Il filtraggio MAC non fa parte delle specifiche 802.11 ed è invece spostato nei router wireless da (la maggior parte) venditori. Il motivo per cui non fa parte delle specifiche 802.11 è perché non fornisce una vera sicurezza (tramite kerckhoff's principio ).
Affinché il wireless funzioni, gli indirizzi MAC vengono scambiati in testo in chiaro (indipendentemente dal fatto che si utilizzi WEP, WPA, WPA2 o AP APENO). Per il wireless crittografato, l'indirizzo MAC è una parte dell'handshake iniziale (utilizzato per derivare la chiave di sessione) e / o esposto durante le comunicazioni di pre-crittografia. In aggiunta a tutti questi motivi, il filtraggio MAC è anche molto più un problema di manutenzione da parte del calcio che istituire qualcosa come WPA2-PSK.
In parole povere, il filtraggio MAC non è qualcosa che deve essere "incrinato". Nelle reti aperte, le persone hanno semplicemente bisogno di annusare l'aria e saranno in grado di vedere quali dispositivi funzionano, e quindi possono usare uno di molti , molti strumenti estremamente semplici per cambiare il loro indirizzo MAC. Nelle reti crittografate, dovranno annusare e afferrare una nuova stretta di mano (che può essere facilmente forzata tramite un attacco deauth ). Da lì, hanno accesso alla tua rete.
Il mio suggerimento è di usare WPA2-PSK con una chiave strong per reti personali o WPA2-Enterprise con una modalità EAP strong (PEAP o TLS) per le reti aziendali. La differenza principale tra questi due, a parte il metodo di autenticazione e autorizzazione, è che con WPA2-PSK, se qualcuno conosce il PSK e può catturare l'handshake di un utente, può decodificare il proprio stream. Ciò non è possibile con WPA2-Enterprise, perché utilizza EAP, che ha una chiave di crittografia diversa per individuo tramite la modalità EAP. Questo è importante perché non vorrai che chiunque abbia accesso alla rete sia in grado di decifrare le comunicazioni wireless del CEO.
È anche importante notare che con WPA2-PSK, il tuo ESSID svolge un ruolo nella sicurezza della tua rete a causa di quanto segue:
DK = PBKDF2(HMAC−SHA1, passphrase, essid, 4096, 256)
Essenzialmente, WPA2-PSK usa il tuo ESSID come sale quando esegue PBKDF2. Per questo motivo, dovresti anche tentare di mantenere il tuo ESSID univoco, per evitare attacchi usando tabelle arcobaleno .
In sommario
- Il filtraggio MAC non fornisce alcun livello di sicurezza "vera"
- Utilizzare WPA2-PSK se possibile (la maggior parte degli smartphone lo supporta)
- Prova ad avere un ESSID
univoco