なぜあなたはあなたのWi – FiルータでMACアドレスフィルタリングを使用すべきではない

MACアドレスフィルタリングでは、デバイスのリストを定義し、Wi-Fiネットワーク上のデバイスのみを許可することができます。それはとにかく理論です。実際には、この保護はセットアップが面倒であり、侵害しやすい。

これはセキュリティの誤った感覚を与えるWi-Fiルーター機能の1つです。 WPA2暗号化だけで十分です。 MACアドレスフィルタリングを使用するのが好きな人もいますが、セキュリティ機能ではありません。

所有している各デバイスには、ネットワーク上で固有のメディアアクセスコントロールアドレス(MACアドレス)が付いています。通常、ルータは適切なパスフレーズを知っている限り、あらゆるデバイスの接続を許可します。 MACアドレスフィルタリングでは、ルータは最初にデバイスのMACアドレスと承認されたMACアドレスのリストを比較し、そのMACアドレスが特に承認されている場合にのみWi-Fiネットワーク上にデバイスを許可します。

あなたのルータはおそらく、あなたのネットワークに接続できるデバイスを選択できるように、Webインターフェイスに許可されたMACアドレスのリストを設定することができます。

これまでのところ、これはかなりいいようです。しかし、MACアドレスは多くのオペレーティングシステムで簡単になりすますことができるため、どのデバイスでも許可された一意のMACアドレスの1つを装うことができます。

MACアドレスも簡単に取得できます。 MACアドレスを使用して各パケットが適切なデバイスに確実に届くように、各パケットがデバイスとの間でやりとりされながら、それらは無線で送信されます。

攻撃者は、1〜2秒間Wi-Fiトラフィックを監視し、パケットを調べて許可されたデバイスのMACアドレスを見つけ、デバイスのMACアドレスをそのMACアドレスに変更し、そのデバイスの場所に接続する必要があります。デバイスが既に接続されているため、これが可能ではないと考えているかもしれませんが、デバイスを強制的にWi-Fiネットワークから切断する「deauth」または「deassoc」攻撃は、攻撃者がその場所で再接続できるようにします。

我々はここでexageratingしていない。 Kali Linuxのようなツールセットを持つ攻撃者は、Wiresharkを使ってパケットを盗聴し、MACアドレスを変更するためのコマンドを実行し、aireplay-ngを使用してそのクライアントにアソシエーション解除パケットを送信し、その場所に接続することができます。このプロセス全体は簡単に30秒未満で完了します。これは手作業で各ステップを実行する手作業の方法に過ぎません。これを高速化できる自動化されたツールやシェルスクリプトは気にしないでください。

この時点では、MACアドレスのフィルタリングは簡単ではないと考えているかもしれませんが、暗号化を使用するだけでは何の保護もありません。それは本当のことではありませんが、本当はそうではありません。

基本的に、WPA2暗号化で強力なパスフレーズを持っている限り、その暗号化は最も難しいことです。攻撃者があなたのWPA2暗号を解読できれば、MACアドレスのフィルタリングを騙すのは簡単ではありません。 MACアドレスのフィルタリングによって攻撃者が困惑した場合、最初に暗号化を解除することはできません。

それは銀行の金庫のドアに自転車のロックを追加するように考えてください。その銀行の金庫のドアを通過することができる銀行強盗は、自転車のロックを切断することに問題はありません。実際の追加のセキュリティは追加されていませんが、銀行の従業員が金庫にアクセスする必要があるたびに、バイクのロックを処理する時間を費やさなければなりません。

これを管理するのに費やした時間が、あなたが気にしてはいけない主な理由です。最初にMACアドレスフィルタリングを設定するときは、家庭内のすべてのデバイスからMACアドレスを取得し、ルータのWebインターフェイスで許可する必要があります。ほとんどの人のように、多くのWi-Fi対応デバイスを使用している場合、これには時間がかかります。

新しいデバイスを入手した場合や、ゲストが来てデバイス上でWi-Fiを使用する必要がある場合は、ルータのWebインターフェイスにアクセスして新しいMACアドレスを追加する必要があります。これは、Wi-Fiパスフレーズを各デバイスに接続する必要がある通常のセットアッププロセスの最優先事項です。

これはあなたの人生に付加的な仕事を加えるだけです。その努力は、より良いセキュリティで恩恵を受けるべきですが、あなたが得る安全性のごくわずかなことから存在しないブーストは、これをあなたの時間の価値がないものにします。

適切に使用されるMACアドレスフィルタリングは、セキュリティ機能よりもネットワーク管理機能のほうが優れています。積極的に暗号化を解読してネットワークに乗ろうとしている外部からあなたを守ることはできません。ただし、オンラインで許可されているデバイスを選択することができます。

たとえば、子供がいる場合、MACアドレスフィルタリングを使用して、ラップトップまたはスマートフォンがWi-Fiネットワークにアクセスできないようにすることができます。子供たちはいくつかのシンプルなツールでこれらのペアレンタルコントロールの周りを回ることができましたが、彼らはそれを知りません。

そのため、多くのルータには、デバイスのMACアドレスに依存するその他の機能もあります。たとえば、特定のMACアドレスでWebフィルタリングを有効にすることができます。または、特定のMACアドレスを持つデバイスが授業中にWebにアクセスできないようにすることもできます。これらは本当にセキュリティ機能ではありません。攻撃者が何をしているのかを知っている攻撃者を止めるように設計されていないからです。

本当にMACアドレスフィルタリングを使用してデバイスとそのMACアドレスのリストを定義し、ネットワーク上で許可されているデバイスのリストを管理する場合は、気軽に。一部の人々は、あるレベルでこのような管理を実際に楽しんでいます。しかし、MACアドレスのフィルタリングはあなたのWi-Fiセキュリティへの真の向上を提供しないので、あなたはそれを使うように強く感じるべきではありません。ほとんどの人はMACアドレスのフィルタリングに気を使うべきではありません。もしそうなら、本当にセキュリティ機能ではないことを知っておくべきです。

イメージクレジット:Flickrのnseika

これは古典的なHTGの記事です:良い情報ですが、誤解を招き、潜在的に疎外性のタイトルです!あなたのルータでMACアドレスフィルタリングを使用するべきですか?または、「ルータのMACアドレスフィルタリング:セキュリティ機能ではなく管理機能」!

こんにちは!

記事ありがとう!私は質問があります。 MACフィルタと手動IPアドレス割り当て(DHCP)を使用することは意味がありますか?デバイスのMACに合わせて同時に動作しますか?それはより高いレベルのセキュリティかどうかですか?ありがとうございます!

私はあなたのポストにはまったく同意しますが、私はそうしません。私がMACフィルタリングを使用する唯一の理由の1つ(そして私の息子が家を離れるまで)は、友人がいるたびに、電話/タブレットなどのための「ゲスト」パスワードを提供しますが、私のルーターに自分のデバイスを追加する必要があります、私は若い時に輸送している、私の家の外に駐車し、私のインターネットをサーフィン、一日に沿って運転しているこれらのティーンエイジャーの考えが好きではない、それを担当している。だからMAC IDと名前を追加することで、私の息子がその人ともう友人ではないと決めると(あなたが十代のベッドであなたのシートを交換するのと同じくらい頻繁に友達を変えることを知っているので)MACIDとその人はもはや私たちのインターネットにアクセスすることはできません。これには1〜2分かかるかもしれませんが、長期的には頭痛を救うかもしれません!!!

これには1〜2分かかるかもしれませんが、長期的には頭痛を救うかもしれません!!!

そこにキーワードがあるかもしれません。ティーンエイジャーは、テクノロジーを使用することにますます熟達しており、そのテクノロジーを通じて彼らに課す可能性のある制限を回避する方法を見つけることを覚えておいてください。 MACフィルタリングは、Googleで5分を費やしてそれを把握している人にとって、非常に些細なことです。

おそらく、より良い選択肢は、あなたの息子にパスワードを全く与えないことかもしれません。彼は新しいデバイスをセットアップする必要があるときはいつでも、あなたは彼のためにそれを行う。とにかくMACフィルタリングのためにこれをやっているので、実用的な見地からはほとんど影響がありません。また、記憶されたネットワーク鍵を偽装するよりも、はるかにトリッキーですMACアドレス。

あなたの最良の賭けは、別々のゲスト無線ネットワークをセットアップすることです – あなたは安いルータを購入し、あなたの現在のルータの中に置くことができます。その後、他のすべてのデバイスに影響を与えることなく、好きなだけパスワードを変更することができます。

または最近、多くのルータは実際にゲストSSID機能をルータに内蔵しています。

DHCP予約は、セキュリティにほとんど影響を与えない管理機能です。 DHCPサーバーが許可されたデバイスにアドレスを与えるだけであっても、誰でも自分の好きなIPアドレスを手動で設定することができます。そのIPアドレスがDHCP予約のあるシステムに属していても、許可されたシステムがその時点でオンラインでない場合、問題なく立ち上がるでしょう。アドレスがオンラインの別のシステムに属している場合、いくつかの問題がありますが、それは無料のIPアドレスに変更することで簡単に回避できます。

サブネットの範囲内にフリー(つまり、現在オンラインのシステムで使用されていない)IPアドレスがある限り、DHCPサーバーが誰かがネットワークに参加できないようにすることはできません。

これは古典的なHTGの記事です:よい情報ですが、誤解を招き、潜在的に疎外しているタイトル

誤解を招くことはありません。 MACアドレスフィルタリングを使用することは、人々が間違って考えているセキュリティ機能ではありません。

この記事では議論の余地があると認識していますが、正確であり、メッセージの後ろに立っています。つまり、MACアドレスフィルタリングを使用しないでください。セキュリティ機能。

MACアドレスフィルタリングは、誰かに「あなたの名前はボブですか?」と尋ねるのと同等のセキュリティです。 「うーん、私はボブだよ」 “まあ、よく来てよ!

この記事では議論の余地があると認識していますが、正確であり、メッセージの後ろに立っています。つまり、MACアドレスフィルタリングを使用しないでください。セキュリティ機能。

私は記事を批判していない、ただタイトル!

これに対するHTGの言葉は、強力なパスワード/フレーズが必要であり、MACフィルタリングがセキュリティアドオンとして役に立たないということです。

私の指摘は、良い管理は良い(一般的な)安全であることです。あらゆる場所で「ウィリアーマーク」が隠れているわけではありません(例えば、小児性愛者がいるよりも、ソーシャルメディア彼らは通りから奪われるかもしれないので、無意味です)。

エドワード・スノーデンはNSAデータの収集者に「wiresharking」してアクセスしなかった;彼はゆるやかな管理のためにそれを保持した:http://www.net-security.org/secworld.php?id=15922

[編集]一般的に、それはあなたが心配する必要がある ‘wiresharks’ではなく、内部者です:http://www.net-security.org/secworld.php?id=15828

悪い管理者にはセキュリティ上の影響があります。

おそらく私は自分の時間を無駄にしていますが、SSIDをブロードキャストせず、MACアドレスフィルタリングとWPA2 pskセキュリティも使用しません。私は巧みな人々がそのほとんどをバイパスできることを知っていますが、なぜそれらをEZerにするのですか?

おそらく私は時間を無駄にしていますが、私はSSIDをブロードキャストしません

それは実際にセキュリティにとって悪いことです。ルータがSSIDをブロードキャストしていない場合は、クライアントデバイスを積極的に探す構成にする必要があります。 (これは新しいシステムでは動作しますが、古いシステムやそれに適合していない古いシステムでも必要です)これは、クライアントが出ているときはいつでも、SSIDを範囲内のどのデバイスにもブロードキャストしています。範囲内の攻撃者にアクセスポイントを詐称してクライアントを侵害する可能性があります。

MACフィルタリングはまだセキュリティにネットプラス(または、最悪の場合はニュートラル)の影響を与えますが、暗号化などのより堅牢な手段の上層で使用すると、SSIDの隠蔽は実際よりも害を及ぼすことがあります。

酸素ガスは無色であるが、液体酸素は淡い青色である。