Беспроводная безопасность через фильтрацию MAC

Question

Каковы большие недостатки использования исключительно фильтрации MAC-адресов для защиты небольшой персональной сети?

Обновление: 2 человека упомянули спуфинг MAC. Я не уверен, что по номинальной стоимости: MAC-адрес имеет пространство ключей 16 ^ 12, в то время как некоторые протоколы безопасности беспроводной сети ограничивают вас 8 буквенно-цифровыми символами, пространство ключей 36 ^ 8 (меньше, чем MAC-адрес ).

Если я что-то упустил? Возможно, MAC-адреса, такие как кредитные карты, можно сузить до гораздо меньшего диапазона значений?

Answer 1

Вы можете легко подделать MAC-адрес, а это значит, что вам нужно разрешить любому, кто приходит к вам домой, доступ к сети.

Answer 2

При добавлении нового беспроводного устройства вы пытаетесь в течение часа подключить его с правильным ключом и удивляетесь, почему оно не работает .... затем вы получаете момент эврика и понимаете, что оно было включено ... (Случилось со мной некоторое время назад у клиента!).

Серьезно, когда дело доходит до безопасности, если вы помните настройки, все немного помогает - если вы не тот человек, который постоянно разрешает друзьям пользоваться беспроводной связью, нет никаких причин не использовать ее.

MAC-адреса всегда могут быть подделаны злоумышленником, но, в конце концов, каждая мелочь помогает, когда речь заходит о безопасности, и это еще одно препятствие, которое злоумышленнику придется перепрыгнуть.

Редактировать, просто прочитайте вопрос еще раз ... Полагаться только на фильтрацию MAC-адресов - это плохая идея, если вы имеете в виду отсутствие ключа вообще. Это будет означать, что любое мошенническое устройство сможет прослушивать практически все, что происходит в вашей сети.

Обновите свой отредактированный вопрос -...MAC - адрес передается в заголовке пакета к маршрутизатору, если вы не используете без шифрования, это будет легко читать в текстовом формате с правильными инструментами ... Если вы используете ключ в сочетании с безопасностью MAC, он все равно будет угадан, но для его взлома потребуется значительное время (в зависимости от уровня шифрования).

Answer 3

@ Буду прав. Природа Ethernet означает, что MAC-адреса отправляются с каждым пакетом, и поэтому злоумышленнику приходится не столько взламывать пространство ключей MAC-адресов, сколько просто отслеживать трафик на несколько минут с помощью NetStumbler, Kismet или аналогичного, а затем выбирая MAC-адрес, который он видел. Как только он назначает это сетевому интерфейсу своей системы, он становится частью вашей сети для любых целей и задач.

Поэтому полагаться только на фильтрацию MAC-адресов плохо. Полагаться на это как на часть другой стратегии, когда злоумышленнику приходится иметь дело с еще одной вещью, лучше. Больше из школы «Я не должен быть быстрее, чем медведь, я просто должен быть быстрее, чем ты». Если это делает вашу сеть еще более сложной для компрометации, злоумышленник, который исключительно заинтересован в получении доступа к сети, собирается перейти на более простое решение.

Мой друг сказал мне, что они оценивают сейфы в считанные минуты. Сначала это не имело смысла, но он уточнил: ни один сейф не может быть защищен от взлома. Но сейфы с различными характеристиками выдержат в течение n минут против опытного злоумышленника с обычными (нестационарными) инструментами. Беспроводные сети практически одинаковы. Ни одна сеть не может быть взломана, но все, что вы можете добавить, чтобы сделать ее более расстраивающей для взлома, увеличивает вероятность того, что ваш злоумышленник продвинется дальше. Это, конечно, не учитывает личностно мотивированного злоумышленника, такого как черная шляпа, чью жену вы, возможно, украли, но это выходит за рамки этого обсуждения.