на всяко устройство да се свързва - стига да знае подходящата парола. С филтрирането на MAC адреси маршрутизаторът първо ще сравнява MAC адреса на устройството с одобрен списък с MAC адреси и разрешава устройство към Wi-Fi мрежата само ако MAC адресът му е специално одобрен.

Вашият рутер вероятно ви позволява да конфигурирате списък с разрешени MAC адреси в своя уеб интерфейс, което ви позволява да изберете кои устройства могат да се свържат към вашата мрежа.

Филтрирането на MAC адреси не осигурява сигурност

Засега това звучи доста добре. Но MAC адресите могат лесно да бъдат подправени в много операционни системи, така че всяко устройство може да се преструва, че има един от разрешените, уникални MAC адреси.

MAC адресите също са лесни за получаване. Те се изпращат по въздуха с всеки пакет, който отива към и от устройството, тъй като MAC адресът се използва, за да се гарантира, че всеки пакет стига до правилното устройство.

СВЪРЗАНИ: Как атакуващият може да пробие сигурността на вашата безжична мрежа

Всичко, което атакуващият трябва да направи, е да наблюдава Wi-Fi трафика за секунда или две, да изследва пакет, за да намери MAC адреса на разрешено устройство, да промени MAC адреса на устройството си на този разрешен MAC адрес и да се свърже на мястото на това устройство. Може би си мислите, че това няма да е възможно, тъй като устройството вече е свързано, но атака „deauth“ или „deassoc“, която насилствено изключва устройство от Wi-Fi мрежа, ще позволи на атакуващия да се свърже отново на негово място.

Тук не преувеличаваме. Атакуващият с набор от инструменти като Kali Linux може да използва Wireshark за подслушване на пакет, да изпълни бърза команда за промяна на MAC адреса си, да използва aireplay-ng за изпращане на пакети за деасоциация към този клиент и след това да се свърже на негово място. Целият този процес може лесно да отнеме по-малко от 30 секунди. И това е само ръчният метод, който включва извършването на всяка стъпка на ръка - не забравяйте за автоматизираните инструменти или скриптове на черупки, които могат да направят това по-бързо.

WPA2 криптирането е достатъчно

СВЪРЗАНИ: WPA2 кодирането на Wi-Fi може да бъде взломено офлайн: Ето как

На този етап може би си мислите, че филтрирането на MAC адреси не е надеждно, но предлага известна допълнителна защита само при използване на криптиране. Това е нещо вярно, но всъщност не.

По принцип, докато имате силна парола с WPA2 криптиране, това криптиране ще бъде най-трудното нещо за разбиване. Ако нападателят може да пробие вашето WPA2 криптиране, ще бъде тривиално за тях да подведе филтрирането на MAC адреса. Ако нападателят би бил затруднен от филтрирането по MAC адрес, той определено няма да може да наруши криптирането ви на първо място.

Помислете за това като за добавяне на ключалка за велосипед към вратата на банковия трезор. Всеки банков обирджия, който може да премине през тази врата на банковата каса, няма да има проблеми с рязането на ключалка на велосипед. Не сте добавили истинска допълнителна сигурност, но всеки път, когато служител на банка трябва да има достъп до трезора, той трябва да прекарва време, занимавайки се с ключалката на велосипеда.

Това е уморително и отнема време

СВЪРЗАНИ: 10 полезни опции, които можете да конфигурирате в уеб интерфейса на вашия рутер

Времето, прекарано в управление на това, е основната причина да не се притеснявате. Когато първо настроите филтриране на MAC адреси, ще трябва да получите MAC адреса от всяко устройство във вашето домакинство и да го разрешите в уеб интерфейса на вашия рутер. Това ще отнеме известно време, ако имате много устройства с активиран Wi-Fi, както правят повечето хора.

Всеки път, когато получите ново устройство - или гост дойде и трябва да използва вашия Wi-Fi на своите устройства - ще трябва да влезете в уеб интерфейса на вашия рутер и да добавите новите MAC адреси. Това е отгоре на обичайния процес на настройка, при който трябва да включите паролата за Wi-Fi във всяко устройство.

Това просто добавя допълнителна работа към живота ви. Това усилие трябва да се изплати с по-добра сигурност, но минималният до несъществуващ тласък на сигурността, който получавате, кара това да не си струва времето.

Това е функция за мрежово администриране

Филтрирането на MAC адреси, правилно използвано, е по-скоро функция за мрежово администриране, отколкото функция за защита. Това няма да ви предпази от външни лица, които се опитват активно да пробият криптирането ви и да влязат във вашата мрежа. Това обаче ще ви позволи да изберете кои устройства са разрешени онлайн.

Например, ако имате деца, можете да използвате филтриране на MAC адрес, за да забраните на техния лаптоп или smartphpone достъп до Wi-FI мрежата, ако трябва да ги заземите и да отнемете достъп до Интернет. Децата биха могли да заобиколят тези родителски контроли с някои прости инструменти, но те не знаят това.

Ето защо много рутери имат и други функции, които зависят от MAC адреса на устройството. Например те могат да ви позволят да активирате уеб филтриране на конкретни MAC адреси. Или можете да предотвратите достъпа на устройства с конкретни MAC адреси до мрежата по време на учебното време. Това всъщност не са функции за сигурност, тъй като не са предназначени да спрат нападател, който знае какво прави.

Ако наистина искате да използвате филтриране на MAC адреси, за да дефинирате списък с устройства и техните MAC адреси и да администрирате списъка с устройства, които са разрешени във вашата мрежа, не се колебайте. Някои хора всъщност се радват на този вид управление на някакво ниво. Но филтрирането на MAC адреси не осигурява истински тласък на вашата Wi-Fi сигурност, така че не бива да се чувствате принудени да го използвате. Повечето хора не трябва да се занимават с филтриране на MAC адреси и - ако го направят - трябва да знаят, че това всъщност не е защитна функция.

Кредит за изображение: nseika на Flickr