Por qué no deberías usar el filtrado de direcciones MAC en tu enrutador Wi-Fi

Tabla de contenido:

Video: Por qué no deberías usar el filtrado de direcciones MAC en tu enrutador Wi-Fi

Video: Por qué no deberías usar el filtrado de direcciones MAC en tu enrutador Wi-Fi
Video: UBUNTU: INSTALAR ACTUALIZACIONES DE SISTEMA OPERATIVO, PROGRAMAS Y PAQUETES 2024, Marcha
Por qué no deberías usar el filtrado de direcciones MAC en tu enrutador Wi-Fi
Por qué no deberías usar el filtrado de direcciones MAC en tu enrutador Wi-Fi
Anonim
El filtrado de direcciones MAC le permite definir una lista de dispositivos y solo permitir esos dispositivos en su red Wi-Fi. Esa es la teoría, de todos modos. En la práctica, esta protección es tediosa de configurar y fácil de romper.
El filtrado de direcciones MAC le permite definir una lista de dispositivos y solo permitir esos dispositivos en su red Wi-Fi. Esa es la teoría, de todos modos. En la práctica, esta protección es tediosa de configurar y fácil de romper.

Esta es una de las características del enrutador de Wi-Fi que le dará una falsa sensación de seguridad. Solo usar el cifrado WPA2 es suficiente. A algunas personas les gusta usar el filtrado de direcciones MAC, pero no es una característica de seguridad.

Cómo funciona el filtrado de direcciones MAC

Cada dispositivo que posee viene con una única dirección de control de acceso a medios (dirección MAC) que lo identifica en una red. Normalmente, un enrutador permite que cualquier dispositivo se conecte, siempre y cuando conozca la contraseña correcta. Con el filtrado de la dirección MAC, un enrutador primero comparará la dirección MAC de un dispositivo con una lista aprobada de direcciones MAC y solo permitirá que un dispositivo ingrese a la red Wi-Fi si su dirección MAC ha sido específicamente aprobada.

Es probable que su enrutador le permita configurar una lista de direcciones MAC permitidas en su interfaz web, lo que le permite elegir qué dispositivos pueden conectarse a su red.

Image
Image

Filtrado de direcciones MAC no proporciona seguridad

Hasta ahora, esto suena bastante bien. Pero las direcciones MAC se pueden falsificar fácilmente en muchos sistemas operativos, por lo que cualquier dispositivo podría pretender tener una de esas direcciones MAC únicas y permitidas.

Las direcciones MAC son fáciles de obtener, también. Se envían por aire con cada paquete que va desde y hacia el dispositivo, ya que la dirección MAC se utiliza para garantizar que cada paquete llegue al dispositivo correcto.

Todo lo que un atacante debe hacer es monitorear el tráfico de Wi-Fi por un segundo o dos, examinar un paquete para encontrar la dirección MAC de un dispositivo permitido, cambiar la dirección MAC de su dispositivo a esa dirección MAC permitida y conectarse en el lugar de ese dispositivo. Puede estar pensando que esto no será posible porque el dispositivo ya está conectado, pero un ataque "deauth" o "deassoc" que desconecte por la fuerza un dispositivo de una red Wi-Fi permitirá que un atacante vuelva a conectarse en su lugar.

No estamos exagerando aquí. Un atacante con un conjunto de herramientas como Kali Linux puede usar Wireshark para espiar un paquete, ejecutar un comando rápido para cambiar su dirección MAC, usar aireplay-ng para enviar paquetes de desasociación a ese cliente y luego conectarse en su lugar. Todo este proceso podría llevar fácilmente menos de 30 segundos. Y ese es solo el método manual que implica realizar cada paso a mano, sin importar las herramientas automatizadas o los scripts de shell que pueden hacer esto más rápido.

Image
Image

El cifrado WPA2 es suficiente

En este punto, es posible que piense que el filtrado de direcciones MAC no es infalible, sino que ofrece cierta protección adicional con solo usar el cifrado. Eso es cierto, pero no realmente.

Básicamente, siempre que tenga una contraseña segura con el cifrado WPA2, ese cifrado será lo más difícil de descifrar. Si un atacante puede descifrar su cifrado WPA2, será trivial para ellos engañar el filtrado de direcciones MAC. Si el filtro de direcciones MAC dejara perplejo a un atacante, definitivamente no será capaz de romper su cifrado en primer lugar.

Piense en ello como agregar un candado de bicicleta a la puerta de una bóveda de un banco. Cualquier ladrón de bancos que pueda atravesar la puerta de la bóveda del banco no tendrá problemas para cortar el candado de una bicicleta. No ha agregado ninguna seguridad adicional real, pero cada vez que un empleado del banco necesita acceder a la bóveda, tiene que dedicar tiempo al bloqueo de la bicicleta.

Image
Image

Es tedioso y consume tiempo

El tiempo que dedicas a gestionar esto es la razón principal por la que no debes molestarte. Cuando configure el filtrado de direcciones MAC en primer lugar, deberá obtener la dirección MAC de todos los dispositivos de su hogar y permitirlo en la interfaz web de su enrutador. Esto llevará algún tiempo si tiene muchos dispositivos habilitados para Wi-Fi, como la mayoría de las personas.

Cada vez que obtenga un nuevo dispositivo, o cuando llegue un invitado y necesite utilizar su Wi-Fi en sus dispositivos, deberá ingresar a la interfaz web de su enrutador y agregar las nuevas direcciones MAC. Esto se encuentra en la parte superior del proceso de configuración habitual en el que tiene que conectar la frase de contraseña de Wi-Fi en cada dispositivo.

Esto solo agrega trabajo adicional a tu vida. Ese esfuerzo debería valer la pena con una mejor seguridad, pero el impulso minúsculo a inexistente en la seguridad que obtiene hace que esto no valga la pena.

Esta es una característica de administración de red

El filtrado de direcciones MAC, utilizado correctamente, es más una función de administración de red que una característica de seguridad. No lo protegerá contra extraños que intenten descifrar activamente su cifrado y acceder a su red. Sin embargo, le permitirá elegir qué dispositivos están permitidos en línea.

Por ejemplo, si tiene hijos, puede usar el filtrado de direcciones MAC para impedir que su computadora portátil o smartphpone acceda a la red Wi-FI si necesita conectarse a tierra y quitar el acceso a Internet. Los niños podrían sortear estos controles parentales con algunas herramientas simples, pero no lo saben.

Es por eso que muchos enrutadores también tienen otras características que dependen de la dirección MAC de un dispositivo. Por ejemplo, podrían permitirle habilitar el filtrado web en direcciones MAC específicas. O bien, puede evitar que los dispositivos con direcciones MAC específicas accedan a la web durante el horario escolar. Estas no son realmente características de seguridad, ya que no están diseñadas para detener a un atacante que sabe lo que está haciendo.

Image
Image

Si realmente desea utilizar el filtrado de direcciones MAC para definir una lista de dispositivos y sus direcciones MAC y administrar la lista de dispositivos permitidos en su red, siéntase libre. Algunas personas realmente disfrutan este tipo de gestión en algún nivel. Sin embargo, el filtrado de direcciones MAC no proporciona un impulso real a la seguridad de tu Wi-Fi, por lo que no debes sentirte obligado a usarlo. La mayoría de las personas no deberían molestarse con el filtrado de direcciones MAC y, si lo hacen, deberían saber que no es realmente una función de seguridad.

Recomendado: