Jedná sa o jeden z funkcií smerovača Wi-Fi, ktorý vám poskytne falošný pocit bezpečia. Stačí stačiť šifrovaním WPA2. Niektorí ľudia radi používajú filtrovanie MAC adries, ale nie je to bezpečnostná funkcia.
Ako funguje filtrovanie MAC adresy
Každé zariadenie, ktoré vlastníte, je vybavené unikátnou adresou riadenia prístupu k médiu (adresou MAC), ktorá ju identifikuje v sieti. Zvyčajne router umožňuje pripojiť akékoľvek zariadenie - pokiaľ vie príslušnú prístupovú frázu. Pri filtrovaní MAC adries router najprv porovná MAC adresu zariadenia so schváleným zoznamom MAC adries a povolí zariadenie iba do siete Wi-Fi, ak je jeho adresa MAC špecificky schválená.
Váš smerovač vám pravdepodobne umožňuje konfigurovať zoznam povolených adries MAC vo svojom webovom rozhraní, čo vám umožní vybrať, ktoré zariadenia sa môžu pripojiť k vašej sieti.
Filtrovanie adries MAC neposkytuje žiadnu bezpečnosť
Zatiaľ to znie celkom dobre. MAC adresy však môžu byť ľahko falšované v mnohých operačných systémoch, takže každé zariadenie môže predstierať, že má jednu z povolených, jedinečných MAC adries.
MAC adresy sa tiež ľahko dostanú. Vysielajú sa vzduchom s každým paketom, ktorý ide do a z prístroja, pretože MAC adresa sa používa na zaistenie toho, aby sa každý paket dostal na správne zariadenie.
Všetci, čo útočník musí urobiť, je sledovať prevádzku Wi-Fi na sekundu alebo dve, preskúmať paket, aby našiel MAC adresu povoleného zariadenia, zmenil MAC adresu svojho zariadenia na túto povolenú MAC adresu a pripojil sa na miesto tohto zariadenia. Možno si myslíte, že to nebude možné, pretože zariadenie je už pripojené, ale útok "deauth" alebo "deassoc", ktorý násilne odpojí zariadenie z Wi-Fi siete, umožní útočníkovi, aby sa znova pripojil na svoje miesto.
Nepreháňame tu. Útočník so súpravou nástrojov, ako je Kali Linux, môže používať službu Wireshark na odposluch na pakte, spustiť rýchly príkaz na zmenu svojej MAC adresy, použiť aireplay-ng na odoslanie deasociačných paketov tomuto klientovi a potom pripojiť na svoje miesto. Tento celý proces by mohol ľahko trvať menej ako 30 sekúnd. A to je len ručná metóda, ktorá zahŕňa vykonanie každého kroku rukou - nevadí automatizované nástroje alebo shell skripty, ktoré to dokážu rýchlejšie.
Šifrovanie WPA2 je dostatočné
V tomto okamihu si možno myslíte, že filtrovanie MAC adries nie je úplne bezpečné, ale ponúka určitú dodatočnú ochranu pred použitím šifrovania. To je pravda, ale nie naozaj.
V podstate, ak máte silnú prístupovú frázu s šifrovaním WPA2, toto šifrovanie bude najťažšia vec, ktorú by ste mohli prelomiť. Ak útočník môže odstrániť šifrovanie WPA2, bude pre ne triviálne trik filtrovanie adries MAC. Ak by bol útočník zneužitý filtrovaním MAC adries, určite nebudú schopní rozbiť šifrovanie na prvom mieste.
Premýšľajte o tom, ako by ste pridali zámok bicykla do dverí bánk. Akékoľvek bankové zlodejnice, ktoré môžu prejsť dverami trezoru banky, nebudú mať problémy s rezaním zámku motocykla. Nepridali ste žiadnu skutočnú dodatočnú bezpečnosť, ale zakaždým, keď potrebuje bankový zamestnanec prístup do trezoru, musia tráviť čas zaoberajúcim sa zámkom bicykla.
Je to zdĺhavé a časovo náročné
Čas strávený riadením tohto je hlavným dôvodom, prečo by ste nemali obťažovať. Keď nastavíte filtrovanie MAC adries na prvom mieste, budete musieť získať adresu MAC z každého zariadenia v domácnosti a povoliť to vo webovom rozhraní routeru. To bude chvíľu trvať, ak máte veľa zariadení s podporou Wi-Fi, ako väčšina ľudí.
Kedykoľvek dostanete nové zariadenie - alebo hosť príde a musí používať Wi-Fi na svojich zariadeniach - budete musieť prejsť do webového rozhrania smerovača a pridať nové MAC adresy. Toto je nad rámec bežného procesu inštalácie, kde musíte do každého zariadenia pripojiť prístupovú frázu Wi-Fi.
To práve pridáva ďalšiu prácu do vášho života. Táto snaha by sa mala vyplatiť s lepšou bezpečnosťou, ale nepoddajné zvýšenie bezpečnosti, ktoré dostanete, neoplatí váš čas.
Toto je funkcia správy siete
Správne používané filtrovanie adries MAC je viac ako funkcia správy siete ako bezpečnostná funkcia. Nebude vás ochrániť pred vonkajšími stranami, ktorí sa snažia aktívne spútať šifrovanie a dostať sa do vašej siete. Môžete si však vybrať, ktoré zariadenia sú povolené online.
Napríklad, ak máte deti, môžete použiť filtrovanie adries MAC, aby ste zabránili prístupu k sieti Wi-FI svojmu notebooku alebo smartphone, ak ich potrebujete uzemniť a odpojiť. Deti by mohli obísť tieto rodičovské kontroly pomocou niekoľkých jednoduchých nástrojov, ale to nevedia.
To je dôvod, prečo mnohé smerovače majú aj iné funkcie, ktoré závisia od MAC adresy zariadenia. Mohli by napríklad povoliť filtrovanie webových stránok na konkrétnych MAC adresách. Alebo môžete zabrániť zariadeniam s určitými MAC adries z prístupu na web počas školských hodín. Nie sú to bezpečnostné prvky, pretože nie sú určené na zastavenie útočníka, ktorý vie, čo robí.
Ak naozaj chcete použiť filtrovanie adries MAC na definovanie zoznamu zariadení a ich MAC adries a spravovanie zoznamu zariadení, ktoré sú povolené vo vašej sieti, neváhajte. Niektorí ľudia naozaj využívajú tento druh riadenia na istej úrovni. Filtrovanie adries MAC však neposkytuje skutočné zvýšenie bezpečnosti Wi-Fi, takže by ste sa nemali cítiť nútení ho používať. Väčšina ľudí by sa nemala obťažovať filtrovaním adries MAC a - ak by to mali - mali vedieť, že to nie je vlastne bezpečnostná funkcia.