Miért ne használná a MAC-cím szűrését a Wi-Fi útválasztón?

A MAC-címszűrés lehetővé teszi az eszközök listájának meghatározását, és csak azokat engedélyezi a Wi-Fi hálózaton. Egyébként ez az elmélet. A gyakorlatban ez a védelem unalmas felállítása és könnyen megsérthető.

Ez a Wi-Fi útválasztó egyik olyan funkciója, amely hamis biztonságérzetet kölcsönöz Önnek. Elég csak a WPA2 titkosítást használni. Vannak, akik szeretik a MAC-címszűrést, de ez nem biztonsági funkció.

Hogyan működik a MAC-címszűrés

KAPCSOLÓDÓ: Ne legyen hamis biztonságérzete: 5 bizonytalan módszer a Wi-Fi biztonságának biztosítására

Minden tulajdonában lévő eszköz egyedi média-hozzáférés-vezérlési címmel (MAC-címmel) rendelkezik, amely azonosítja a hálózaton. Normál esetben egy útválasztó bármely eszköz számára lehetővé teszi a csatlakozást - mindaddig, amíg ismeri a megfelelő jelszót. A MAC-cím szűrésével az útválasztó először összehasonlítja az eszköz MAC-címét a MAC-címek jóváhagyott listájával, és csak akkor enged be egy eszközt a Wi-Fi-hálózatra, ha annak MAC-címét kifejezetten jóváhagyták.

Az útválasztó valószínűleg lehetővé teszi az engedélyezett MAC-címek listájának konfigurálását a webes felületén, lehetővé téve, hogy kiválassza, mely eszközök csatlakozhatnak a hálózathoz.

A MAC-címszűrés nem nyújt biztonságot

Eddig ez elég jól hangzik. De a MAC-címek könnyen meghamisíthatók számos operációs rendszerben, így bármely eszköz úgy tehet, mintha az engedélyezett, egyedi MAC-címek egyikével rendelkezne.

A MAC-címeket is könnyű megszerezni. A levegőben küldik az egyes csomagokat az eszközre és onnan vissza, mivel a MAC címet arra használják, hogy minden csomag a megfelelő eszközhöz jusson.

KAPCSOLÓDÓ: Hogyan támadhatja meg egy támadó a vezeték nélküli hálózati biztonságot

A támadónak csak annyit kell tennie, hogy egy-két másodpercig figyelemmel kíséri a Wi-Fi forgalmat, megvizsgál egy csomagot, hogy megtalálja az engedélyezett készülék MAC-címét, az eszközük MAC-címét megváltoztassa az engedélyezett MAC-címre, és csatlakozzon az adott eszköz helyéhez. Lehet, hogy arra gondolsz, hogy ez nem lesz lehetséges, mert az eszköz már csatlakoztatva van, de egy „deauth” vagy „deassoc” támadás, amely erőszakkal választja le az eszközt a Wi-Fi hálózatról, lehetővé teszi a támadó számára, hogy újra csatlakozzon a helyére.

Nem túlzunk itt. Egy olyan eszközkészlettel rendelkező támadó, mint a Kali Linux, a Wireshark segítségével lehallgathatja a csomagokat, futtathat egy gyors parancsot a MAC-címük megváltoztatásához, az aireplay-ng használatával küldhet dezsociációs csomagokat az ügyfélnek, majd csatlakozhat a helyére. Ez az egész folyamat könnyen kevesebb, mint 30 másodpercet vehet igénybe. És ez csak a manuális módszer, amely magában foglalja az egyes lépések kézi elvégzését - ne felejtse el az automatizált eszközöket vagy a parancsfájlokat, amelyek ezt gyorsabbá tehetik.

Elég a WPA2 titkosítás

KAPCSOLÓDÓ: A Wi-Fi WPA2 titkosítása offline módon feltörhető: Itt van, hogyan

Ezen a ponton arra gondolhat, hogy a MAC-címszűrés nem bolondbiztos, de némi kiegészítő védelmet nyújt csupán a titkosítás használatával szemben. Ez valahogy igaz, de nem igazán.

Alapvetően, amíg van erős jelszava WPA2 titkosítással, ezt a titkosítást lesz a legnehezebb feltörni. Ha egy támadó feltörheti a WPA2 titkosítást, akkor triviális lesz számukra a MAC címszűrés trükkje. Ha a támadókat a MAC-címek szűrése elkábítaná, akkor biztosan nem tudják feltörni a titkosítást.

Gondoljon arra, mintha kerékpáros zárat adna a banki boltozat ajtajához. Bármely bankrablónak, aki át tud jutni azon a bankraktár ajtaján, nem okoz gondot a kerékpárzár levágása. Nem adott hozzá valódi kiegészítő biztonságot, de minden alkalommal, amikor egy banki alkalmazottnak hozzáférnie kell a páncélszekrényhez, időt kell töltenie a kerékpárzár kezelésével.

Unalmas és időigényes

KAPCSOLÓDÓ: 10 hasznos opció, amelyet beállíthat az útválasztó webes felületén

Az ennek kezelésére fordított idő a fő oka annak, hogy ne zavarjon. Ha először beállítja a MAC-cím szűrést, meg kell szereznie a háztartás minden eszközéről a MAC-címet, és engedélyeznie kell azt az útválasztó webes felületén. Ez eltart egy ideig, ha sok Wi-Fi-kompatibilis eszközzel rendelkezik, ahogyan a legtöbb ember.

Amikor új eszközt kap - vagy egy vendég érkezik, és az eszközén kell használnia a Wi-Fi-t - be kell lépnie az útválasztó webes felületére, és hozzá kell adnia az új MAC-címeket. Ez a szokásos telepítési folyamat tetején van, ahol minden eszközbe be kell dugnia a Wi-Fi jelszót.

Ez csak további munkát jelent az életében. Ennek az erőfeszítésnek jobb biztonsággal kell megtérülnie, de a biztonság minimális, a nem létező növelése miatt ez nem éri meg az idejét.

Ez egy hálózati adminisztrációs szolgáltatás

A megfelelően használt MAC-címszűrés inkább hálózati adminisztrációs, mint biztonsági funkció. Nem fog megvédeni a kívülállóktól, akik megpróbálják aktívan feltörni a titkosítást és bejutni a hálózatra. Ez azonban lehetővé teszi, hogy kiválassza, mely eszközök engedélyezettek az interneten.

Például, ha gyerekei vannak, használhatja a MAC-címszűrést annak megakadályozására, hogy laptopjuk vagy okostelefonjuk hozzáférjen a Wi-Fi hálózathoz, ha földelniük kell, és el kell távolítaniuk az internet-hozzáférést. A gyerekek néhány egyszerű eszközzel megkerülhetik ezeket a szülői felügyeletet, de ezt nem tudják.

Ezért sok útválasztón más funkciók is vannak, amelyek az eszköz MAC-címétől függenek. Például lehetővé tehetik az internetes szűrés engedélyezését meghatározott MAC-címeken. Vagy megakadályozhatja, hogy a meghatározott MAC-címmel rendelkező eszközök az iskolai órákban hozzáférjenek az internethez. Ezek valójában nem biztonsági funkciók, mivel nem olyan támadók megakadályozására készültek, akik tudják, mit csinálnak.

Ha valóban a MAC-címszűrést szeretné használni az eszközök és azok MAC-címeinek meghatározásához, valamint a hálózatán engedélyezett eszközök listájának kezeléséhez, nyugodtan. Vannak, akik valamilyen szinten élvezik az ilyen irányítást. De a MAC-címszűrés nem nyújt valódi lendületet a Wi-Fi biztonságának, ezért nem szabad úgy éreznie, hogy kénytelen használni. A legtöbb embernek nem szabad bajlódnia a MAC-címek szűrésével, és - ha mégis - tudnia kell, hogy ez valójában nem biztonsági funkció.

Kép jóváírás: nseika a Flickr-en