Daugelyje plačiajuosčio ryšio maršruto parinktuvų ir kitų belaidžių prieigos taškų yra pasirenkama funkcija, vadinama MAC adresų filtravimu arba aparatinės įrangos adresų filtravimu. Tai pagerina saugumą ribodama įrenginius, kurie gali prisijungti prie tinklo. Tačiau, kadangi MAC adresai gali būti suklastoti arba suklastoti, ar šių aparatinės įrangos adresų filtravimas iš tikrųjų naudingas, ar tai laiko švaistymas?
Ar turėtų būti įjungtas MAC autentifikavimas?
Įprastame belaidžiame tinkle bet kuris įrenginys, turintis tinkamus kredencialus (žino SSID ir slaptažodį), gali autentifikuoti maršruto parinktuvą ir prisijungti prie tinklo, gaudamas vietinį IP adresą ir prieigą prie interneto bei visų bendrinamų išteklių..
MAC adresų filtravimas suteikia šiam procesui papildomą sluoksnį. Prieš leisdamas bet kuriam įrenginiui prisijungti prie tinklo, maršrutizatorius patikrina įrenginio MAC adresą su patvirtintų adresų sąrašu. Jei kliento adresas sutampa su vienu maršrutizatoriaus sąraše, prieiga suteikiama kaip įprasta; kitu atveju prisijungimas užblokuotas.
Kaip sukonfigūruoti MAC adresų filtravimą
Norėdamas nustatyti MAC filtravimą maršrutizatoriuje, administratorius turi sukonfigūruoti įrenginių, kuriems leidžiama prisijungti, sąrašą. Turi būti rastas kiekvieno patvirtinto įrenginio fizinis adresas, tada tuos adresus reikia įvesti į maršrutizatorių ir įjungti MAC adresų filtravimo parinktį.
Dauguma maršrutizatorių rodo prijungtų įrenginių MAC adresus iš administratoriaus konsolės. Jei ne, naudokite operacinę sistemą. Kai turėsite MAC adresų sąrašą, eikite į maršrutizatoriaus nustatymus ir įdėkite juos į tinkamas vietas.
Pavyzdžiui, norėdami įjungti MAC filtrą Linksys Wireless-N maršrutizatoriuje, eikite į Wireless > Wireless MAC Filter puslapį. Tą patį galima padaryti naudojant NETGEAR maršrutizatorius per Advanced > Security > Prieigos valdymas ir kai kuriuos D- Susiekite maršruto parinktuvus Išplėstiniai > Tinklo filtras
Ar MAC adresų filtravimas pagerina tinklo saugumą?
Teoriškai, jei maršruto parinktuvas atliks šį ryšio patikrinimą prieš priimdamas įrenginius, padidėja galimybė užkirsti kelią kenkėjiškai veiklai tinkle. Belaidžių klientų MAC adresų iš tikrųjų pakeisti negalima, nes jie užkoduoti aparatinėje įrangoje.
Tačiau kritikai atkreipė dėmesį, kad MAC adresai gali būti suklastoti, o ryžtingi užpuolikai žino, kaip šiuo faktu pasinaudoti. Užpuolikas vis tiek turi žinoti vieną iš galiojančių adresų, kad galėtų įsilaužti į tinklą, tačiau tai taip pat nėra sunku visiems, turintiems patirties naudojant tinklo uostymo įrankius.
Tačiau, panašiai kaip namų durų užrakinimas atgrasys daugumą įsilaužėlių, bet nesustabdys ryžtingų įsilaužėlių, MAC filtravimo nustatymas neleidžia vidutiniams įsilaužėliams pasiekti tinklo. Daugelis žmonių nežino, kaip suklastoti MAC adresą arba rasti maršrutizatoriaus patvirtintų adresų sąrašą.
MAC filtrai nėra tas pats, kas turinio ar domeno filtrai, kuriais tinklo administratoriai gali sustabdyti tam tikro srauto (pvz., suaugusiesiems skirtų ir socialinių tinklų svetainių) srautą tinkle.
