Фильтр mac адресов беспроводной сети

В компьютерных сетях фильтрация по MAC (или фильтрация второго уровня) относится к контролю доступа, согласно которому 48-битный адрес, присваиваемый каждой сетевой карте используется для разграничения доступа к сети.

MAC-адреса уникальны для каждой карты, поэтому с помощью фильтрации MAC-адресов можно разрешать или запрещать доступ к сети для определённых устройств за счёт использования чёрных и белых списков.

Фильтрацию по MAC в беспроводных сетях можно обойти путём сканирования MAC (например, через airodump-ng) и подмены собственного MAC на один из подтвержденных. Фильтрация MAC-адресов часто относят к безопасности через неясность. Использование фильтрация MAC-адресов может привести к ложному чувству безопасности.

Однако фильтрация по MAC адресам более эффективна в проводных сетях, так как получение доверенных адресов для нападающих является гораздо более сложной задачей.

Фильтрация Mac также используется в беспроводных корпоративных сетях с несколькими точками доступа, чтобы предотвратить общение клиентов друг с другом. Точка доступа может быть настроена так, чтобы позволять клиентам соединиться только с шлюзом по умолчанию, но никак не с другими клиентами беспроводной сети.

Безопасность портов [ править | править код ]

Некоторые устройства ведут следующую политику безопасности: фреймы из белого списка MAC-адресов допускаются через любой порт на устройстве, а из чёрного списка блокируются на всех портах. Другие устройства, такие как коммутаторы Cisco Catalyst, поддерживают фильтрацию MAC-адресов от порта к порту. Безопасности портов могут быть сконфигурированы как статический список, динамически, основываясь на первых и учитывая количество обнаруженных адресов или комбинируя эти два метода. По умолчанию при включении безопасности на порте разрешён только один MAC-адрес на порт, порт переводится в закрытое состояние, если допустимое число адресов превышено. [1]

1. Откройте веб-браузер и наберите в адресной строке http ://192.168.1.1, нажмите Enter . Имя пользователя и пароль: “ admin ”.

2. Откройте страницу Связывание IP — и MAC -адресов->Список ARP (протокол определения адреса), вы можете найти MAC -адрес компьютера, который подключен к устройству.

Читайте также:  Шнур для зарядки ipad

3. Откройте страницу Беспроводные сети->Фильтр МАС-адресов беспроводной сети, нажмите Добавить новый.

4. Введите MAC -адрес и дайте описание для него. Статус должен быть Включен, нажмите Сохранить.

5. Что касается правил фильтра, выберите Отказать и включите функцию фильтра MAC -адресов беспроводной сети.

Фильтрация MAC-адресов позволяет вам определять список устройств и разрешать только эти устройства в сети Wi-Fi. Во всяком случае, это теория. На практике эта защита является утомительной для создания и легкому нарушению.

Это одна из функций маршрутизатора Wi-Fi, которая даст вам ложное ощущение безопасности . Просто использовать шифрование WPA2 достаточно. Некоторым людям нравится использовать фильтрацию MAC-адресов, но это не функция безопасности.

Как работает фильтрация MAC-адресов

Каждое ваше устройство имеет уникальный адрес управления доступом к среде передачи (MAC-адрес), который идентифицирует его в сети. Как правило, маршрутизатор позволяет любому устройству подключаться — если он знает соответствующую кодовую фразу. При фильтрации MAC-адресов маршрутизатор сначала сравнивает MAC-адрес устройства с утвержденным списком MAC-адресов и разрешает только устройство в сети Wi-Fi, если его MAC-адрес был специально одобрен.

Возможно, ваш маршрутизатор позволяет вам настроить список разрешенных MAC-адресов в своем веб-интерфейсе, позволяя вам выбирать, какие устройства могут подключаться к вашей сети.

Фильтрация MAC-адресов не обеспечивает безопасность

MAC-адреса можно легко подделать во многих операционных системах , поэтому любое устройство может притворяться одним из тех разрешенных уникальных MAC-адресов.

MAC-адреса также легко получить. Они отправляются в эфир с каждым пакетом, идущим на устройство и с устройства, поскольку MAC-адрес используется для обеспечения того, чтобы каждый пакет попадал на нужное устройство.

Все злоумышленники должны следить за трафиком Wi-Fi на секунду или два, изучить пакет, чтобы найти MAC-адрес разрешенного устройства, изменить MAC-адрес своего устройства на этот разрешенный MAC-адрес и подключиться к нему на этом устройстве. Возможно, вы думаете, что это будет невозможно, потому что устройство уже подключено, но атака «deauth» или «deassoc», которая принудительно отключает устройство от сети Wi-Fi, позволит злоумышленнику восстановить соединение на своем месте.

Читайте также:  Сколько учатся на программиста после 9 класса

Мы здесь не увлекаемся. Злоумышленник с набором инструментов, например, Kali Linux, может использовать Wireshark для подслушивания пакета, запускать оперативную команду для изменения своего MAC-адреса, использовать aireplay-ng для отправки пакетов деассоциации на этот клиент, а затем подключаться на своем месте. Весь этот процесс может занять менее 30 секунд. И это всего лишь ручной метод, который включает в себя выполнение каждого шага вручную — не обращайте внимания на автоматизированные инструменты или сценарии оболочки, которые могут сделать это быстрее.

Шифрование WPA2 достаточно

На данный момент вы можете думать, что фильтрация MAC-адресов не является надежной, но обеспечивает некоторую дополнительную защиту только при использовании шифрования. Это похоже на истину, но не на самом деле.

В принципе, до тех пор, пока у вас есть сильная парольная фраза с шифрованием WPA2, это шифрование будет самым трудным для взлома. Если злоумышленник может взломать шифрование WPA2 , для них будет тривиально обмануть фильтрацию MAC-адресов. Если злоумышленник будет блокирован фильтрацией MAC-адресов, они, безусловно, не смогут сломать ваше шифрование в первую очередь.

Подумайте, как добавить велосипедный замок в дверь банковского хранилища. Любые грабители банков, которые могут пройти через дверь банковского хранилища, не будут иметь проблемы с блокировкой велосипедного замка. Вы не добавили никакой реальной дополнительной безопасности, но каждый раз, когда сотрудник банка должен получить доступ к хранилищу, им приходится тратить время на блокировку велосипеда.

Это утомительно и отнимает время

Время, затрачиваемое на управление этим, является основной причиной, по которой вам не следует беспокоиться. Когда вы сначала настраиваете фильтрацию MAC-адресов, вам нужно получить MAC-адрес от каждого устройства в домашнем хозяйстве и разрешить его в веб-интерфейсе вашего маршрутизатора. Это займет некоторое время, если у вас много устройств с поддержкой Wi-Fi, как это делают большинство людей.

Всякий раз, когда вы получаете новое устройство — или приходит гость, и вам нужно использовать Wi-Fi на своих устройствах, вам нужно будет войти в веб-интерфейс своего маршрутизатора и добавить новые MAC-адреса. Это выше обычного процесса настройки, когда вам нужно подключить кодовую фразу Wi-Fi на каждом устройстве.

Читайте также:  Почему пропадает мобильный интернет на телефоне

Это просто добавляет дополнительную работу в вашу жизнь. Это усилие должно окупиться лучшей защитой, но минимальное-несуществование в безопасности, которое вы получаете, делает это нецелесообразным.

Это функция сетевого администрирования

Фильтрация MAC-адресов, правильно используемая, скорее является функцией сетевого администрирования, чем функцией безопасности. Это не защитит вас от посторонних, пытающихся активно взломать ваше шифрование и попасть в вашу сеть. Тем не менее, это позволит вам выбрать, какие устройства разрешены в Интернете.

Например, если у вас есть дети, вы можете использовать фильтрацию MAC-адресов, чтобы запретить доступ к сети Wi-Fi своим ноутбуком или смартфоном, если вам нужно их заземлить и убрать доступ к Интернету. Дети могли обойти эти родительские элементы управления с помощью простых инструментов, но они этого не знают.

Вот почему многие маршрутизаторы также имеют другие функции, которые зависят от MAC-адреса устройства. Например, они могут позволить вам включить веб-фильтрацию на определенных MAC-адресах. Кроме того, вы можете запретить доступ к веб-узлам со специальными MAC-адресами в школьные часы. На самом деле это не функции безопасности, поскольку они не предназначены для того, чтобы остановить злоумышленника, который знает, что он делает.

Если вы действительно хотите использовать фильтрацию MAC-адресов для определения списка устройств и их MAC-адресов и администрирования списка устройств, разрешенных в вашей сети, не стесняйтесь. Некоторые люди на самом деле пользуются таким управлением на определенном уровне. Но фильтрация MAC-адресов не обеспечивает реального повышения безопасности Wi-Fi, поэтому вы не должны его использовать. Большинство людей не должны беспокоиться о фильтрации MAC-адресов и, если они это делают, должны знать, что это не функция безопасности.

Оставьте ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *