Tại sao bạn không nên sử dụng tính năng lọc địa chỉ MAC trên bộ định tuyến Wi-Fi của mình
Lọc địa chỉ MAC cho phép bạn xác định danh sách các thiết bị và chỉ cho phép các thiết bị đó trên mạng Wi-Fi của bạn. Dù sao thì đó cũng là lý thuyết. Trên thực tế, việc thiết lập bảo vệ này rất tẻ nhạt và dễ vi phạm.
Đây là một trong những tính năng của bộ định tuyến Wi-Fi sẽ mang lại cho bạn cảm giác an toàn sai lầm. Chỉ cần sử dụng mã hóa WPA2 là đủ. Một số người thích sử dụng tính năng lọc địa chỉ MAC, nhưng đó không phải là một tính năng bảo mật.
Cách lọc địa chỉ MAC hoạt động
LIÊN QUAN:Đừng có ý thức sai về bảo mật: 5 cách không an toàn để bảo mật Wi-Fi của bạn
Mỗi thiết bị bạn sở hữu đều đi kèm với một địa chỉ kiểm soát truy cập phương tiện duy nhất (địa chỉ MAC) xác định nó trên mạng. Thông thường, một bộ định tuyến cho phép bất kỳ thiết bị nào kết nối - miễn là nó biết cụm mật khẩu thích hợp. Với tính năng lọc địa chỉ MAC, trước tiên, bộ định tuyến sẽ so sánh địa chỉ MAC của thiết bị với danh sách địa chỉ MAC đã được phê duyệt và chỉ cho phép thiết bị vào mạng Wi-Fi nếu địa chỉ MAC của thiết bị đó đã được phê duyệt cụ thể.
Bộ định tuyến của bạn có thể cho phép bạn định cấu hình danh sách các địa chỉ MAC được phép trong giao diện web của nó, cho phép bạn chọn thiết bị nào có thể kết nối với mạng của bạn.
Lọc địa chỉ MAC không cung cấp bảo mật
Cho đến nay, điều này nghe có vẻ khá tốt. Nhưng địa chỉ MAC có thể dễ dàng bị giả mạo trong nhiều hệ điều hành, vì vậy bất kỳ thiết bị nào cũng có thể giả vờ có một trong những địa chỉ MAC duy nhất được phép đó.
Địa chỉ MAC cũng dễ lấy. Chúng được gửi qua mạng với từng gói đi và đến thiết bị, vì địa chỉ MAC được sử dụng để đảm bảo mỗi gói đến đúng thiết bị.
LIÊN QUAN:Làm thế nào kẻ tấn công có thể bẻ khóa bảo mật mạng không dây của bạn
Tất cả những gì kẻ tấn công phải làm là theo dõi lưu lượng Wi-Fi trong một hoặc hai giây, kiểm tra gói tin để tìm địa chỉ MAC của thiết bị được phép, thay đổi địa chỉ MAC của thiết bị thành địa chỉ MAC được phép đó và kết nối tại vị trí của thiết bị đó. Có thể bạn đang nghĩ rằng điều này sẽ không thể thực hiện được vì thiết bị đã được kết nối, nhưng một cuộc tấn công "deauth" hoặc "deassoc" buộc ngắt kết nối thiết bị khỏi mạng Wi-Fi sẽ cho phép kẻ tấn công kết nối lại tại vị trí của nó.
Chúng tôi không làm mất hứng thú ở đây. Kẻ tấn công có bộ công cụ như Kali Linux có thể sử dụng Wireshark để nghe trộm một gói, chạy lệnh nhanh để thay đổi địa chỉ MAC của chúng, sử dụng aireplay-ng để gửi các gói hủy liên kết đến máy khách đó và sau đó kết nối tại vị trí của nó. Toàn bộ quá trình này có thể dễ dàng mất chưa đến 30 giây. Và đó chỉ là phương pháp thủ công bao gồm thực hiện từng bước bằng tay - đừng bận tâm đến các công cụ tự động hoặc tập lệnh shell có thể làm cho việc này nhanh hơn.
Mã hóa WPA2 là đủ
LIÊN QUAN:Mã hóa WPA2 của Wi-Fi của bạn có thể bị bẻ khóa khi ngoại tuyến: Đây là cách thực hiện
Tại thời điểm này, bạn có thể nghĩ rằng lọc địa chỉ MAC là không hiệu quả, nhưng cung cấp một số biện pháp bảo vệ bổ sung so với việc chỉ sử dụng mã hóa. Điều đó đúng, nhưng không thực sự.
Về cơ bản, miễn là bạn có một cụm mật khẩu mạnh với mã hóa WPA2, thì mã hóa đó sẽ là thứ khó bẻ khóa nhất. Nếu kẻ tấn công có thể bẻ khóa mã hóa WPA2 của bạn, thì việc chúng lừa lọc địa chỉ MAC sẽ là một việc nhỏ. Nếu kẻ tấn công gặp rắc rối với việc lọc địa chỉ MAC, thì họ chắc chắn sẽ không thể phá mã hóa của bạn ngay từ đầu.
Hãy nghĩ về nó giống như thêm một ổ khóa xe đạp vào cửa kho tiền ngân hàng. Bất kỳ tên cướp ngân hàng nào có thể qua được cửa kho tiền ngân hàng đó sẽ không gặp khó khăn gì khi cắt khóa xe đạp. Bạn không có thêm bảo mật thực sự bổ sung nào, nhưng mỗi khi nhân viên ngân hàng cần truy cập vào kho tiền, họ phải dành thời gian xử lý khóa xe đạp.
Nó tẻ nhạt và tiêu tốn thời gian
LIÊN QUAN:10 Tùy chọn Hữu ích Bạn có thể Định cấu hình trong Giao diện Web của Bộ định tuyến
Thời gian dành cho việc quản lý đây là lý do chính mà bạn không nên bận tâm. Khi bạn thiết lập tính năng lọc địa chỉ MAC ngay từ đầu, bạn sẽ cần lấy địa chỉ MAC từ mọi thiết bị trong gia đình mình và cho phép địa chỉ đó trong giao diện web của bộ định tuyến. Điều này sẽ mất một chút thời gian nếu bạn có nhiều thiết bị hỗ trợ Wi-Fi, như hầu hết mọi người.
Bất cứ khi nào bạn nhận được một thiết bị mới - hoặc một vị khách đến thăm và cần sử dụng Wi-Fi của bạn trên thiết bị của họ - bạn sẽ phải truy cập vào giao diện web của bộ định tuyến và thêm địa chỉ MAC mới. Đây là bước đầu của quy trình thiết lập thông thường, nơi bạn phải cắm cụm mật khẩu Wi-Fi vào mỗi thiết bị.
Điều này chỉ thêm công việc bổ sung cho cuộc sống của bạn. Nỗ lực đó sẽ được đền đáp bằng khả năng bảo mật tốt hơn, nhưng sự gia tăng bảo mật rất nhỏ đến không tồn tại mà bạn nhận được khiến điều này không đáng để bạn mất thời gian.
Đây là một tính năng quản trị mạng
Lọc địa chỉ MAC, được sử dụng đúng cách, là một tính năng quản trị mạng hơn là một tính năng bảo mật. Nó sẽ không bảo vệ bạn khỏi những người bên ngoài đang cố gắng chủ động bẻ khóa mã hóa của bạn và xâm nhập vào mạng của bạn. Tuy nhiên, nó sẽ cho phép bạn chọn thiết bị nào được phép trực tuyến.
Ví dụ: nếu bạn có con, bạn có thể sử dụng tính năng lọc địa chỉ MAC để không cho phép máy tính xách tay hoặc smartphpone của chúng truy cập vào mạng Wi-FI nếu bạn cần nối đất cho chúng và lấy đi quyền truy cập Internet. Những đứa trẻ có thể vượt qua sự kiểm soát của phụ huynh này bằng một số công cụ đơn giản, nhưng chúng không biết điều đó.
Đó là lý do tại sao nhiều bộ định tuyến cũng có các tính năng khác phụ thuộc vào địa chỉ MAC của thiết bị. Ví dụ: chúng có thể cho phép bạn bật tính năng lọc web trên các địa chỉ MAC cụ thể. Hoặc, bạn có thể ngăn các thiết bị có địa chỉ MAC cụ thể truy cập web trong giờ học. Đây không thực sự là các tính năng bảo mật vì chúng không được thiết kế để ngăn kẻ tấn công biết chúng đang làm gì.
Nếu bạn thực sự muốn sử dụng tính năng lọc địa chỉ MAC để xác định danh sách các thiết bị và địa chỉ MAC của chúng cũng như quản lý danh sách các thiết bị được phép trên mạng của bạn, hãy thoải mái. Một số người thực sự thích kiểu quản lý này ở một mức độ nào đó. Tuy nhiên, tính năng lọc địa chỉ MAC không thực sự tăng cường bảo mật Wi-Fi của bạn, vì vậy bạn không nên cảm thấy bắt buộc phải sử dụng nó. Hầu hết mọi người không nên bận tâm đến tính năng lọc địa chỉ MAC và - nếu họ làm vậy - nên biết đó không thực sự là một tính năng bảo mật.
Tín dụng hình ảnh: nseika trên Flickr