Фильтрация MAC-адресов: что это такое и как это работает
Большинство широкополосных маршрутизаторов и других точек беспроводного доступа включают дополнительную функцию, называемую фильтрацией MAC-адресов или аппаратной фильтрацией адресов. Это повышает безопасность, ограничивая количество устройств, которые могут подключаться к сети. Однако, поскольку MAC-адреса могут быть подделаны или подделаны, действительно ли фильтрация этих аппаратных адресов полезна или это пустая трата времени?
Аутентификация MAC должна быть включена?
В обычной беспроводной сети любое устройство, имеющее надлежащие учетные данные (знает SSID и пароль), может проходить аутентификацию на маршрутизаторе и подключаться к сети, получая IP-адрес и доступ к Интернету и любым общим ресурсам.
Фильтрация MAC-адресов добавляет дополнительный уровень к этому процессу. Прежде чем позволить любому устройству подключиться к сети, маршрутизатор проверяет MAC-адрес устройства по списку утвержденных адресов. Если адрес клиента совпадает с адресом в списке маршрутизатора, доступ предоставляется как обычно; в противном случае он заблокирован от присоединения.
Как настроить фильтрацию MAC-адресов
Чтобы настроить фильтрацию MAC-адресов на маршрутизаторе, администратор должен настроить список устройств, которым разрешено подключаться. Должен быть найден физический адрес каждого утвержденного устройства, а затем эти адреса должны быть введены в маршрутизатор, и опция фильтрации MAC-адресов включена.
Улучшает ли фильтрация MAC-адресов безопасность сети?
Теоретически, выполнение этой проверки соединения маршрутизатором перед приемом устройств увеличивает вероятность предотвращения злонамеренной сетевой активности. MAC-адреса беспроводных клиентов не могут быть действительно изменены, потому что они закодированы в оборудовании.
Однако, подобно тому, как запирание дверей вашего дома будет сдерживать большинство грабителей, но не останавливать определенных, настройка MAC-фильтрации не позволяет обычным хакерам получить доступ к сети. Большинство пользователей компьютеров не знают, как подменить MAC-адрес или найти список разрешенных адресов маршрутизатора.
Фильтры MAC не совпадают с фильтрами контента или домена, которые позволяют администраторам сети предотвращать прохождение определенного трафика (например, сайтов для взрослых и социальных сетей) через сеть.
Как заблокировать устройство (Wi-Fi-клиента) на роутере по MAC-адресу?
В этой статье я расскажу о блокировке Wi-Fi клиентов, которые подключены к роутеру. Проще говоря, покажу как по MAC-адресу заблокировать подключено устройство в настройках вашего роутера. Или же заблокировать абсолютно все устройства, и разрешить подключаться только некоторым. Не странно, что статья по блокировке доступа к сайтам через роутер Tp-Link пользуется большой популярностью. Не редко приходится ограничивать доступ к интернету через роутер для какого-то устройства, или же полностью его блокировать.
Подробно рассмотрим блокировку устройств по MAC-адресам на роутерах Asus, Tp-Link, D-link и Zyxel. В них эта функция реализована, правда у каждого производителя по-своему. Но ничего страшного, там не сложно разобраться. Главное, у вас должен быть доступ к настройкам роутера. Не буду здесь расписывать для чего может пригодится такая блокировка, вариантов на самом деле очень много. Кстати, можно запретить подключаться к своему Wi-Fi абсолютно любому устройству: смартфону, планшету, ноутбуку и т. д.
Как правило, есть два способа, которыми можно заблокировать Wi-Fi клиентов:
Давайте подробнее рассмотрим сам процесс на разных маршрутизаторах. Ищите ниже инструкцию для своего роутера, и следуйте инструкциям.
Блокировка устройств по MAC-адресу на роутере Asus
Подключитесь к роутеру, и откройте настройки по адресу 192.168.1.1. Или, смотрите подробную инструкцию по входу в панель управления. В настройках перейдите на вкладку Беспроводная сеть – Фильтр MAC адресов беспроводной сети.
Напротив пункта Включить фильтр MAC-адресов установите переключатель в положение Да. В меню Режим фильтрации MAC-адресов вы можете выбрать Отклонять, или Принимать. Имеется введу, устрйоства, которые мы добавим в список. Если выбрать Принимать, то будут заблокированы абсолютно все устройства, кроме тех, которые вы добавите в список. Скорее всего, вам нужно оставить Отклонять, что бы блокировать только некоторых клиентов.
Дальше, выберите из списка подключенное устройство, которое вы хотите заблокировать, или пропишите MAC-адрес устройства вручную. Для добавления устройства нажмите на кнопку добавить (+).
Добавленный клиент появится в списке. Что бы сохранить, нажмите на кнопку Применить. Устройство будет отключено от вашей Wi-Fi сети, и не сможет к ней подключится, пока вы его не разблокируете.
Что бы убрать блокировку, нажмите напротив устройства на кнопку Удалить (-), и нажмите Применить. У Asus эта функция реализована очень просто и понятно. Думаю, вы со мной согласитесь.
Блокируем Wi-Fi клиентов по MAC-адресу на роутере Tp-Link
Уже по стандартной схеме, заходим в настройки своего Tp-Link. Переходим на вкладку Wireless – Wireless MAC Filtering. Нажимаем на кнопку Enable, что бы включить фильтрацию.
В поле MAC Address прописываем адрес устройства, которое хотим заблокировать.
Появится созданное правило. Вы можете его удалить, или изменить, нажав на соответствующие ссылки напротив него. Или же, создать новое правило, для еще одного клиента.
Что бы обратно разблокировать устройство, достаточно удалить правило, либо отредактировать его, и сменить Status на Disabled.
Как запретить Wi-Fi устройство на роутере D-Link?
Так, сейчас будем блокировать клиентов на D-link DIR-615. Заходим в настройки по адресу 192.168.0.1. Если делаете в первый раз, или не получается, то смотрите эту инструкцию. В настройках переходим на вкладку Wi-Fi – MAC-фильтр – Режима фильтра. В меню, напротив Режим ограничений MAC-фильтра, выбираем один из двух вариантов: Разрешать, или Запрещать.
Если вы хотите заблокировать одного, или нескольких клиентов, то выберите Запрещать. А если хотите блокировать абсолютно все подключения по Wi-Fi, кроме тех устройств, которые добавите в список, то выберите Разрешать. Нажмите на кнопку Применить.
Дальше переходим на вкладку MAC-фильтр – MAC-адреса. И выбираем из списка (устройств, которые подключены) устройство, которое хотим заблокировать. Либо нажимаем на кнопку добавить, и указываем адрес вручную. Нажимаем кнопку Применить.
Добавленные устройства появляться в списке, и не смогут подключатся к вашей сети. Вы сможете удалять их из списка, или добавлять новые.
Вот так это настраивается на роутерах D-Link. Все просто, только жаль, что в списке возле адреса не выводится имя устройства. Сложно понять кого блокировать.
Контроль Wi-Fi клиентов по MAC-адресам на Zyxel
Давайте еще рассмотрим настройку фильтрации по MAC на устройствах ZyXEL Keenetic. Зайдите в настройки своего роутера по адресу 192.168.1.1. Сначала, нам нужно зарегистрировать необходимое устройство в домашней сети. Для этого, снизу перейдите на вкладку Домашняя сеть, нажмите в списке на нужное устройство, и нажмите на кнопку Зарегистрировать.
Дальше перейдите на вкладку Сеть Wi-Fi, и сверху откройте вкладку Список доступа. Первым делом, в поле Режим блокировки выберите тот, который вам подходит. Белый список – блокировать все устройства, кроме тех что в списке. Черный список – блокировать только тех клиентов, которые в писке.
Выделаем галочкой устройство, которое нужно заблокировать, и нажимаем кнопку Применить.
После этого, клиент будет отключен от роутера, и не сможет больше подключится.
Что бы убрать устройство из черного списка, достаточно снять галочку, и Применить настройки.
Вот и вся инструкция.
Может быть такое, что вы случайно заблокируете сами себя. В таком случае, зайдите в настройки подключившись к роутеру с помощью кабеля, или с другого устройства, и удалите свое устройство из списка. Если вдруг не получится, то можно сделать сброс настроек роутера.
Надеюсь, моя инструкция вам пригодилась. Удачи!
Как настроить МАС фильтр на маршрутизаторе TP-Link
Если вы хотите ограничить число компьютеров с доступом в Интернет, воспользуйтесь функцией MAC Filtering (МАС фильтр).
Вам необходимо знать МАС адреса всех компьютеров, которым вы хотите разрешить доступ в Интернет. Вы можете узнать их, воспользовавшись командной строкой.
(2) Введите ipconfig / all в диалоговом окне, нажмите Enter (Ввод), на экране отобразится вся адресная информация.
Откройте браузер и введите в адресную строку IP адрес маршрутизатора (по умолчанию 192.168.1.1) и нажмите Enter (Ввод).
Выберите Enable Firewall (Включить брандмауэр), затем укажите Enable MAC Filtering (Включить МАС фильтр). Если вы хотите разрешить доступ к сети только некоторым компьютерам, сделайте отметку Allow these PCs with enable rules to access the Internet (Разрешить доступ в Интернет компьютерам с указанными адресами). После этого те компьютеры, МАС адреса которых прописаны в правилах фильтрации, будут иметь доступ к Интернету. Если вы, наоборот, хотите запретить доступ в Интернет этим компьютерам, выберите Deny these PCs with enabled rules to access the Internet (Запретить доступ в Интернет компьютерам с указанными адресами).
Нажмите Save (Сохранить), чтобы сохранить настройки.
Нажмите Add New (Добавить), чтобы создать и настроить правило.
Введите МАС адрес компьютера, которому вы хотите разрешить доступ в Интернет, в соответствующее поле. Активируйте правило.
Нажмите Save (Сохранить), чтобы сохранить настройки.
После этого компьютеру, МАС адрес которого указан в правиле, будет предоставлен доступ в Интернет.
Если вы хотите разрешить доступ в Интернет другим компьютерам, нажмите Add New (Добавить), чтобы создать новое правило. Заметьте, что для каждого МАС адреса необходимо создавать отдельное правило.
Делает ли фильтрация по MAC адресу вашу сеть безопаснее?
Фильтрация MAC-адресов позволяет вам определять список устройств и разрешать только эти устройства в сети Wi-Fi. Во всяком случае, это теория. На практике эта защита является утомительной для создания и легкому нарушению.
Как работает фильтрация MAC-адресов
Каждое ваше устройство имеет уникальный адрес управления доступом к среде передачи (MAC-адрес), который идентифицирует его в сети. Как правило, маршрутизатор позволяет любому устройству подключаться — если он знает соответствующую кодовую фразу. При фильтрации MAC-адресов маршрутизатор сначала сравнивает MAC-адрес устройства с утвержденным списком MAC-адресов и разрешает только устройство в сети Wi-Fi, если его MAC-адрес был специально одобрен.
Возможно, ваш маршрутизатор позволяет вам настроить список разрешенных MAC-адресов в своем веб-интерфейсе, позволяя вам выбирать, какие устройства могут подключаться к вашей сети.
Фильтрация MAC-адресов не обеспечивает безопасность
MAC-адреса также легко получить. Они отправляются в эфир с каждым пакетом, идущим на устройство и с устройства, поскольку MAC-адрес используется для обеспечения того, чтобы каждый пакет попадал на нужное устройство.
Все злоумышленники должны следить за трафиком Wi-Fi на секунду или два, изучить пакет, чтобы найти MAC-адрес разрешенного устройства, изменить MAC-адрес своего устройства на этот разрешенный MAC-адрес и подключиться к нему на этом устройстве. Возможно, вы думаете, что это будет невозможно, потому что устройство уже подключено, но атака «deauth» или «deassoc», которая принудительно отключает устройство от сети Wi-Fi, позволит злоумышленнику восстановить соединение на своем месте.
Мы здесь не увлекаемся. Злоумышленник с набором инструментов, например, Kali Linux, может использовать Wireshark для подслушивания пакета, запускать оперативную команду для изменения своего MAC-адреса, использовать aireplay-ng для отправки пакетов деассоциации на этот клиент, а затем подключаться на своем месте. Весь этот процесс может занять менее 30 секунд. И это всего лишь ручной метод, который включает в себя выполнение каждого шага вручную — не обращайте внимания на автоматизированные инструменты или сценарии оболочки, которые могут сделать это быстрее.
Шифрование WPA2 достаточно
На данный момент вы можете думать, что фильтрация MAC-адресов не является надежной, но обеспечивает некоторую дополнительную защиту только при использовании шифрования. Это похоже на истину, но не на самом деле.
Подумайте, как добавить велосипедный замок в дверь банковского хранилища. Любые грабители банков, которые могут пройти через дверь банковского хранилища, не будут иметь проблемы с блокировкой велосипедного замка. Вы не добавили никакой реальной дополнительной безопасности, но каждый раз, когда сотрудник банка должен получить доступ к хранилищу, им приходится тратить время на блокировку велосипеда.
Это утомительно и отнимает время
Время, затрачиваемое на управление этим, является основной причиной, по которой вам не следует беспокоиться. Когда вы сначала настраиваете фильтрацию MAC-адресов, вам нужно получить MAC-адрес от каждого устройства в домашнем хозяйстве и разрешить его в веб-интерфейсе вашего маршрутизатора. Это займет некоторое время, если у вас много устройств с поддержкой Wi-Fi, как это делают большинство людей.
Всякий раз, когда вы получаете новое устройство — или приходит гость, и вам нужно использовать Wi-Fi на своих устройствах, вам нужно будет войти в веб-интерфейс своего маршрутизатора и добавить новые MAC-адреса. Это выше обычного процесса настройки, когда вам нужно подключить кодовую фразу Wi-Fi на каждом устройстве.
Это просто добавляет дополнительную работу в вашу жизнь. Это усилие должно окупиться лучшей защитой, но минимальное-несуществование в безопасности, которое вы получаете, делает это нецелесообразным.
Это функция сетевого администрирования
Фильтрация MAC-адресов, правильно используемая, скорее является функцией сетевого администрирования, чем функцией безопасности. Это не защитит вас от посторонних, пытающихся активно взломать ваше шифрование и попасть в вашу сеть. Тем не менее, это позволит вам выбрать, какие устройства разрешены в Интернете.
Например, если у вас есть дети, вы можете использовать фильтрацию MAC-адресов, чтобы запретить доступ к сети Wi-Fi своим ноутбуком или смартфоном, если вам нужно их заземлить и убрать доступ к Интернету. Дети могли обойти эти родительские элементы управления с помощью простых инструментов, но они этого не знают.
Вот почему многие маршрутизаторы также имеют другие функции, которые зависят от MAC-адреса устройства. Например, они могут позволить вам включить веб-фильтрацию на определенных MAC-адресах. Кроме того, вы можете запретить доступ к веб-узлам со специальными MAC-адресами в школьные часы. На самом деле это не функции безопасности, поскольку они не предназначены для того, чтобы остановить злоумышленника, который знает, что он делает.
Если вы действительно хотите использовать фильтрацию MAC-адресов для определения списка устройств и их MAC-адресов и администрирования списка устройств, разрешенных в вашей сети, не стесняйтесь. Некоторые люди на самом деле пользуются таким управлением на определенном уровне. Но фильтрация MAC-адресов не обеспечивает реального повышения безопасности Wi-Fi, поэтому вы не должны его использовать. Большинство людей не должны беспокоиться о фильтрации MAC-адресов и, если они это делают, должны знать, что это не функция безопасности.
Как настроить MAC-фильтрацию на Wi-Fi роутере
Что такое MAC-фильтрация маршрутизатора
Имейте в виду, что у нас есть все больше и больше компьютеров подключаются в Интернет. В этом есть свои преимущества, но могут возникнуть и проблемы. В последнем мы можем назвать возможные ошибки из-за слишком большого количества подключенных устройств, а также большего риска для безопасности.
Мы могли бы создать фильтрацию MAC-адресов в маршрутизаторе, чтобы определенные устройства невозможно соединиться когда мы его активируем. Например, если мы собираемся находиться вдали от дома на долгое время и не хотим, чтобы телевизор или какое-либо устройство подключалось к маршрутизатору, это может создать проблему безопасности в случае появления уязвимости.
Как работает фильтрация MAC-адресов
Современные маршрутизаторы часто включают эту встроенную функцию. Мы сможем создать как белые, так и черные списки в зависимости от того, что мы хотим. В первом случае мы бы добавили устройства в список, и все они без проблем получили бы доступ к сети. Во втором случае все наоборот: мы добавляем устройства, чтобы они не могли подключиться.
Маршрутизатор делает идентифицировать каждое устройство в соответствии с его MAC-адресом. Если вы обнаружите, что этот адрес есть в любом списке, который мы создали, тогда вы должны действовать. Этот адрес уникален для каждой сетевой карты устройства. Например, простые умные часы с Wi-Fi будут иметь уникальный MAC.
Шаги по созданию MAC-фильтра
Итак, как мы можем создать фильтрацию MAC на роутере и запретить подключение определенных устройств? Это очень простой процесс, хотя он может незначительно отличаться в зависимости от типа имеющегося у нас устройства. Мы увидим общие шаги, которые мы должны предпринять для создания списка.
Нам нужно перейти в Пуск, войти в командную строку и выполнить IPCONFIG команда. Это покажет нам ряд данных, среди которых есть шлюз по умолчанию. Нам просто нужно поместить его в браузер с соответствующими данными, и мы получаем доступ к устройству.
Оказавшись внутри, это будет зависеть от маршрутизатора. Нормальным является то, что мы должны перейти к Wi-Fi или беспроводной сети и Безопасность. Там появится опция MAC Filtering или MAC Filter. Мы должны активировать его и проверить, хотим ли мы создать список, чтобы заблокировать эти адреса или разрешить их (белый или черный список). Вы должны ввести соответствующие MAC-адреса.
Действительно ли фильтрация MAC защищает нас?
Теперь, если это опытный пользователь, которому удалось взломать наш пароль доступа к Wi-Fi, наличие или отсутствие фильтрации MAC-адресов не принесет злоумышленнику большего, чем потеря нескольких секунд. Это неэффективная мера и не будет проблемой для человека, обладающего соответствующими знаниями.
Это так, потому что можно клонировать MAC-адрес компьютера, который подключен к этой сети Wi-Fi, и, таким образом, иметь возможность подключаться без ограничений. Было бы просто необходимо использовать сетевой сниффер для захвата пакетов и определения местоположения подключенных клиентов для получения MAC.
Следовательно, можно сказать, что Фильтрация MAC- на самом деле нас не защищает. Да, это может быть интересно при определенных обстоятельствах, например, когда одно из наших устройств не подключается к сети или не создает базовый барьер, чтобы кто-то без необходимых знаний не мог подключиться.
