Γιατί δεν πρέπει να χρησιμοποιείτε το φιλτράρισμα διευθύνσεων MAC στον δρομολογητή Wi-Fi

Το φιλτράρισμα διευθύνσεων MAC σάς επιτρέπει να ορίσετε μια λίστα συσκευών και να επιτρέπετε μόνο αυτές τις συσκευές στο δίκτυό σας Wi-Fi. Αυτή είναι η θεωρία. Στην πράξη, αυτή η προστασία είναι κουραστική για ρύθμιση και εύκολη παραβίαση.

Αυτή είναι μια από τις δυνατότητες του δρομολογητή Wi-Fi που θα σας δώσει μια ψευδή αίσθηση ασφάλειας. Αρκεί η χρήση κρυπτογράφησης WPA2. Σε ορισμένα άτομα αρέσει να χρησιμοποιούν το φιλτράρισμα διευθύνσεων MAC, αλλά δεν είναι μια λειτουργία ασφαλείας.

Πώς λειτουργεί το φιλτράρισμα διευθύνσεων MAC

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Δεν έχετε ψεύτικο αίσθημα ασφάλειας: 5 ανασφαλείς τρόποι για να ασφαλίσετε το Wi-Fi σας

Κάθε συσκευή που διαθέτετε διαθέτει μια μοναδική διεύθυνση ελέγχου πρόσβασης πολυμέσων (διεύθυνση MAC) που την αναγνωρίζει σε ένα δίκτυο. Κανονικά, ένας δρομολογητής επιτρέπει σε οποιαδήποτε συσκευή να συνδεθεί - αρκεί να γνωρίζει την κατάλληλη φράση πρόσβασης. Με το φιλτράρισμα διεύθυνσης MAC, ένας δρομολογητής θα συγκρίνει πρώτα τη διεύθυνση MAC μιας συσκευής με μια εγκεκριμένη λίστα διευθύνσεων MAC και θα επιτρέψει μια συσκευή στο δίκτυο Wi-Fi μόνο εάν η διεύθυνση MAC του έχει εγκριθεί ειδικά.

Ο δρομολογητής σας πιθανότατα σας επιτρέπει να διαμορφώσετε μια λίστα επιτρεπόμενων διευθύνσεων MAC στη διεπαφή ιστού του, επιτρέποντάς σας να επιλέξετε ποιες συσκευές μπορούν να συνδεθούν στο δίκτυό σας.

Το φιλτράρισμα διευθύνσεων MAC δεν παρέχει καμία ασφάλεια

Μέχρι στιγμής, αυτό ακούγεται αρκετά καλό. Ωστόσο, οι διευθύνσεις MAC μπορούν εύκολα να πλαστογραφηθούν σε πολλά λειτουργικά συστήματα, οπότε οποιαδήποτε συσκευή θα μπορούσε να προσποιείται ότι έχει μία από αυτές τις επιτρεπόμενες, μοναδικές διευθύνσεις MAC.

Οι διευθύνσεις MAC είναι επίσης εύκολο να ληφθούν. Στέλνονται στον αέρα με κάθε πακέτο να πηγαίνει από και προς τη συσκευή, καθώς η διεύθυνση MAC χρησιμοποιείται για να διασφαλίσει ότι κάθε πακέτο φτάνει στη σωστή συσκευή.

ΣΧΕΤΙΚΟΙ: Πώς ένας εισβολέας θα μπορούσε να σπάσει την ασφάλεια του ασύρματου δικτύου σας

Το μόνο που πρέπει να κάνει ένας εισβολέας είναι να παρακολουθεί την κυκλοφορία Wi-Fi για ένα δευτερόλεπτο ή δύο, να εξετάζει ένα πακέτο για να βρει τη διεύθυνση MAC μιας επιτρεπόμενης συσκευής, να αλλάξει τη διεύθυνση MAC της συσκευής της σε αυτήν την επιτρεπόμενη διεύθυνση MAC και να συνδεθεί στη θέση αυτής της συσκευής. Ίσως σκέφτεστε ότι αυτό δεν θα είναι δυνατό επειδή η συσκευή είναι ήδη συνδεδεμένη, αλλά μια επίθεση "deauth" ή "deassoc" που αποσυνδέει βίαια μια συσκευή από ένα δίκτυο Wi-Fi θα επιτρέψει σε έναν εισβολέα να επανασυνδεθεί στη θέση του.

Δεν ασχολούμαστε εδώ. Ένας εισβολέας με ένα σύνολο εργαλείων όπως το Kali Linux μπορεί να χρησιμοποιήσει το Wireshark για να παρακολουθήσει ένα πακέτο, να εκτελέσει μια γρήγορη εντολή για να αλλάξει τη διεύθυνση MAC του, να χρησιμοποιήσει το aireplay-ng για να στείλει πακέτα αποσύνδεσης σε αυτόν τον πελάτη και στη συνέχεια να συνδεθεί στη θέση του. Αυτή η όλη διαδικασία θα μπορούσε εύκολα να διαρκέσει λιγότερο από 30 δευτερόλεπτα. Και αυτή είναι μόνο η χειροκίνητη μέθοδος που περιλαμβάνει κάθε βήμα με το χέρι - δεν πειράζει τα αυτοματοποιημένα εργαλεία ή τα σενάρια κέλυφος που μπορούν να το κάνουν γρηγορότερο.

Η κρυπτογράφηση WPA2 είναι αρκετή

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Η κρυπτογράφηση WPA2 του Wi-Fi σας μπορεί να σπάσει εκτός σύνδεσης: Δείτε πώς

Σε αυτό το σημείο, ίσως σκέφτεστε ότι το φιλτράρισμα διευθύνσεων MAC δεν είναι αλάνθαστο, αλλά προσφέρει κάποια επιπλέον προστασία απλώς χρησιμοποιώντας κρυπτογράφηση Αυτό είναι αλήθεια, αλλά όχι πραγματικά.

Βασικά, αρκεί να έχετε μια ισχυρή φράση πρόσβασης με κρυπτογράφηση WPA2, αυτή η κρυπτογράφηση θα είναι το πιο δύσκολο πράγμα να σπάσει. Εάν ένας εισβολέας μπορεί να σπάσει την κρυπτογράφηση WPA2, θα είναι ασήμαντο για αυτούς να ξεγελάσουν το φιλτράρισμα διευθύνσεων MAC. Εάν ένας εισβολέας θα κλονίστηκε από το φιλτράρισμα διευθύνσεων MAC, σίγουρα δεν θα είναι σε θέση να σπάσει την κρυπτογράφηση σας από την πρώτη θέση.

Σκεφτείτε το σαν να προσθέτετε μια κλειδαριά ποδηλάτου σε μια πόρτα θησαυροφυλακίου τράπεζας. Τυχόν ληστές τραπεζών που μπορούν να περάσουν από την πόρτα του θησαυροφυλακίου δεν θα έχουν κανένα πρόβλημα να κόψουν μια κλειδαριά ποδηλάτου. Δεν έχετε προσθέσει πραγματική πρόσθετη ασφάλεια, αλλά κάθε φορά που ένας υπάλληλος της τράπεζας χρειάζεται να έχει πρόσβαση στο θησαυροφυλάκιο, πρέπει να ξοδεύει χρόνο να ασχολείται με το κλείδωμα ποδηλάτου.

Είναι κουραστικό και χρονοβόρο

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: 10 χρήσιμες επιλογές που μπορείτε να διαμορφώσετε στη διεπαφή Ιστού του δρομολογητή σας

Ο χρόνος που δαπανάται για τη διαχείριση αυτού είναι ο κύριος λόγος που δεν πρέπει να ενοχλείτε. Όταν ρυθμίζετε πρώτα το φιλτράρισμα διευθύνσεων MAC, θα πρέπει να λάβετε τη διεύθυνση MAC από κάθε συσκευή του νοικοκυριού σας και να την επιτρέψετε στη διεπαφή ιστού του δρομολογητή σας. Αυτό θα διαρκέσει λίγο εάν έχετε πολλές συσκευές με δυνατότητα Wi-Fi, όπως κάνουν οι περισσότεροι.

Κάθε φορά που λαμβάνετε μια νέα συσκευή - ή ένας επισκέπτης έρχεται και πρέπει να χρησιμοποιήσει το Wi-Fi στις συσκευές του - θα πρέπει να μεταβείτε στη διεπαφή ιστού του δρομολογητή σας και να προσθέσετε τις νέες διευθύνσεις MAC. Αυτό είναι πάνω από τη συνήθη διαδικασία ρύθμισης όπου πρέπει να συνδέσετε τη φράση πρόσβασης Wi-Fi σε κάθε συσκευή.

Αυτό προσθέτει απλώς επιπλέον δουλειά στη ζωή σας. Αυτή η προσπάθεια θα πρέπει να αποδώσει με καλύτερη ασφάλεια, αλλά η ελάχιστη έως ανύπαρκτη αύξηση της ασφάλειας που έχετε κάνει αυτό δεν αξίζει τον χρόνο σας.

Αυτή είναι μια δυνατότητα διαχείρισης δικτύου

Το φιλτράρισμα διευθύνσεων MAC, που χρησιμοποιείται σωστά, είναι περισσότερο ένα χαρακτηριστικό διαχείρισης δικτύου από ένα χαρακτηριστικό ασφαλείας. Δεν θα σας προστατεύσει από ξένους που προσπαθούν να σπάσουν ενεργά την κρυπτογράφηση και να μπουν στο δίκτυό σας. Ωστόσο, θα σας επιτρέψει να επιλέξετε ποιες συσκευές επιτρέπονται στο διαδίκτυο.

Για παράδειγμα, εάν έχετε παιδιά, θα μπορούσατε να χρησιμοποιήσετε το φιλτράρισμα διευθύνσεων MAC για να απαγορεύσετε την πρόσβαση του φορητού ή του έξυπνου τηλεφώνου τους στο δίκτυο Wi-FI εάν χρειαστεί να τα γειώσετε και να αφαιρέσετε την πρόσβαση στο Διαδίκτυο. Τα παιδιά θα μπορούσαν να περάσουν από αυτούς τους γονικούς ελέγχους με μερικά απλά εργαλεία, αλλά δεν το ξέρουν αυτό.

Αυτός είναι ο λόγος για τον οποίο πολλοί δρομολογητές έχουν επίσης άλλες δυνατότητες που εξαρτώνται από τη διεύθυνση MAC μιας συσκευής. Για παράδειγμα, ενδέχεται να σας επιτρέψουν να ενεργοποιήσετε το φιλτράρισμα ιστού σε συγκεκριμένες διευθύνσεις MAC. Εναλλακτικά, μπορείτε να αποτρέψετε την πρόσβαση συσκευών με συγκεκριμένες διευθύνσεις MAC στον Ιστό κατά τις σχολικές ώρες. Αυτά δεν είναι πραγματικά χαρακτηριστικά ασφαλείας, καθώς δεν έχουν σχεδιαστεί για να σταματήσουν έναν εισβολέα που ξέρει τι κάνουν.

Εάν θέλετε πραγματικά να χρησιμοποιήσετε το φιλτράρισμα διευθύνσεων MAC για να ορίσετε μια λίστα συσκευών και τις διευθύνσεις MAC τους και να διαχειριστείτε τη λίστα συσκευών που επιτρέπονται στο δίκτυό σας, μη διστάσετε. Μερικοί άνθρωποι απολαμβάνουν πραγματικά αυτό το είδος διαχείρισης σε κάποιο επίπεδο. Ωστόσο, το φιλτράρισμα διευθύνσεων MAC δεν παρέχει πραγματική ώθηση στην ασφάλεια του Wi-Fi, οπότε δεν πρέπει να αισθάνεστε υποχρεωμένοι να το χρησιμοποιήσετε. Οι περισσότεροι άνθρωποι δεν πρέπει να ασχολούνται με το φιλτράρισμα διευθύνσεων MAC και - εάν το κάνουν - πρέπει να γνωρίζουν ότι δεν είναι πραγματικά ένα χαρακτηριστικό ασφαλείας.

Πιστωτική εικόνα: nseika στο Flickr