Per què no heu d’utilitzar el filtratge d’adreces MAC al router Wi-Fi
El filtratge d'adreces MAC us permet definir una llista de dispositius i només permetre'ls a la vostra xarxa Wi-Fi. Aquesta és la teoria, de totes maneres. A la pràctica, aquesta protecció és tediós d’instal·lar i fàcil d’incomplir.
Aquesta és una de les funcions del router Wi-Fi que us proporcionarà una falsa sensació de seguretat. Només cal utilitzar el xifratge WPA2. A algunes persones els agrada fer servir el filtratge d’adreces MAC, però no és una funció de seguretat.
Com funciona el filtratge d'adreces MAC
RELACIONATS:No tingueu un fals sentit de seguretat: 5 maneres insegures de protegir el vostre Wi-Fi
Tots els dispositius que teniu inclou una adreça de control d’accés als mitjans (adreça MAC) única que l’identifica a la xarxa. Normalment, un enrutador permet connectar qualsevol dispositiu, sempre que conegui la contrasenya adequada. Amb el filtratge d’adreces MAC, un enrutador compararà primer l’adreça MAC d’un dispositiu amb una llista aprovada d’adreces MAC i només permetrà un dispositiu a la xarxa Wi-Fi si la seva adreça MAC s’ha aprovat específicament.
El vostre enrutador probablement us permetrà configurar una llista d’adreces MAC permeses a la seva interfície web, cosa que us permetrà escollir quins dispositius es poden connectar a la vostra xarxa.
El filtratge d'adreces MAC no proporciona seguretat
Fins ara, això sona força bé. Però les adreces MAC es poden falsificar fàcilment en molts sistemes operatius, de manera que qualsevol dispositiu pot pretendre tenir una d’aquestes adreces MAC úniques.
Les adreces MAC també són fàcils d’obtenir. S’envien per antena amb cada paquet que va des del dispositiu, ja que l’adreça MAC s’utilitza per garantir que cada paquet arribi al dispositiu adequat.
RELACIONATS:Com un atacant podria trencar la seguretat de la vostra xarxa sense fils
Tot el que ha de fer un atacant és controlar el trànsit Wi-Fi durant un segon o dos, examinar un paquet per trobar l’adreça MAC d’un dispositiu permès, canviar l’adreça MAC del dispositiu a l’adreça MAC permesa i connectar-se al lloc d’aquest dispositiu. És possible que estigueu pensant que això no serà possible perquè el dispositiu ja està connectat, però un atac "deauth" o "deassoc" que desconnecti per força un dispositiu d'una xarxa Wi-Fi permetrà a un atacant tornar a connectar-se al seu lloc.
No estem exagerant aquí. Un atacant amb un conjunt d’eines com Kali Linux pot utilitzar Wireshark per escoltar un paquet, executar una ordre ràpida per canviar la seva adreça MAC, utilitzar aireplay-ng per enviar paquets de desassociació a aquest client i connectar-se al seu lloc. Tot aquest procés pot trigar fàcilment menys de 30 segons. I aquest és només el mètode manual que implica fer cada pas a mà, sense importar les eines automatitzades ni els scripts d’intèrpret d’ordres que poden fer-ho més ràpid.
El xifratge WPA2 és suficient
RELACIONATS:El xifratge WPA2 del vostre Wi-Fi es pot desconnectar sense connexió: a continuació s'explica com
En aquest punt, és possible que estigueu pensant que el filtratge d’adreces MAC no és infal·lible, però ofereix una protecció addicional només amb l’ús de xifratge. És cert, però no realment.
Bàsicament, sempre que tingueu una frase de contrasenya forta amb xifratge WPA2, aquest xifratge serà el més difícil d’esquivar. Si un atacant pot trencar el xifratge WPA2, serà trivial que enganyi el filtratge d’adreces MAC. Si un atacant es veuria enfonsat pel filtratge d’adreces MAC, definitivament no serà capaç de trencar el vostre xifratge.
Penseu en això com afegir un pany per a bicicletes a una porta de volta de banc. Els lladres de bancs que puguin passar per aquesta porta del magatzem no tindran problemes per tallar un pany de bicicleta. No heu afegit cap seguretat addicional real, però cada vegada que un empleat del banc necessita accedir al magatzem, ha de dedicar temps a fer front al pany de la bicicleta.
És tediós i consumeix molt de temps
RELACIONATS:10 opcions útils que podeu configurar a la interfície web del vostre enrutador
El temps dedicat a gestionar-ho és la raó principal per la qual no us heu de molestar. Quan configureu el filtratge d’adreces MAC en primer lloc, haureu d’obtenir l’adreça MAC de tots els dispositius de la vostra llar i permetre-la a la interfície web del vostre encaminador. Això trigarà una mica si teniu molts dispositius compatibles amb Wi-Fi, com fa la majoria de la gent.
Sempre que obtingueu un dispositiu nou (o aparegui un convidat i hagi d’utilitzar la vostra connexió Wi-Fi als seus dispositius), haureu d’entrar a la interfície web del router i afegir les adreces MAC noves. Això se situa a la part superior del procés de configuració habitual en què heu d’endollar la contrasenya Wi-Fi a cada dispositiu.
Això només afegeix treball addicional a la vostra vida. Aquest esforç hauria de donar els seus fruits amb una millor seguretat, però l’increment de seguretat minúscul a inexistent que obteniu fa que això no valgui la pena.
Aquesta és una funció d'administració de xarxa
El filtratge d’adreces MAC, que s’utilitza correctament, és més una funció d’administració de xarxa que una funció de seguretat. No us protegirà contra els forasters que intentin trencar activament el vostre xifratge i accedir a la vostra xarxa. Tanmateix, us permetrà escollir quins dispositius es permeten en línia.
Per exemple, si teniu fills, podeu utilitzar el filtratge d’adreces MAC per impedir que el seu ordinador portàtil o el seu telèfon intel·ligent accedeixin a la xarxa Wi-Fi si els cal connectar-los a terra i treure’ls accés a Internet. Els nens podrien evitar aquests controls parentals amb algunes eines senzilles, però no ho saben.
És per això que molts routers també tenen altres funcions que depenen de l’adreça MAC d’un dispositiu. Per exemple, us poden permetre activar el filtratge web en adreces MAC específiques. O bé, podeu evitar que dispositius amb adreces MAC específiques accedeixin al web durant l’horari escolar. No són realment funcions de seguretat, ja que no estan dissenyades per aturar un atacant que sàpiga què fa.
Si realment voleu utilitzar el filtratge d’adreces MAC per definir una llista de dispositius i les seves adreces MAC i administrar la llista de dispositius permesos a la vostra xarxa, no dubteu. Algunes persones realment gaudeixen d’aquest tipus de gestió en algun nivell. Però el filtratge d’adreces MAC no proporciona cap impuls real a la seguretat de la Wi-Fi, de manera que no us heu de sentir obligat a fer-lo servir. La majoria de la gent no s’ha de preocupar pel filtratge d’adreces MAC i, si ho fa, hauria de saber que no és realment una característica de seguretat.
Crèdit de la imatge: nseika a Flickr