Почему вам не следует использовать фильтрацию MAC-адресов на вашем Wi-Fi роутере

Фильтрация MAC-адресов позволяет вам определить список устройств и разрешить только эти устройства в вашей сети Wi-Fi. Во всяком случае, это теория. На практике эту защиту сложно установить, и ее легко взломать.

Это одна из функций маршрутизатора Wi-Fi, которая дает вам ложное чувство безопасности. Достаточно просто использовать шифрование WPA2. Некоторым нравится использовать фильтрацию MAC-адресов, но это не функция безопасности.

Как работает фильтрация MAC-адресов

СВЯЗАННЫЙ: Не испытывайте ложного чувства безопасности: 5 небезопасных способов защитить свой Wi-Fi

Каждое ваше устройство имеет уникальный адрес управления доступом к среде (MAC-адрес), который идентифицирует его в сети. Обычно маршрутизатор позволяет подключаться любому устройству, если ему известна соответствующая кодовая фраза. При фильтрации MAC-адресов маршрутизатор сначала сравнивает MAC-адрес устройства с утвержденным списком MAC-адресов и разрешает устройству подключаться к сети Wi-Fi только в том случае, если его MAC-адрес был специально одобрен.

Ваш маршрутизатор, вероятно, позволяет вам настроить список разрешенных MAC-адресов в его веб-интерфейсе, что позволит вам выбрать, какие устройства могут подключаться к вашей сети.

Фильтрация MAC-адресов не обеспечивает безопасности

Пока это звучит неплохо. Но MAC-адреса можно легко подделать во многих операционных системах, поэтому любое устройство может притвориться, что имеет один из разрешенных уникальных MAC-адресов.

MAC-адреса также легко получить. Они отправляются по воздуху с каждым пакетом, поступающим на устройство и от него, поскольку MAC-адрес используется для обеспечения того, чтобы каждый пакет попадал на нужное устройство.

СВЯЗАННЫЕ: Как злоумышленник может взломать безопасность вашей беспроводной сети

Все, что нужно сделать злоумышленнику, - это отслеживать трафик Wi-Fi в течение секунды или двух, исследовать пакет, чтобы найти MAC-адрес разрешенного устройства, изменить MAC-адрес своего устройства на этот разрешенный MAC-адрес и подключиться на месте этого устройства. Вы можете подумать, что это будет невозможно, потому что устройство уже подключено, но атака «deauth» или «deassoc», которая принудительно отключает устройство от сети Wi-Fi, позволит злоумышленнику повторно подключиться на своем месте.

Мы здесь не преувеличиваем. Злоумышленник с таким набором инструментов, как Kali Linux, может использовать Wireshark для прослушивания пакета, запустить быструю команду для изменения своего MAC-адреса, использовать aireplay-ng для отправки пакетов деассоциации этому клиенту, а затем подключиться вместо него. Весь этот процесс может занять менее 30 секунд. И это всего лишь ручной метод, который включает выполнение каждого шага вручную - не говоря уже об автоматизированных инструментах или сценариях оболочки, которые могут сделать это быстрее.

Шифрование WPA2 достаточно

СВЯЗАННО: шифрование WPA2 вашего Wi-Fi можно взломать в автономном режиме: вот как

На этом этапе вы можете подумать, что фильтрация MAC-адресов не является надежной, но предлагает некоторую дополнительную защиту по сравнению с использованием простого шифрования. Это вроде как правда, но не совсем.

По сути, пока у вас есть надежная парольная фраза с шифрованием WPA2, взломать это шифрование будет сложнее всего. Если злоумышленник сможет взломать ваше шифрование WPA2, ему будет легко обмануть фильтрацию MAC-адресов. Если злоумышленник будет сбит с толку фильтрацией MAC-адресов, он определенно не сможет взломать ваше шифрование.

Думайте об этом, как о добавлении велосипедного замка к двери хранилища банка. У любого грабителя банка, который сможет пройти через дверь банковского хранилища, не возникнет проблем с разрезанием велосипедного замка. Вы не добавили никакой реальной дополнительной защиты, но каждый раз, когда сотруднику банка требуется доступ к хранилищу, ему приходится тратить время на то, чтобы разобраться с велосипедным замком.

Это утомительно и отнимает много времени

СВЯЗАННЫЕ: 10 полезных опций, которые вы можете настроить в веб-интерфейсе маршрутизатора

Время, потраченное на это, - основная причина, по которой вам не стоит беспокоиться. Когда вы в первую очередь настраиваете фильтрацию MAC-адресов, вам необходимо получить MAC-адрес от каждого устройства в вашем доме и разрешить его в веб-интерфейсе вашего маршрутизатора. Это займет некоторое время, если у вас много устройств с поддержкой Wi-Fi, как это делает большинство людей.

Всякий раз, когда вы получаете новое устройство - или когда к вам приходит гость и ему нужно использовать ваш Wi-Fi на своих устройствах, вам придется зайти в веб-интерфейс вашего маршрутизатора и добавить новые MAC-адреса. Это поверх обычного процесса настройки, когда вы должны вставить парольную фразу Wi-Fi в каждое устройство.

Это просто добавляет в вашу жизнь дополнительную работу. Эти усилия должны окупиться лучшей безопасностью, но из-за минимального или несуществующего повышения безопасности, которое вы получаете, это не стоит вашего времени.

Это функция сетевого администрирования

Фильтрация MAC-адресов при правильном использовании - это скорее функция сетевого администрирования, чем функция безопасности. Это не защитит вас от посторонних, которые пытаются активно взломать ваше шифрование и проникнуть в вашу сеть. Однако это позволит вам выбрать, какие устройства разрешены в сети.

Например, если у вас есть дети, вы можете использовать фильтрацию MAC-адресов, чтобы запретить их ноутбуку или смартфону доступ к сети Wi-Fi, если вам нужно заземлить их и лишить доступа к Интернету. Дети могут обойти этот родительский контроль с помощью некоторых простых инструментов, но они этого не знают.

Вот почему многие маршрутизаторы также имеют другие функции, которые зависят от MAC-адреса устройства. Например, они могут позволить вам включить веб-фильтрацию по определенным MAC-адресам. Или вы можете запретить устройствам с определенными MAC-адресами доступ в Интернет в школьные часы. На самом деле это не функции безопасности, так как они не предназначены для остановки злоумышленника, который знает, что делает.

Если вы действительно хотите использовать фильтрацию MAC-адресов для определения списка устройств и их MAC-адресов и администрирования списка устройств, разрешенных в вашей сети, не стесняйтесь. Некоторым людям действительно нравится такое управление на каком-то уровне. Но фильтрация MAC-адресов не дает реального повышения безопасности вашего Wi-Fi, поэтому вы не должны чувствовать себя обязанным ее использовать. Большинству людей не стоит беспокоиться о фильтрации MAC-адресов, и, если они это сделают, должны знать, что на самом деле это не функция безопасности.

Кредит изображения: nseika на Flickr