Większość routerów szerokopasmowych i innych bezprzewodowych punktów dostępowych zawiera opcjonalną funkcję zwaną filtrowaniem adresów MAC lub filtrowaniem adresów sprzętowych. Poprawia bezpieczeństwo poprzez ograniczenie urządzeń, które mogą dołączyć do sieci. Ponieważ jednak adresy MAC mogą być sfałszowane lub sfałszowane, czy filtrowanie tych adresów sprzętowych jest rzeczywiście przydatne, czy jest to strata czasu?
Czy uwierzytelnianie MAC powinno być włączone?
W typowej sieci bezprzewodowej każde urządzenie, które ma odpowiednie dane uwierzytelniające (zna SSID i hasło) może uwierzytelnić się z routerem i dołączyć do sieci, uzyskując lokalny adres IP, a tym samym dostęp do Internetu i wszelkich udostępnionych zasobów.
Filtrowanie adresów MAC dodaje dodatkową warstwę do tego procesu. Przed zezwoleniem jakiemukolwiek urządzeniu na dołączenie do sieci router sprawdza adres MAC urządzenia z listą zatwierdzonych adresów. Jeśli adres klienta pasuje do adresu na liście routera, dostęp jest przyznawany jak zwykle; w przeciwnym razie nie będzie można dołączyć.
Jak skonfigurować filtrowanie adresów MAC
Aby skonfigurować filtrowanie adresów MAC na routerze, administrator musi skonfigurować listę urządzeń, które mogą się przyłączyć. Należy znaleźć fizyczny adres każdego zatwierdzonego urządzenia, a następnie wprowadzić te adresy do routera i włączyć opcję filtrowania adresów MAC.
Większość routerów wyświetla adresy MAC podłączonych urządzeń z konsoli administratora. Jeśli nie, użyj do tego systemu operacyjnego. Gdy masz już listę adresów MAC, przejdź do ustawień routera i umieść je w odpowiednich miejscach.
Na przykład, aby włączyć filtr MAC na routerze Linksys Wireless-N, przejdź do strony Wireless > Wireless MAC Filter. To samo można zrobić na routerach NETGEAR za pośrednictwem Advanced > Security > Kontrola dostępu i niektórych D- Połącz routery w Advanced > Network Filter
Czy filtrowanie adresów MAC poprawia bezpieczeństwo sieci?
Teoretycznie sprawdzenie połączenia przez router przed zaakceptowaniem urządzeń zwiększa prawdopodobieństwo zapobiegania złośliwej aktywności sieciowej. Nie można naprawdę zmienić adresów MAC klientów bezprzewodowych, ponieważ są one zakodowane w sprzęcie.
Jednak krytycy zwracają uwagę, że adresy MAC można sfałszować, a zdeterminowani napastnicy wiedzą, jak wykorzystać ten fakt. Atakujący nadal musi znać jeden z prawidłowych adresów, aby włamać się do tej sieci, ale to też nie jest trudne dla osób doświadczonych w korzystaniu z narzędzi do snifferów sieciowych.
Jednakże, podobnie jak zamykanie drzwi w domu, odstraszy większość włamywaczy, ale nie powstrzyma tych zdeterminowanych, ustawienie filtrowania adresów MAC uniemożliwia przeciętnym hakerom uzyskanie dostępu do sieci. Większość ludzi nie wie, jak sfałszować adres MAC lub znaleźć listę zatwierdzonych adresów routera.
Filtry MAC to nie to samo co filtry treści lub domen, które umożliwiają administratorom sieci zatrzymanie określonego ruchu (takiego jak witryny dla dorosłych i portale społecznościowe) przed przepływem przez sieć.