Делает ли фильтрация по MAC адресу вашу сеть безопаснее?
Фильтрация MAC-адресов позволяет вам определять список устройств и разрешать только эти устройства в сети Wi-Fi. Во всяком случае, это теория. На практике эта защита является утомительной для создания и легкому нарушению.
Как работает фильтрация MAC-адресов
Каждое ваше устройство имеет уникальный адрес управления доступом к среде передачи (MAC-адрес), который идентифицирует его в сети. Как правило, маршрутизатор позволяет любому устройству подключаться — если он знает соответствующую кодовую фразу. При фильтрации MAC-адресов маршрутизатор сначала сравнивает MAC-адрес устройства с утвержденным списком MAC-адресов и разрешает только устройство в сети Wi-Fi, если его MAC-адрес был специально одобрен.
Возможно, ваш маршрутизатор позволяет вам настроить список разрешенных MAC-адресов в своем веб-интерфейсе, позволяя вам выбирать, какие устройства могут подключаться к вашей сети.
Фильтрация MAC-адресов не обеспечивает безопасность
MAC-адреса также легко получить. Они отправляются в эфир с каждым пакетом, идущим на устройство и с устройства, поскольку MAC-адрес используется для обеспечения того, чтобы каждый пакет попадал на нужное устройство.
Все злоумышленники должны следить за трафиком Wi-Fi на секунду или два, изучить пакет, чтобы найти MAC-адрес разрешенного устройства, изменить MAC-адрес своего устройства на этот разрешенный MAC-адрес и подключиться к нему на этом устройстве. Возможно, вы думаете, что это будет невозможно, потому что устройство уже подключено, но атака «deauth» или «deassoc», которая принудительно отключает устройство от сети Wi-Fi, позволит злоумышленнику восстановить соединение на своем месте.
Мы здесь не увлекаемся. Злоумышленник с набором инструментов, например, Kali Linux, может использовать Wireshark для подслушивания пакета, запускать оперативную команду для изменения своего MAC-адреса, использовать aireplay-ng для отправки пакетов деассоциации на этот клиент, а затем подключаться на своем месте. Весь этот процесс может занять менее 30 секунд. И это всего лишь ручной метод, который включает в себя выполнение каждого шага вручную — не обращайте внимания на автоматизированные инструменты или сценарии оболочки, которые могут сделать это быстрее.
Шифрование WPA2 достаточно
На данный момент вы можете думать, что фильтрация MAC-адресов не является надежной, но обеспечивает некоторую дополнительную защиту только при использовании шифрования. Это похоже на истину, но не на самом деле.
Подумайте, как добавить велосипедный замок в дверь банковского хранилища. Любые грабители банков, которые могут пройти через дверь банковского хранилища, не будут иметь проблемы с блокировкой велосипедного замка. Вы не добавили никакой реальной дополнительной безопасности, но каждый раз, когда сотрудник банка должен получить доступ к хранилищу, им приходится тратить время на блокировку велосипеда.
Это утомительно и отнимает время
Время, затрачиваемое на управление этим, является основной причиной, по которой вам не следует беспокоиться. Когда вы сначала настраиваете фильтрацию MAC-адресов, вам нужно получить MAC-адрес от каждого устройства в домашнем хозяйстве и разрешить его в веб-интерфейсе вашего маршрутизатора. Это займет некоторое время, если у вас много устройств с поддержкой Wi-Fi, как это делают большинство людей.
Всякий раз, когда вы получаете новое устройство — или приходит гость, и вам нужно использовать Wi-Fi на своих устройствах, вам нужно будет войти в веб-интерфейс своего маршрутизатора и добавить новые MAC-адреса. Это выше обычного процесса настройки, когда вам нужно подключить кодовую фразу Wi-Fi на каждом устройстве.
Это просто добавляет дополнительную работу в вашу жизнь. Это усилие должно окупиться лучшей защитой, но минимальное-несуществование в безопасности, которое вы получаете, делает это нецелесообразным.
Это функция сетевого администрирования
Фильтрация MAC-адресов, правильно используемая, скорее является функцией сетевого администрирования, чем функцией безопасности. Это не защитит вас от посторонних, пытающихся активно взломать ваше шифрование и попасть в вашу сеть. Тем не менее, это позволит вам выбрать, какие устройства разрешены в Интернете.
Например, если у вас есть дети, вы можете использовать фильтрацию MAC-адресов, чтобы запретить доступ к сети Wi-Fi своим ноутбуком или смартфоном, если вам нужно их заземлить и убрать доступ к Интернету. Дети могли обойти эти родительские элементы управления с помощью простых инструментов, но они этого не знают.
Вот почему многие маршрутизаторы также имеют другие функции, которые зависят от MAC-адреса устройства. Например, они могут позволить вам включить веб-фильтрацию на определенных MAC-адресах. Кроме того, вы можете запретить доступ к веб-узлам со специальными MAC-адресами в школьные часы. На самом деле это не функции безопасности, поскольку они не предназначены для того, чтобы остановить злоумышленника, который знает, что он делает.
Если вы действительно хотите использовать фильтрацию MAC-адресов для определения списка устройств и их MAC-адресов и администрирования списка устройств, разрешенных в вашей сети, не стесняйтесь. Некоторые люди на самом деле пользуются таким управлением на определенном уровне. Но фильтрация MAC-адресов не обеспечивает реального повышения безопасности Wi-Fi, поэтому вы не должны его использовать. Большинство людей не должны беспокоиться о фильтрации MAC-адресов и, если они это делают, должны знать, что это не функция безопасности.
Как настроить беспроводную фильтрацию MAC-адресов на Archer C50 / C20 (новый интерфейс)?
Беспроводная фильтрация MAC-адресов используется для отказа или предоставления определенным беспроводным клиентским устройствам доступа к вашей сети по их MAC-адресам.
Я хочу: Запретить или разрешить определенным беспроводным клиентским устройствам получать доступ к моей сети по их MAC-адресам.
Например, вы хотите разрешить доступ беспроводному клиенту A с MAC-адресом 00-0A-EB-B0-00-0B и беспроводному клиенту B с MAC-адресом 00-0A-EB-00-07-5F, но другие беспроводные клиенты не могут получить доступ к маршрутизатору.
Как я могу это сделать?
Для примера, мы взяли Archer C20_V4:
1. Войдите в интерфейс управления маршрутизатором. Если вы не знаете, как это сделать, обратитесь к разделу Как войти в веб-интерфейс Wi-Fi роутера (новый логотип)?
3. Нажмите Включить, чтобы включить функцию фильтрации MAC-адресов.
4. Выберите Разрешить доступ станциям, указанным во включенных правилах из списка в качестве правила фильтрации.
5. Удалите или отключите все записи, если они есть.
6. Нажмите Добавить и заполните пустые строки.
1) Введите MAC-адрес 00-0A-EB-B0-00-0B / 00-0A-EB- 00-07-5F в поле MAC-адрес.
2) Введите беспроводной клиент A/B в поле Описание.
3) Выберите Включено в раскрывающемся списке Состояние.
4) Нажмите Сохранить и нажмите Назад.
7. Правила фильтрации должны быть указаны, как показано на рисунке ниже.
Теперь только клиент A и клиент B могут получить доступ к вашей сети.
Для получения подробной информации о каждой функции и настройке оборудования перейдите на страницу Загрузки для загрузки руководства пользователя к вашей модели устройства.
Как настроить МАС фильтр на маршрутизаторе TP-Link
Если вы хотите ограничить число компьютеров с доступом в Интернет, воспользуйтесь функцией MAC Filtering (МАС фильтр).
Вам необходимо знать МАС адреса всех компьютеров, которым вы хотите разрешить доступ в Интернет. Вы можете узнать их, воспользовавшись командной строкой.
(2) Введите ipconfig / all в диалоговом окне, нажмите Enter (Ввод), на экране отобразится вся адресная информация.
Откройте браузер и введите в адресную строку IP адрес маршрутизатора (по умолчанию 192.168.1.1) и нажмите Enter (Ввод).
Выберите Enable Firewall (Включить брандмауэр), затем укажите Enable MAC Filtering (Включить МАС фильтр). Если вы хотите разрешить доступ к сети только некоторым компьютерам, сделайте отметку Allow these PCs with enable rules to access the Internet (Разрешить доступ в Интернет компьютерам с указанными адресами). После этого те компьютеры, МАС адреса которых прописаны в правилах фильтрации, будут иметь доступ к Интернету. Если вы, наоборот, хотите запретить доступ в Интернет этим компьютерам, выберите Deny these PCs with enabled rules to access the Internet (Запретить доступ в Интернет компьютерам с указанными адресами).
Нажмите Save (Сохранить), чтобы сохранить настройки.
Нажмите Add New (Добавить), чтобы создать и настроить правило.
Введите МАС адрес компьютера, которому вы хотите разрешить доступ в Интернет, в соответствующее поле. Активируйте правило.
Нажмите Save (Сохранить), чтобы сохранить настройки.
После этого компьютеру, МАС адрес которого указан в правиле, будет предоставлен доступ в Интернет.
Если вы хотите разрешить доступ в Интернет другим компьютерам, нажмите Add New (Добавить), чтобы создать новое правило. Заметьте, что для каждого МАС адреса необходимо создавать отдельное правило.
Как настроить на маршрутизаторе фильтрацию по MAC-адресам для управления устройствами, подключенным к усилителю Wi-Fi сигнала?
Эта статья подходит для:
При попытке настроить фильтрацию по MAC-адресам на основном маршрутизаторе для управления устройствами, подключенным к усилителю Wi-Fi сигнала, некоторые клиенты в итоге понимают, что фильтрация не работает должным образом. Ниже разберем следующие моменты, объясним причину и рассмотрим подробные шаги для нормальной работы фильтрации по MAC-адресам.
Вначале убедитесь, что ваш усилитель сигнала успешно подключен к маршрутизатору и проверьте, в каком режиме работает ваш усилитель сигнала:
Примечание: RE200/RE210/RE580D/RE590T/TL-WA850RE_V2/TL-WA860RE_V2/TL-WA854RE_V1 работают в режиме Proxy по умолчанию.
В качестве примера, в данной статье мы рассмотрим модели RE210 и C7. Ниже приведена топология сети:
Примечание: в этой статье фильтрация по MAC-адресам направлена на управление клиентами, подключенными к усилителю сигнала, а не напрямую к маршрутизатору.
Часть A: Если усилитель сигнала работает в режиме Proxy
1. Особенность режима Proxy:
В режиме Proxy усилитель сигнала заменяет каждый реальный MAC-адрес своего клиента виртуальным MAC-адресом, автоматически созданным им. Таким образом, маршрутизатор будет принимать виртуальный MAC-адрес клиента в качестве своего реального MAC-адреса, поэтому нам нужно внести виртуальные MAC-адреса этих клиентов в таблицу фильтрации по MAC-адресам на маршрутизаторе вместо их реальных MAC-адресов. Сравнивая приведенные ниже параметры, вы сможете лучше понять этот процесс.
в. Теперь вы видите, что маршрутизатор отображает только виртуальный MAC-адрес вашего компьютера, а не его реальный MAC-адрес. Есть одна важная деталь, о которой необходимо знать, последние 24 бита виртуального MAC-адреса каждого клиента точно такие же, как последние 24 бита реального MAC-адреса клиента.
Вы можете легко найти правило, сравнив реальный MAC-адрес вышеуказанного компьютера (8C-89-A5- CE-14-93 ) с его виртуальным MAC-адресом (16-CC-20- CE-14-93 ).
2. Найдите виртуальные MAC-адреса клиентов, которые подключены к усилителю:
a. Проверьте реальный MAC-адрес ваших клиентских устройств и запишите их. Вам понадобятся виртуальные MAC-адреса этих клиентских устройств.
б. Войдите в веб-интерфейс вашего маршрутизатора и перейдите в список клиентов DHCP. Здесь мы видим все MAC-адреса и IP-адреса устройств, выданных маршрутизатором. Сравнивая последние 24 бита этих MAC-адресов с последними 24 битами адресов ваших клиентских устройств, вы сможете легко найти виртуальные MAC-адреса своих клиентских устройств. Запишите их. Они вам понадобятся в дальнейшем.
Примечание: если вы не знаете, как проверить список DHCP-клиентов вашего маршрутизатора, обратитесь за помощью к производителю вашего маршрутизатора.
3. Найдите MAC-адреса усилителя сигнала.
Однодиапазонный усилитель сигнала, такой как TL-WA850RE, имеет один MAC-адрес на частоте 2,4 ГГц, а двухдиапазонный усилитель сигнала имеет два MAC-адреса, которые используются на частотах 2,4 ГГц и 5 ГГц соответственно.
б. Если ваш усилитель сигнала является двухдиапазонным усилителем, вам все равно нужно будет найти его MAC-адрес для частоты 5 ГГц. Так же как в предыдущем шаге, вы можете легко найти MAC-адрес вашего усилителя 5 ГГц (14-CC-20-42-B8-E7). MAC-адрес усилителя на частоте 2.4 ГГц очень похож на его MAC-адрес на частоте 5 ГГц, фактически он отличается последними двумя символами в последнем октеде.
Вы можете легко найти закономерность, сравнив MAC-адрес на частоте 2,4 ГГц усилителя сигнала (14-CC-20-42-B8-E5) с его MAC-адресом на частоте 5 ГГц (14-CC-20-42-B8-E7).
Примечание: если вы не знаете, как проверить статистику беспроводной сети вашего маршрутизатора, обратитесь за помощью к производителю вашего маршрутизатора.
4. Настроить фильтрацию по MAC-адресам (белый список): разрешить доступ станциям, указанным во включенных правилах из списка для доступа к Интернету.
В данном примере мы настроим белый список на модели Archer C7, чтобы понимать, как использовать виртуальный MAC-адрес для настройки фильтрации по MAC-адресам.
г. Если ваш маршрутизатор и усилитель сигнала являются двухдиапазонными устройствами, вы можете повторить описанные выше шаги в веб-интерфейсе маршрутизатора для диапазона 5 ГГц.
Примечание: если вы не знаете, как настроить фильтрацию по MAC-адресам на вашем маршрутизаторе, обратитесь за помощью к производителю вашего маршрутизатора.
Часть Б: Если усилитель сигнала работает в универсальном режиме (Universal Mode)
В этом режиме усилитель сигнала заменит все MAC-адреса своих клиентов своим собственным MAC-адресом. Это означает, что нам нужно только ввести MAC-адрес усилителя в фильтрацию MAC-адресов на маршрутизаторе:
Часть В: Если усилитель сигнала работает в режиме WDS (WDS Mode)
Если ваш усилитель сигнала работает в режиме WDS, он не будет подменять MAC-адреса клиентских устройств виртуальными MAC-адресами, либо своим собственным MAC-адресом, он будет использовать реальный MAC-адрес этих клиентов. Поэтому нам нужно вводить только настоящие MAC-адреса клиентских устройств в фильтрацию по MAC-адресам на маршрутизаторе. Никакой другой специальной настройки не требуется.
Чтобы получить подробную информацию о каждой функции и настройке оборудования, перейдите на страницу Загрузки для загрузки руководства пользователя к Вашей модели устройства.
Как настроить фильтрацию MAC-адресов на Wi-Fi роутере TP-Link 11N (новый интерфейс)?
Шаг 1
Шаг 2
Перейдите на страницу Привязка IP— и MAC-адресов > Таблица ARP, здесь вы можете найти MAC-адрес всех устройств, подключенных к роутеру.
Шаг 3
Перейдите на страницу Беспроводной режим > Фильтрация MAC-адресов, нажмите кнопку Добавить.
Шаг 4
Введите MAC-адрес, который вы хотите разрешить или запретить для доступа к роутеру, и дайте описание для этого элемента. Статус должен быть включен и, наконец, нажмите кнопку Сохранить.
Вам нужно добавить все элементы таким образом, один за другим.
Шаг 5
Наконец, о правилах фильтрации, выберите Разрешить/Запретить и нажмите Включить функцию Фильтрации по MAC-адресам.
Если вы выберете Разрешить доступ станциям, указанным во включенных записях, доступ к ним в качестве правила фильтрации, беспроводной клиент указанный в правиле сможет получить доступ к роутеру, а другие беспроводные клиенты не могут доступ к роутеру.
Если вы выбрали Запретить доступ станциям, указанным во включенных записях для доступа в качестве правила фильтрации, только беспроводной указанный в правиле не сможет получить доступ к роутеру.
Чтобы получить подробную информацию о каждой функции и настройке оборудования, перейдите на страницу Загрузки для загрузки руководства пользователя к Вашей модели устройства.
