Il filtraggio degli indirizzi MAC fornisce sicurezza? [duplicare]

Il filtraggio MAC non offre un'elevata sicurezza. Un utente malintenzionato può semplicemente vedere quali dispositivi (e i relativi MAC relativi) sono collegati alla rete e spoofing uno di questi MAC. Quando lo cambia nella sua macchina, può connettersi alla rete senza problemi. In conclusione, il filtraggio degli indirizzi MAC non aumenta la sicurezza.

Sembra che tu abbia risposto alla tua stessa domanda. Un utente avanzato può spoofare un indirizzo MAC, ma gli utenti non avanzati non possono.

Il filtraggio degli indirizzi MAC fornisce accesso limitato a coloro che non hanno l'abilità di falsificare un indirizzo MAC.

Gli indirizzi MAC sono rilevanti solo per il salto più vicino. Quindi puoi solo spoofare un indirizzo MAC all'interno di una LAN. Ciò significa che chiunque desideri aggirare qualsiasi restrizione deve connettersi alla tua rete o a una rete direttamente connessa alla tua rete. cioè la superficie di attacco è ridotta.

Come il firewalling delle porte, il filtraggio MAC è un ottimo modo per ridurre il rumore, ma non dovrebbe essere usato come sostituto dell'autenticazione sicura. OTOH, (supponendo che questa sia una rete IP) è un po 'diverso dall'accesso restrittivo per indirizzo IP.

Se lo sforzo di mantenere le regole vale il vantaggio, dipende da te.

Come hai detto, il filtraggio MAC fornisce un ulteriore livello di sicurezza, in quanto il potenziale aggressore dovrebbe spoofare il suo indirizzo MAC (qualcosa che faremmo comunque se non vuole essere scoperto).

Per garantire una buona sicurezza per il tuo Wi-Fi devi avere il filtro MAC abilitato (con una lista bianca), DHCP disabilitato con IP fisso per i tuoi dispositivi (se possibile), funzione WPS disabilitata e una password WPA / WPA2 strong. Inoltre puoi settare la rete in modo che non sia visibile.

La cosa più importante è avere la crittografia WPA / WPA2 con una password complessa. Tutti gli altri livelli sono facilmente aggirati da un abile attaccante

Mentre il duplicato a cui le persone si sono collegate copre la maggior parte della storia, c'è in realtà un modo per far funzionare il filtro MAC: abilitare l'isolamento del client.

L'isolamento del client impedisce ai singoli client WiFi di comunicare tra loro, separando in modo efficace il loro traffico. Dal momento che per conoscere il MAC di un client legittimo è necessario vedere il traffico da uno, questo rende piuttosto difficile identificare un MAC valido e spoofarlo.

Lo svantaggio di questo, ovviamente, è che i tuoi dispositivi WiFi non possono comunicare tra loro. Questo funziona anche se non hai dispositivi autorizzati sul lato LAN cablato e il tuo filtro MAC non distingue tra le interfacce (altrimenti puoi solo annusare un MAC del dispositivo LAN autorizzato dal WiFi, quindi spoofarlo).

Ci sono scenari che questo tipo di controllo ha senso, ad es. un AP della rete ospite in cui gli utenti devono essere in grado di raggiungere Internet e non i servizi interni.

Un filtro dell'indirizzo MAC non fornisce alcuna sicurezza reale, ma fornisce un falso senso di sicurezza. Dovrebbe quindi essere considerato dannoso.

Se è necessario limitare l'accesso a determinati dispositivi, utilizzare WPA2. Se una singola chiave pre-condivisa non è sufficiente per i tuoi scopi, non è difficile (ok, ok, ultime parole famose) eseguire un server RADIUS e utilizzare l'autenticazione aziendale. Io uso OpenWRT, e può anche essere configurato per utilizzare un PSK separato per indirizzo MAC. Questo fornisce sicurezza.

(Vale anche la pena notare che anche se tutti i MAC autorizzati sono online, un utente malintenzionato può disattivare selettivamente la sua radio forgiando i frame RTS / CTS, consentendo all'utente malintenzionato di utilizzare il suo MAC.)