Почему нельзя использовать фильтрацию MAC-адресов на своем Wi-Fi роутере

Фильтрация MAC-адресов позволяет вам определять список устройств и разрешать только эти устройства в вашей сети Wi-Fi. Во всяком случае, это сомнительная практика, так как эта защита является утомительной и легко открывает границы для взломщиков. Достаточно просто использовать шифрование WPA2, это намного безопаснее. Некоторым людям нравится использовать фильтрацию MAC-адресов, но это не функция безопасности.

 

 

Как работает фильтрация MAC-адресов

 

Каждое ваше устройство имеет уникальный адрес управления доступом к среде передачи (MAC-адрес), который идентифицирует его в сети. Как правило, маршрутизатор позволяет любому устройству подключаться, если он знает соответствующую кодовую фразу. При фильтрации MAC-адресов маршрутизатор сначала сравнивает MAC-адрес устройства с утвержденным списком MAC-адресов и разрешает только этому устройству присоединиться к сети Wi-Fi.

 

Ваш маршрутизатор позволяет вам настроить список разрешенных MAC-адресов в своем веб-интерфейсе, позволяя вам выбирать, какие устройства могут подключаться к вашей сети.

 

Пример взят с роутера TP-Link

gallery/screenshot_1
gallery/screenshot_2
gallery/screenshot_3
Вернуться назад

Фильтрация MAC-адресов - это всего лишь функция сетевого администрирования

 

Фильтрация MAC-адресов, правильно используемая, скорее является функцией сетевого администрирования, чем функцией безопасности. Это не защитит вас от посторонних, пытающихся активно взломать ваше шифрование и попасть в вашу сеть. Тем не менее, это позволит вам выбрать, какие устройства разрешены в Интернете.

 

Например, если у вас есть дети, вы можете использовать фильтрацию MAC-адресов, чтобы запретить доступ к сети Wi-Fi своим ноутбуком или смартфоном, если вам нужно убрать им доступ к Интернету. Дети могли обойти эти родительские элементы управления  с помощью простых инструментов, но они этого не знают.

 

Вот почему многие маршрутизаторы также имеют другие функции, которые зависят от MAC-адреса устройства. Например, они могут позволить вам включить веб-фильтрацию на определенных MAC-адресах. Кроме того, вы можете запретить доступ к веб-узлам со специальными MAC-адресами в школьное время суток. На самом деле это не функции безопасности, поскольку они не предназначены для того, чтобы остановить злоумышленника, который знает, что он делает.

 

Если вы хотите использовать фильтрацию MAC-адресов для определения списка устройств и их MAC-адресов и администрирования списка устройств, разрешенных в вашей сети, не стесняйтесь!!! Но помните, что это не защитит вас от злоумышленников.

Фильтрация MAC-адресов не обеспечивает безопасность

 

MAC-адреса можно легко подделать во многих операционных системах , поэтому любое устройство может притворяться одним из тех разрешенных уникальных MAC-адресов.

MAC-адреса также легко получить. Они отправляются в эфир с каждым пакетом данных, идущим на устройство и с устройства, поскольку MAC-адрес используется для обеспечения того, чтобы каждый пакет попадал на нужное устройство.

 

Чтобы подключится к вашему роутеру, злоумышленнику достаточно проследить за трафиком Wi-Fi, перехватить пакет данных, изучить пакет, чтобы найти MAC-адрес разрешенного устройства, изменить MAC-адрес своего устройства на этот разрешенный MAC-адрес и подключиться к нему. Возможно, вы думаете, что это будет невозможно, потому что устройство уже подключено. Не утешайте себя!!! С помощью атаки «deauth» или «deassoc», которая принудительно отключает устройство от сети Wi-Fi, позволит злоумышленнику восстановить соединение на своем месте.

 

Злоумышленник с набором инструментов, например, Kali Linux (в котором идет все с коробки), может использовать Wireshark  для подслушивания пакета данных, может перехватить данных, в которых будет указан как раз ваш разрешенный MAC-адрес, для подключения к сети. Весь этот процесс может занять менее 30 секунд. И это всего лишь ручной метод, который включает в себя выполнение каждого шага вручную. Но есть еще и  автоматизированные инструменты, которые могут сделать это быстрее.