MACアドレスフィルタリングはセキュリティを提供しますか?
ルーターを設定し、ネットワークに接続できるデバイスを選択する必要がある場合があります(MACアドレスフィルタリング)。たとえば、接続を3台の特定のマシンに制限します。ただし、上級ユーザーの場合、MACアドレスを取得して簡単に変更することができます(例:Linuxマシンでは、単純なコマンドラインを使用してmacchanger --mac xx:yy:zz:tt:aa:bb wlan0)
gowenfawr によると、私の3台のマシンの1つが接続されていない場合、上級ユーザーがその場所で再接続することが可能です。
より多くのセキュリティ機能を得るために、MACアドレスフィルタリングの正しい構成は何ですか。
MACフィルタリングは高度なセキュリティを提供しません。攻撃者は、ネットワークに接続されているデバイス(およびその相対MAC)を単純に確認し、これらのMACの1つを偽装することができます。マシンに変更すると、問題なくネットワークに接続できます。結論として、MACアドレスフィルタリングはセキュリティを向上させません。
あなたは自分の質問に答えたようです。上級ユーザーはMACアドレスを偽装できますが、上級ユーザー以外はできません。
MACアドレスフィルタリングは、MACアドレスをスプーフィングするスキルを持っていない人へのアクセスを制限します。
MACアドレスは、最も近いホップにのみ関連しています。そのため、LAN内のMACアドレスのみを偽装できます。つまり、制限を回避したい人は、あなたのネットワーク、またはあなたのネットワークに直接接続されているネットワークに接続する必要があります。つまり、攻撃対象領域が減少します。
ポートファイアウォールと同様に、MACフィルタリングはノイズを削減する優れた方法ですが、安全な認証の代わりとして使用することはできません。 OTOH(これがIPネットワークであると想定)は、IPアドレスによるアクセスの制限とほとんど変わりません。
ルールを維持する努力が利益に値するかどうかは、あなた次第です。
あなたが言ったように、潜在的な攻撃者が彼のMACアドレスを偽装する必要があるので、MACフィルタリングは追加のセキュリティレイヤーを提供します(とらわれたくない場合はとにかく私たちが行うことです)。
Wi-Fiに優れたセキュリティを提供するには、MACフィルタリングを有効にし(ホワイトリストを使用)、DHCPをデバイスの固定IPで無効にし(可能な場合)、WPS機能を無効にし、強力なWPA/WPA2パスワードを設定する必要があります。また、ネットワークを非表示に設定することもできます。
最も重要なことは、強力なパスワードを使用してWPA/WPA2暗号化を行うことです。他のすべてのレイヤーは、熟練した攻撃者によって簡単にバイパスされます
人々がリンクした複製はほとんどの話をカバーしていますが、実際にはMACフィルタリングを機能させる方法があります。つまり、クライアントの分離を有効にします。
クライアントの分離は、個々のWiFiクライアントが互いに通信することを防ぎ、トラフィックを効果的に分離します。正当なクライアントのMACを知るには、そのクライアントからのトラフィックを確認する必要があるため、有効なMACを識別してそれを偽装することはかなり困難になります。
もちろん、これの欠点は、WiFiデバイスが相互に通信できないことです。これは、有線LAN側にホワイトリストに登録されたデバイスがなく、MACフィルタリングがインターフェイスを区別しない場合にも機能します(それ以外の場合は、ホワイトリストに登録されたLANデバイスのMACをWiFiからスニッフィングしてスプーフィングできます)。
この種の制御が理にかなっているシナリオがあります。ユーザーがインターネットにアクセスできる必要があるだけで、内部サービスにはアクセスできないゲストネットワークAP。
MACアドレスフィルターは実際のセキュリティを提供しませんが、誤った安心感を提供します。したがって、有害であると考えるべきです。
特定のデバイスへのアクセスを制限する必要がある場合は、WPA2を使用します。単一の事前共有キーでは不十分な場合、RADIUSサーバーを実行してエンタープライズ認証を使用することはそれほど難しいことではありません)。OpenWRTを使用しています。また、MACアドレスごとに個別のPSKを使用するように構成することもできます。
(また、許可されているすべてのMACがオンラインである場合でも、攻撃者はRTS/CTSフレームを偽造することによって無線を選択的に沈黙させ、攻撃者がMACを使用できるようにすることも注目に値します。)