Il filtraggio degli indirizzi MAC fornisce sicurezza? [duplicare]

1

A volte ho bisogno di configurare il router e scegliere quali dispositivi possono connettersi alla mia rete (filtraggio degli indirizzi MAC). Ad esempio, limitare le connessioni a 3 macchine specifiche. Ma per un utente avanzato, è possibile ottenere il mio indirizzo MAC e cambiarlo facilmente (ad esempio su una macchina Linux utilizzando una semplice riga di comando macchanger --mac xx:yy:zz:tt:aa:bb wlan0 )

Secondo gowenfawr , se una delle mie 3 macchine non è collegata, è possibile per un utente esperto riconnettersi al suo posto.

Per ottenere più funzioni di sicurezza, qual è la corretta configurazione del filtro degli indirizzi MAC: abilitato o disabilitato?

    
posta GAD3R 20.04.2016 - 15:20
fonte

6 risposte

5

Il filtraggio MAC non offre un'elevata sicurezza. Un utente malintenzionato può semplicemente vedere quali dispositivi (e i relativi MAC relativi) sono collegati alla rete e spoofing uno di questi MAC. Quando lo cambia nella sua macchina, può connettersi alla rete senza problemi. In conclusione, il filtraggio degli indirizzi MAC non aumenta la sicurezza.

    
risposta data 20.04.2016 - 16:02
fonte
2

Sembra che tu abbia risposto alla tua stessa domanda. Un utente avanzato può spoofare un indirizzo MAC, ma gli utenti non avanzati non possono.

Il filtraggio degli indirizzi MAC fornisce accesso limitato a coloro che non hanno l'abilità di falsificare un indirizzo MAC.

    
risposta data 20.04.2016 - 16:50
fonte
1

Gli indirizzi MAC sono rilevanti solo per il salto più vicino. Quindi puoi solo spoofare un indirizzo MAC all'interno di una LAN. Ciò significa che chiunque desideri aggirare qualsiasi restrizione deve connettersi alla tua rete o a una rete direttamente connessa alla tua rete. cioè la superficie di attacco è ridotta.

Come il firewalling delle porte, il filtraggio MAC è un ottimo modo per ridurre il rumore, ma non dovrebbe essere usato come sostituto dell'autenticazione sicura. OTOH, (supponendo che questa sia una rete IP) è un po 'diverso dall'accesso restrittivo per indirizzo IP.

Se lo sforzo di mantenere le regole vale il vantaggio, dipende da te.

    
risposta data 20.04.2016 - 17:09
fonte
1

Come hai detto, il filtraggio MAC fornisce un ulteriore livello di sicurezza, in quanto il potenziale aggressore dovrebbe spoofare il suo indirizzo MAC (qualcosa che faremmo comunque se non vuole essere scoperto).

Per garantire una buona sicurezza per il tuo Wi-Fi devi avere il filtro MAC abilitato (con una lista bianca), DHCP disabilitato con IP fisso per i tuoi dispositivi (se possibile), funzione WPS disabilitata e una password WPA / WPA2 strong. Inoltre puoi settare la rete in modo che non sia visibile.

La cosa più importante è avere la crittografia WPA / WPA2 con una password complessa. Tutti gli altri livelli sono facilmente aggirati da un abile attaccante

    
risposta data 20.04.2016 - 17:32
fonte
1

Mentre il duplicato a cui le persone si sono collegate copre la maggior parte della storia, c'è in realtà un modo per far funzionare il filtro MAC: abilitare l'isolamento del client.

L'isolamento del client impedisce ai singoli client WiFi di comunicare tra loro, separando in modo efficace il loro traffico. Dal momento che per conoscere il MAC di un client legittimo è necessario vedere il traffico da uno, questo rende piuttosto difficile identificare un MAC valido e spoofarlo.

Lo svantaggio di questo, ovviamente, è che i tuoi dispositivi WiFi non possono comunicare tra loro. Questo funziona anche se non hai dispositivi autorizzati sul lato LAN cablato e il tuo filtro MAC non distingue tra le interfacce (altrimenti puoi solo annusare un MAC del dispositivo LAN autorizzato dal WiFi, quindi spoofarlo).

Ci sono scenari che questo tipo di controllo ha senso, ad es. un AP della rete ospite in cui gli utenti devono essere in grado di raggiungere Internet e non i servizi interni.

    
risposta data 20.04.2016 - 18:16
fonte
0

Un filtro dell'indirizzo MAC non fornisce alcuna sicurezza reale, ma fornisce un falso senso di sicurezza. Dovrebbe quindi essere considerato dannoso.

Se è necessario limitare l'accesso a determinati dispositivi, utilizzare WPA2. Se una singola chiave pre-condivisa non è sufficiente per i tuoi scopi, non è difficile (ok, ok, ultime parole famose) eseguire un server RADIUS e utilizzare l'autenticazione aziendale. Io uso OpenWRT, e può anche essere configurato per utilizzare un PSK separato per indirizzo MAC. Questo fornisce sicurezza.

(Vale anche la pena notare che anche se tutti i MAC autorizzati sono online, un utente malintenzionato può disattivare selettivamente la sua radio forgiando i frame RTS / CTS, consentendo all'utente malintenzionato di utilizzare il suo MAC.)

    
risposta data 20.04.2016 - 17:07
fonte

Leggi altre domande sui tag