In risposta a una dichiarazione altrove che il filtraggio degli indirizzi MAC era essenzialmente inutile per proteggere una rete wifi perché era banalmente raggiungibile da strumenti di attacco di rete, mi è stato chiesto se la combinazione richiedesse un indirizzo mac e un nome computer (ad esempio "Dan" -Laptop ") funzionerebbe.
Non avendo mai visto questo raccomandato altrove sospetto che la risposta sia no; ma non ho familiarità con i protocolli wifi per sapere in un modo o nell'altro.
No. Tutto ciò di cui hai bisogno è WPA2-AES con un SSID personalizzato e una passphrase strong . Tutto ciò presuppone uno scenario "casa" in cui l'AP e i client utilizzano un PSK (chiave già condivisa). Nelle impostazioni di Enterprise ci sono un paio di altri vettori di attacco, ma una cosa carina di un PSK è che semplifica enormemente la superficie di attacco. Si tratta di un errore che l'autore dell'attacco può indovinare o non può.
Prima di tutto non ho mai visto il filtro dei nomi dei computer che in realtà filtri in base al nome del computer. Sono abbastanza sicuro che quello che stai vedendo è solo un modo più amichevole per consentire il filtraggio MAC. Quando si abilita "Dan-Laptop" nella configurazione, l'AP sta aggiungendo l'indirizzo MAC per "Dan-Laptop" all'ACL.
Anche se il tuo router implementasse il filtro del nome host che funzionava indipendentemente dagli indirizzi MAC, non avrebbe cambiato la risposta. L'unica cosa più banale da falsificare di un indirizzo MAC sarebbe un nome host. La possibilità di rinominare il nome di un computer fa parte del sistema operativo sottostante.
A cryptosystem should be secure even if everything about the system, except the key, is public knowledge.
Gli indirizzi MAC e il nome host dei client sono di dominio pubblico. Le assegnazioni degli indirizzi IP (statici o limitati dhcp) dei sistemi sulla LAN sono di dominio pubblico. Il SSID, l'uso del canale, la frequenza e persino la presenza della radio AP sono di dominio pubblico. Sì, il cosiddetto SSID "nascosto" non serve a nessuno scopo di sicurezza, quindi di nuovo non è mai stato concepito come una funzione di sicurezza. Supponiamo che l'hacker conosca già tutte queste informazioni. C'è una cosa che non è di dominio pubblico e che è la PSK (passphrase) così tutta la tua sicurezza si riduce a un strong cryptosystem (WPA2) e una passphrase non gestibile.
Penso che il desiderio di qualcosa di più sia legato all'ascolto di quanto la sicurezza sia difficile e che le difese debbano essere stratificate. Certamente dovrebbero entrare in scenari complessi con più variabili in quanto è spesso difficile modellare tutti i potenziali rischi. In questo caso, tuttavia, l'autenticazione è semplice e il modello di rischio è semplice. WPA2-AES è attualmente "ininterrotto". Ciò significa che l'intera sicurezza del tuo AP si riduce a se l'utente malintenzionato può indovinare la passphrase. Se riesci, puoi perdere. È davvero così semplice ed è il modo in cui la crittografia strong dovrebbe funzionare. Il sistema è sicuro anche se l'hacker conosce tutto del sistema tranne il segreto (chiave).
Leggi altre domande sui tag authentication wifi network