Šis ir viens no Wi-Fi maršrutētāja funkcijām, kas jums sniegs nepatiesu drošības sajūtu. Pietiek tikai ar WPA2 šifrēšanu. Daži cilvēki vēlas izmantot MAC adreses filtrēšanu, bet tas nav drošības līdzeklis.
Kā darbojas MAC adrešu filtrēšana
Katrai piederošai ierīcei ir unikāla multivides piekļuves kontroles adrese (MAC adrese), kas to identificē tīklā. Parasti maršrutētājs ļauj jebkurai ierīcei izveidot savienojumu - kamēr tā zina atbilstošo ieejas frāzi. Izmantojot MAC adreses filtrēšanu, maršrutētājs vispirms salīdzinās ierīces MAC adresi ar apstiprinātu MAC adreses sarakstu un atļauj tikai ierīci Wi-Fi tīklā, ja tā MAC adrese ir īpaši apstiprināta.
Iespējams, ka jūsu maršrutētājs, izmantojot tīmekļa saskarni, var konfigurēt atļauto MAC adreses sarakstu, kas ļauj jums izvēlēties, kuras ierīces var izveidot savienojumu ar jūsu tīklu.
MAC adreses filtrēšana nenodrošina drošību
Līdz šim tas izklausās diezgan labi. Bet daudzās operētājsistēmās MAC adreses var viegli spoofēt, tāpēc jebkura ierīce varētu izlikties, ka ir pieejama viena no tām unikālajām MAC adresēm.
MAC adreses ir viegli nokļūt arī. Tās tiek nosūtītas pa gaisu ar katru paketi, kas iet uz un no ierīces, jo MAC adresi izmanto, lai nodrošinātu, ka katrs pakets nokļūst pareizajā ierīcē.
Visam uzbrucējam ir jākontrolē Wi-Fi satiksme sekundē vai divas, jāpārbauda pakete, lai atrastu atļautas ierīces MAC adresi, maina ierīces MAC adresi uz šo atļauto MAC adresi un izveidotu savienojumu ar šo ierīci. Iespējams, jūs domājat, ka tas nebūs iespējams, jo ierīce jau ir savienota, bet "deauth" vai "deassoc" uzbrukums, kas piespiedu kārtā atvieno ierīci no Wi-Fi tīkla, ļaus uzbrucējam atkal izveidot savienojumu savā vietā.
Mēs šeit nepatīkam. Uzbrucējs ar rīku komplektu, piemēram, Kali Linux, var izmantot Wireshark, lai noklausītos paketē, palaist ātru komandu, lai nomainītu savu MAC adresi, izmantotu aireplay-ng, lai nosūtītu deassociation paketes šim klientam, un pēc tam pievienojiet to vietā. Viss process var viegli aizņemt mazāk nekā 30 sekundes. Un tā ir tikai manuāla metode, kas ietver katru soli ar roku - nekad neuztraucieties uz automatizētiem rīkiem vai čaulas skriptiem, kas to var padarīt ātrāk.
WPA2 šifrēšana ir pietiekama
Šajā brīdī jūs domājat, ka MAC adreses filtrēšana nav vienkāršs, bet piedāvā tikai papildu aizsardzību, izmantojot tikai šifrēšanu. Tas ir patiess, bet ne īsti.
Būtībā, tik ilgi, kamēr jums ir spēcīga ieejas frāze ar WPA2 šifrēšanu, šī šifrēšana būs vissmagākā lieta, ko var sabojāt. Ja uzbrucējs var sabojāt WPA2 šifrēšanu, viņiem nebūs nekādas mikroshēmas, lai iegūtu MAC adreses filtrēšanu. Ja uzbrucējs tiks izslēgts no MAC adreses filtrēšanas, tas noteikti nevarēs pārtraukt šifrēšanu.
Padomājiet par to, piemēram, pievienot velosipēda slēdzeni banku velves durvīm. Jebkuram banku laupītājiem, kas var nokļūt caur šīm banku vārtu durvīm, nebūs grūti nojaukt velosipēda atslēgu. Jūs neesat pievienojis nekādu papildu drošību, taču katru reizi, kad bankas darbiniekam ir nepieciešams piekļūt vaultam, viņiem ir jātērē laiks, strādājot ar velosipēda atslēgu.
Tas ir nogurdinošs un laika patēriņš
Laiks, kas pavadīts, pārvaldot šo informāciju, ir galvenais iemesls, kādēļ nevajadzētu apgrūtināt. Pirmoreiz iestatot MAC adreses filtrēšanu, jums būs jāsaņem MAC adrese no visām mājsaimniecības ierīcēm un jāatļauj to savā maršrutētāja tīmekļa saskarnē. Tas aizņem kādu laiku, ja jums ir daudz ierīču ar Wi-Fi iespējām, kā to dara lielākā daļa cilvēku.
Ikreiz, kad saņemat jaunu ierīci - vai viesi nāk un jums ir jāizmanto sava Wi-Fi savās ierīcēs, jums būs jāiet router tīmekļa saskarne un jāpievieno jaunas MAC adreses. Tas ir virs parastā iestatīšanas procesa, kurā katrā ierīcē ir jāieslēdz Wi-Fi patentfrāze.
Tas vienkārši papildina jūsu dzīvi. Šie centieni būtu jāapmaksā ar labāku drošību, taču minimizējošais līdz neeksistējošais drošības palielinājums padara to par dārgu.
Šī ir tīkla pārvaldes iezīme
MAC adrešu filtrēšana, kas tiek pareizi izmantots, vairāk ir tīkla pārvaldības funkcija nekā drošības funkcija. Tas neaizsargās tevi no nepiederošiem, kuri mēģina aktīvi ielīmēt šifrēšanu un nokļūt jūsu tīklā. Tomēr tas ļaus jums izvēlēties, kuras ierīces ir atļautas tiešsaistē.
Piemēram, ja jums ir bērni, varat izmantot MAC adrešu filtrēšanu, lai aizliegtu viņu klēpjdatoru vai viedfunkciju piekļūt Wi-FI tīklam, ja jums ir nepieciešams tos nostiprināt un noņemt piekļuvi internetam. Bērni var apmeklēt šīs vecāku kontroles ar dažiem vienkāršiem rīkiem, taču viņi to nezina.
Tāpēc daudziem maršrutētājiem ir arī citas funkcijas, kas atkarīgas no ierīces MAC adreses. Piemēram, tie var ļaut jums iespējot tīmekļa filtrēšanu konkrētās MAC adresēs. Vai arī jūs varat novērst ierīces, kurām ir konkrētas MAC adreses, piekļūt tīmeklim mācību stundu laikā. Tās nav īsti drošības funkcijas, jo tās nav paredzētas, lai apturētu uzbrucēju, kurš zina, ko viņi dara.
Ja jūs patiešām vēlaties izmantot MAC adreses filtrēšanu, lai definētu ierīču un to MAC adreses un pārvaldītu to ierīču sarakstu, kas ir atļautas jūsu tīklā, nekautrējieties. Daži cilvēki patiešām bauda šāda veida pārvaldību kādā līmenī. Bet MAC adreses filtrēšana nenodrošina Wi-Fi drošību, tāpēc jums nevajadzētu justies spiesti to izmantot. Lielākajai daļai cilvēku nevajadzētu apgrūtināt MAC adreses filtrēšanu un, ja viņi to dara, vajadzētu zināt, ka tas nav īsti drošības līdzeklis.
