Mengapa Anda Tidak Perlu Menggunakan Penapisan Alamat MAC Pada Penghala Wi-Fi Anda
Penapisan alamat MAC membolehkan anda menentukan senarai peranti dan hanya membenarkan peranti tersebut di rangkaian Wi-Fi anda. Begitulah teori. Dalam praktiknya, perlindungan ini sukar dibentuk dan mudah dilanggar.
Ini adalah salah satu ciri penghala Wi-Fi yang akan memberi anda rasa keselamatan yang salah. Cukup menggunakan penyulitan WPA2 sudah cukup. Sebilangan orang suka menggunakan penapisan alamat MAC, tetapi ini bukan ciri keselamatan.
Bagaimana Penyaringan Alamat MAC Berfungsi
BERKAITAN: Tidak Mempunyai Rasa Keselamatan Palsu: 5 Cara Tidak Selamat untuk Menjamin Wi-Fi Anda
Setiap peranti yang anda miliki dilengkapi dengan alamat kawalan akses media unik (alamat MAC) yang mengenalinya di rangkaian. Biasanya, penghala membenarkan mana-mana peranti menyambung - selagi ia mengetahui frasa laluan yang sesuai. Dengan penyaringan alamat MAC, penghala akan membandingkan alamat MAC peranti dengan senarai alamat MAC yang disetujui dan hanya membenarkan peranti ke rangkaian Wi-Fi jika alamat MACnya telah disetujui secara khusus.
Penghala anda mungkin membolehkan anda mengkonfigurasi senarai alamat MAC yang dibenarkan di antara muka webnya, yang membolehkan anda memilih peranti mana yang dapat disambungkan ke rangkaian anda.
Penapisan Alamat MAC Tidak Memberi Keselamatan
Setakat ini, ini terdengar cukup bagus. Tetapi alamat MAC dapat ditipu dengan mudah di banyak sistem operasi, jadi mana-mana peranti boleh berpura-pura memiliki salah satu alamat MAC yang dibenarkan.
Alamat MAC juga senang diperoleh. Mereka dihantar melalui udara dengan setiap paket pergi dan masuk dari perangkat, kerana alamat MAC digunakan untuk memastikan setiap paket sampai ke perangkat yang tepat.
BERKAITAN: Bagaimana Penyerang Dapat Menghancurkan Keselamatan Rangkaian Tanpa Wayar Anda
Semua yang harus dilakukan penyerang adalah memantau lalu lintas Wi-Fi selama satu atau dua detik, memeriksa paket untuk mencari alamat MAC dari peranti yang dibenarkan, menukar alamat MAC peranti mereka ke alamat MAC yang dibenarkan, dan menyambung di tempat peranti itu. Anda mungkin berfikir bahawa ini tidak mungkin dilakukan kerana peranti sudah tersambung, tetapi serangan "deauth" atau "deassoc" yang secara paksa memutuskan peranti dari rangkaian Wi-Fi akan memungkinkan penyerang menyambung semula di tempatnya.
Kami tidak bersungguh-sungguh di sini. Penyerang dengan set alat seperti Kali Linux dapat menggunakan Wireshark untuk menguping paket, menjalankan perintah cepat untuk mengubah alamat MAC mereka, menggunakan aireplay-ng untuk mengirim paket penyahtinjaan kepada klien itu, dan kemudian menyambung di tempatnya. Seluruh proses ini dapat memakan masa kurang dari 30 saat. Dan itu hanya kaedah manual yang melibatkan melakukan setiap langkah dengan tangan - tidak perlu mengira alat automatik atau skrip shell yang dapat menjadikannya lebih cepat.
Penyulitan WPA2 Cukup
BERKAITAN: Penyulitan WPA2 Wi-Fi Anda Boleh Dihancurkan Secara Luar Talian: Inilah Caranya
Pada ketika ini, anda mungkin berfikir bahawa penyaringan alamat MAC tidak mudah dibuat, tetapi menawarkan perlindungan tambahan hanya dengan menggunakan penyulitan. Itu benar, tetapi tidak benar.
Pada asasnya, selagi anda mempunyai frasa laluan yang kuat dengan enkripsi WPA2, penyulitan itu akan menjadi perkara paling sukar untuk ditembusi. Sekiranya penyerang dapat memecahkan enkripsi WPA2 anda, akan menjadi remeh bagi mereka untuk menipu penapisan alamat MAC. Sekiranya penyerang akan tersekat oleh penapisan alamat MAC, mereka pasti tidak akan dapat memecahkan penyulitan anda sejak awal.
Fikirkan seperti menambah kunci basikal ke pintu peti besi bank. Mana-mana perompak bank yang dapat melalui pintu peti besi bank tidak akan menghadapi masalah untuk memotong kunci basikal. Anda tidak menambahkan keselamatan tambahan yang nyata, tetapi setiap kali pekerja bank perlu mengakses peti besi, mereka harus menghabiskan masa berurusan dengan kunci basikal.
Ia membosankan dan memakan masa
BERKAITAN: 10 Pilihan Berguna yang Boleh Anda Konfigurasikan Di Antara Muka Web Penghala Anda
Masa yang dihabiskan untuk menguruskan ini adalah sebab utama anda tidak perlu bersusah payah. Semasa anda menyiapkan penapisan alamat MAC di tempat pertama, anda perlu mendapatkan alamat MAC dari setiap peranti di rumah anda dan membiarkannya di antara muka web penghala anda. Ini akan memakan masa jika anda mempunyai banyak peranti berkemampuan Wi-Fi, seperti kebanyakan orang.
Setiap kali anda mendapat peranti baru - atau tetamu datang dan perlu menggunakan Wi-Fi pada peranti mereka - anda harus masuk ke antara muka web penghala anda dan menambahkan alamat MAC baru. Ini adalah di atas proses penyediaan biasa di mana anda harus memasukkan frasa laluan Wi-Fi ke setiap peranti.
Ini hanya menambah kerja tambahan dalam hidup anda. Usaha itu harus membuahkan hasil dengan keselamatan yang lebih baik, tetapi peningkatan keselamatan yang minimum yang anda dapat menjadikan ini tidak sesuai dengan masa anda.
Ini adalah Ciri Pentadbiran Rangkaian
Penapisan alamat MAC, digunakan dengan betul, lebih merupakan ciri pentadbiran rangkaian daripada ciri keselamatan. Ini tidak akan melindungi anda daripada orang luar yang berusaha secara aktif memecahkan penyulitan anda dan masuk ke rangkaian anda. Walau bagaimanapun, ini akan membolehkan anda memilih peranti mana yang dibenarkan dalam talian.
Sebagai contoh, jika anda mempunyai anak-anak, anda boleh menggunakan penapisan alamat MAC untuk melarang komputer riba atau telefon pintar mereka mengakses rangkaian Wi-FI jika anda perlu mengarahkan mereka dan melepaskan akses Internet. Anak-anak dapat menggunakan alat kawalan ibu bapa ini dengan beberapa alat mudah, tetapi mereka tidak mengetahuinya.
Itulah sebabnya banyak penghala juga mempunyai ciri lain yang bergantung pada alamat MAC peranti. Sebagai contoh, mereka mungkin membolehkan anda mengaktifkan penapisan web pada alamat MAC tertentu. Atau, anda boleh menghalang peranti dengan alamat MAC tertentu daripada mengakses web pada waktu sekolah. Ini bukan ciri keselamatan, kerana ia tidak dirancang untuk menghentikan penyerang yang tahu apa yang mereka lakukan.
Sekiranya anda benar-benar ingin menggunakan penapisan alamat MAC untuk menentukan senarai peranti dan alamat MAC mereka dan mentadbir senarai peranti yang dibenarkan di rangkaian anda, jangan ragu. Sebilangan orang sebenarnya menikmati pengurusan seperti ini pada tahap tertentu. Tetapi penapisan alamat MAC tidak memberikan peningkatan yang nyata terhadap keselamatan Wi-Fi anda, jadi anda seharusnya tidak merasa terpaksa menggunakannya. Sebilangan besar orang tidak perlu bersusah payah dengan penapisan alamat MAC, dan - jika mereka melakukannya - harus tahu bahawa itu bukan ciri keselamatan.
Kredit Gambar: nseika di Flickr