Hvorfor du ikke skal bruge MAC-adressefiltrering på din Wi-Fi-router

MAC-adressefiltrering giver dig mulighed for at definere en liste over enheder og kun tillade disse enheder på dit Wi-Fi-netværk. Det er alligevel teorien. I praksis er denne beskyttelse kedelig at oprette og let at overtræde.

Dette er en af ​​Wi-Fi-routerens funktioner, der giver dig en falsk følelse af sikkerhed. Bare det at bruge WPA2-kryptering er nok. Nogle mennesker kan lide at bruge MAC-adressefiltrering, men det er ikke en sikkerhedsfunktion.

Sådan fungerer MAC-adressefiltrering

RELATERET: Har ikke en falsk følelse af sikkerhed: 5 usikre måder at sikre din Wi-Fi på

Hver enhed, du ejer, leveres med en unik medieadgangskontroladresse (MAC-adresse), der identificerer den på et netværk. Normalt tillader en router enhver enhed at oprette forbindelse - så længe den kender den passende adgangssætning. Med MAC-adressefiltrering sammenligner en router først en enheds MAC-adresse med en godkendt liste over MAC-adresser og tillader kun en enhed på Wi-Fi-netværket, hvis dens MAC-adresse er specifikt godkendt.

Din router giver dig sandsynligvis mulighed for at konfigurere en liste over tilladte MAC-adresser i sin webgrænseflade, så du kan vælge, hvilke enheder der kan oprette forbindelse til dit netværk.

MAC-adressefiltrering giver ingen sikkerhed

Indtil videre lyder dette ret godt. Men MAC-adresser kan let spoofes i mange operativsystemer, så enhver enhed kan foregive at have en af ​​de tilladte, unikke MAC-adresser.

MAC-adresser er også lette at få. De sendes luften med hver pakke, der går til og fra enheden, da MAC-adressen bruges til at sikre, at hver pakke kommer til den rigtige enhed.

RELATERET: Hvordan en angriber kan knække din trådløse netværkssikkerhed

Alt, hvad en hacker skal gøre, er at overvåge Wi-Fi-trafikken i et sekund eller to, undersøge en pakke for at finde MAC-adressen på en tilladt enhed, ændre deres enheds MAC-adresse til den tilladte MAC-adresse og oprette forbindelse på enhedens sted. Du tænker muligvis, at dette ikke vil være muligt, fordi enheden allerede er tilsluttet, men et "deauth" eller "deassoc" -angreb, der med magt frakobler en enhed fra et Wi-Fi-netværk, giver en angriber mulighed for at oprette forbindelse igen på sin plads.

Vi exagerer ikke her. En angriber med et værktøjssæt som Kali Linux kan bruge Wireshark til at aflytte en pakke, køre en hurtig kommando for at ændre deres MAC-adresse, bruge aireplay-ng til at sende tilknytningspakker til den klient og derefter oprette forbindelse på sin plads. Hele denne proces kunne let tage mindre end 30 sekunder. Og det er bare den manuelle metode, der involverer at gøre hvert trin for hånd - husk de automatiske værktøjer eller shell-scripts, der kan gøre dette hurtigere.

WPA2-kryptering er nok

RELATERET: Din Wi-Fi's WPA2-kryptering kan knækkes offline: Sådan gør du

På dette tidspunkt tænker du måske, at MAC-adressefiltrering ikke er idiotsikker, men tilbyder en vis ekstra beskyttelse over blot at bruge kryptering. Det er slags sandt, men ikke rigtig.

Dybest set, så længe du har en stærk adgangssætning med WPA2-kryptering, vil kryptering være den sværeste ting at knække. Hvis en hacker kan knække din WPA2-kryptering, vil det være trivielt for dem at narre MAC-adressefiltreringen. Hvis en angriber ville blive stumpet af MAC-adressefiltrering, vil de bestemt ikke være i stand til at bryde din kryptering i første omgang.

Tænk på det som at tilføje en cykellås til en bankhoveddør. Enhver bankrøvere, der kan komme igennem bankdækslet, har ingen problemer med at skære en cykellås. Du har ikke tilføjet nogen reel ekstra sikkerhed, men hver gang en bankmedarbejder har brug for at få adgang til hvælvet, skal de bruge tid på at håndtere cykellåsen.

Det er kedeligt og tidskrævende

RELATERET: 10 nyttige muligheder, du kan konfigurere i din routers webgrænseflade

Den tid, der bruges på at styre dette, er hovedårsagen til, at du ikke skal gider. Når du konfigurerer MAC-adressefiltrering i første omgang, skal du hente MAC-adressen fra hver enhed i din husstand og tillade den i din routers webgrænseflade. Dette vil tage noget tid, hvis du har mange Wi-Fi-aktiverede enheder, som de fleste mennesker gør.

Når du får en ny enhed - eller hvis en gæst kommer over og har brug for din Wi-Fi på deres enheder - bliver du nødt til at gå ind i din routers webgrænseflade og tilføje de nye MAC-adresser. Dette er oven på den sædvanlige installationsproces, hvor du skal tilslutte Wi-Fi-adgangssætningen til hver enhed.

Dette tilføjer bare yderligere arbejde til dit liv. Denne indsats skal lønne sig med bedre sikkerhed, men det lille-til-ikke-eksisterende boost i sikkerhed, du får, gør dette ikke din tid værd.

Dette er en netværksadministrationsfunktion

MAC-adressefiltrering, korrekt anvendt, er mere en netværksadministrationsfunktion end en sikkerhedsfunktion. Det beskytter dig ikke mod udenforstående, der prøver at aktivt knække din kryptering og komme ind på dit netværk. Det giver dig dog mulighed for at vælge, hvilke enheder der er tilladt online.

For eksempel, hvis du har børn, kan du bruge MAC-adressefiltrering til at afvise deres bærbare eller smartphpone adgang til Wi-FI-netværket, hvis du har brug for at jordforbinde dem og fjerne internetadgang. Børnene kunne komme omkring disse forældrekontrol med nogle enkle værktøjer, men det ved de ikke.

Derfor har mange routere også andre funktioner, der afhænger af en enheds MAC-adresse. For eksempel tillader de dig muligvis at aktivere webfiltrering på bestemte MAC-adresser. Eller du kan forhindre enheder med specifikke MAC-adresser i at få adgang til internettet i skoletiden. Disse er ikke rigtig sikkerhedsfunktioner, da de ikke er designet til at stoppe en angriber, der ved hvad de laver.

Hvis du virkelig vil bruge MAC-adressefiltrering til at definere en liste over enheder og deres MAC-adresser og administrere listen over enheder, der er tilladt på dit netværk, er du velkommen. Nogle mennesker nyder faktisk denne form for ledelse på et eller andet niveau. Men MAC-adressefiltrering giver ikke noget reelt boost til din Wi-Fi-sikkerhed, så du bør ikke føle dig tvunget til at bruge den. De fleste mennesker bør ikke gider med MAC-adressefiltrering, og hvis de gør det, bør de vide, at det ikke rigtig er en sikkerhedsfunktion.

Billedkredit: nseika på Flickr