See on Wi-Fi ruuteri funktsioon, mis annab sulle vale turvatunde. Lihtsalt WPA2-krüpteering on piisav. Mõnedel inimestel meeldib kasutada MAC-aadressi filtreerimist, kuid see ei ole turbefunktsioon.
Kuidas MAC-aadressifiltreerimine toimib
Teie kaasasolev seade sisaldab unikaalset meediumipöörduse juhtimise aadressi (MAC-aadress), mis tuvastab selle võrgus. Tavaliselt lubab ruuter ühendada mis tahes seadme - nii kaua, kuni ta teab asjakohast paroolifraasi. MAC-aadressi filtrimisel ruuter võrdleb esmalt seadme MAC-aadressi heakskiidetud MAC-aadresside nimekirja ja lubab seadmel ainult Wi-Fi-võrku, kui selle MAC-aadress on spetsiaalselt heaks kiidetud.
Teie ruuter võimaldab ilmselt oma veebiliideses konfigureerida lubatavate MAC-aadresside loendi, mis võimaldab teil valida, millised seadmed suudavad võrku ühenduda.
MAC-aadresside filtreerimine ei anna julgeolekut
Siiani tundub see päris hea. Kuid MAC-aadresse saab paljudes operatsioonisüsteemides hõlpsasti rämpsida, nii et kõik seadmed võivad teeselda, et neil on lubatud üksikud unikaalsed MAC-aadressid.
MAC-aadresse on ka lihtne saada. Neid saadetakse õhuga, kui iga pakett läheb seadmesse ja sealt välja, kuna MAC-aadressi kasutatakse, et tagada iga paki jõudmine õigesse seadmesse.
Kõik, mida ründaja peab tegema, on jälgida Wi-Fi liiklust sekundi või kahe sekundi jooksul, uurida paketti, et leida lubatud seadme MAC-aadress, muuta seadme MAC-aadressi selle lubatud MAC-aadressi ja ühendada selle seadme kohaga. Te võite arvata, et see ei ole võimalik, kuna seade on juba ühendatud, kuid ründaja, kes seob seadet võrgust jõuga, eemaldab deauth või deassoc, võimaldab ründajal oma kohas taasühendada.
Me ei paranda siin. Ristik, kellel on selline tööriistakomplekt nagu Kali Linux, võib Wiresharki kasutada pakettide pealtkuulamiseks, käivitada kiire käsu oma MAC-aadressi muutmiseks, kasutada selle reaalajapakettide saatmiseks seda kasutajat, seejärel ühendada selle asemel. Kogu protsess võib kergesti kuluda vähem kui 30 sekundit. Ja see on lihtsalt käsitsimeetod, mis eeldab iga sammu käsitsi teostamist - mitte kunagi silmas automatiseeritud tööriistu või shelli skripte, mis seda kiiremini teevad.
WPA2 krüptimine on küllaldane
Siinkohal võite arvata, et MAC-aadressi filtreerimine pole lollakas, kuid pakub krüptimisega võrreldes täiendavat kaitset. See on tõsi, kuid mitte tõesti.
Põhimõtteliselt, nii kaua kui teil on tugev WPA2-krüpteeringuga paroolifraas, on see krüptimine kõige raskem asi, mida peaks krakima. Kui ründaja võib teie WPA2-krüpteerimist murda, pole see nende jaoks MAC-aadresside filtreerimise petmine. Kui ründaja hakkab MAC-aadressi filtreerimist katkestama, ei suuda nad kindlasti teie krüpteerimist murda.
Mõelge sellele, et lisada pankroti uksele jalgratta lukk. Mis tahes pankrobarööre, kes pääseb selle pankade võlviukse kaudu, pole raskusi ratta luku lõikamisega. Te pole lisanud tõelist täiendavat turvalisust, kuid iga kord, kui pangatöötaja vajab veekogu juurde pääsemist, peavad nad bike lukuga tegelema.
See on tüütu ja aeganõudev
Selle haldamise aeg on peamine põhjus, miks te ei peaks vaeva nägema. Kui te seadisite kõigepealt MAC-aadresside filtreerimise, peate saama MAC-aadressi kõikidest teie leibkonna seadmetest ja lubage see ruuteri veebiliideses. See võtab veidi aega, kui teil on palju WiFi-seadmeid, nagu enamik inimesi seda teeb.
Iga kord, kui saate uue seadme - või külastaja saabub ja peab oma seadmetes oma Wi-Fi-d kasutama - peate minema oma ruuteri veebiliidese ja lisama uusi MAC-aadresse. See on tavapärase seadistamise protsessi peal, kus peate iga seadme jaoks ühendama Wi-Fi paroolifraasi.
See lihtsalt lisab teie elule täiendavat tööd. See jõupingutus peaks maksma paremaks turvalisuse tagamiseks, kuid miniscule-to-nonexistent julgeoleku suurendamine teie turvalisuses ei tee seda väärt oma aega.
See on võrguhaldusfunktsioon
MAC-aadresside filtreerimine, mida korralikult kasutatakse, on pigem võrguhaldusfunktsioon kui turbefunktsioon. See ei kaitse teid kõrvaliste eest, kes püüavad aktiivselt oma krüpteerimist murda ja oma võrku pääseda. Kuid see võimaldab teil valida, millised seadmed on veebis lubatud.
Näiteks kui teil on lapsi, võite kasutada MAC-aadressi filtreerimist, et keelduda nende sülearvutist või nutitelefonist Wi-Fi-võrgule juurdepääsemiseks, kui peate neid maandama ja Interneti-ühendus ära võtma. Lapsed võisid nende vanemliku kontrolli abil minna mõned lihtsad tööriistad, kuid nad seda ei tea.
Sellepärast on paljudel ruuteritel ka muud funktsioonid, mis sõltuvad seadme MAC-aadressist. Näiteks võivad need lubada teil lubada veebifiltreerimist teatud MAC-aadressidel. Samuti võite takistada konkreetsete MAC-aadressidega seadmete juurdepääsu õppetööde ajal veebis. Need ei ole tõesti turvafunktsioonid, kuna need ei ole mõeldud ründaja jaoks, kes teab, mida nad teevad.
Kui soovite tõesti kasutada MAC-aadressi filtreerimist, et määrata seadmete loend ja nende MAC-aadressid ning hallata oma võrku lubatud seadmete loendit, võite end vabalt tunda. Mõnel inimesel on mõnel tasandil tegelikult selline juhtimine teatud tasemel. Kuid MAC-aadresside filtreerimine ei toeta teie WiFi-turvalisust, nii et te ei peaks seda sundima. Enamik inimesi ei tohiks MAC-aadresside filtreerimisega häirida, ja kui nad seda teevad, peaks ta teadma, et see pole tõepoolest turvafunktsioon.
