¿Merece la pena el filtrado de direcciones MAC y la ocultación de SSID?

Son escollos, pero no insuperables. La ocultación de SSID puede proporcionar cierta protección a las personas que buscan cualquier SSID que puedan tener en sus manos, y el filtrado de MAC puede mantener el riffraff informal. Como los únicos métodos para proteger una WLAN son bastante débiles.

Para alguien que se dirige específicamente a su red, el cifrado (especialmente el cifrado continuo) proporcionará una seguridad mucho mejor. La falsificación de MAC es trivial en la mayoría de los adaptadores en estos días, y una vez que haya descifrado la red hasta el punto en que puede monitorear los paquetes en vuelo, puede obtener una lista de direcciones MAC válidas. SSID es trivial en ese punto también. Debido a la naturaleza automatizada de los conjuntos de herramientas disponibles, el filtrado de MAC y la ocultación de SSID ya no valen la pena. En mi opinión.

No, ninguno de estos son Vale la pena medidas contra un atacante. A menos que tenga una contraseña fácil de adivinar, debe asumir que cualquiera que pueda intentar de manera realista obtener acceso a su red tiene un software para ayudar o un poco de conocimiento sobre cómo sortear estas técnicas.

La ocultación de SSID no mejora la seguridad, ya que es trivial identificar el SSID de una red que está en uso (descargue y ejecute inSSIDer por ejemplo), y de hecho puede comprometer la seguridad de los clientes inalámbricos que están configurados para conectarse a redes SSID ocultas. De un artículo de Microsoft TechNet :

  

el uso de redes que no son de difusión compromete la privacidad de la configuración de la red inalámbrica de un ... cliente inalámbrico porque divulga periódicamente su conjunto de redes inalámbricas preferidas de no transmisión ... es muy recomendable que no use redes inalámbricas que no sean de difusión. .

El filtrado de direcciones MAC no mejora la seguridad ya que el tráfico de red incluye descifrado dirección MAC de dispositivos de red activos. Esto significa que cualquier persona puede encontrar una dirección MAC que esté en la lista permitida y luego utilizar fácilmente el software disponible para falsificar su dirección MAC. / p>

La autenticación y el cifrado son las únicas formas razonables de proteger su red inalámbrica. Para una red doméstica que significa usar la seguridad WPA2-PSK con una contraseña segura y un SSID que no está en la lista de los los 1000 SSID más comunes .

El filtrado de direcciones MAC quizás ofrece un beneficio: controlar el acceso para usuarios no malintencionados. Una vez que le has dado a alguien tu contraseña de WiFi, no tienes control sobre a quién le han dado la contraseña: pueden decirle fácilmente a sus amigos, quizás después de olvidar que no deberían. El filtrado de direcciones MAC significa que usted tiene control central sobre qué dispositivos pertenecientes a personas que no son hackers pueden conectarse.

Entonces, si le preocupa que alguien piratee su red, olvídese de la ocultación de SSID y del filtrado de direcciones MAC. Si no quiere que los amigos de sus amigos se conecten, el filtrado de la dirección MAC podría ayudar ... aunque sería menos molesto pedirles a sus amigos que no pasen la contraseña o simplemente ingresen la contraseña de WiFi en cualquier dispositivo.

Kismet y otros escáneres rfmon completamente pasivos han existido durante mucho, mucho tiempo. A menos que esté en una red wifi doméstica que nunca comparta con los invitados y rara vez agregue dispositivos, el aumento marginal en la seguridad que obtiene de esas dos acciones no vale la pena el aumento marginal de los inconvenientes.

Como han respondido otros, el filtrado de MAC y la ocultación de SSID no ayudan contra un atacante activo.

Pero, pueden valer la pena para cierto grado de protección contra dispositivos no confiables utilizados por personas mayormente de confianza. Te lo explicaré con una situación hipotética:

Supongamos que tiene un enrutador en su casa (o en una empresa) configurado para una "red de invitado" separada. Muchos enrutadores domésticos hacen que esta configuración esté fácilmente disponible, a menudo utilizando una clave WPA para la red principal "doméstica", pero proporcionando un portal cautivo para la red invitada.

Puede ser mucho más conveniente (y definitivamente es más seguro) usar la red primaria, por lo que su familia naturalmente usa eso. Pero siendo el geek tecnológico que es, está seguro de proteger todos los dispositivos en su red doméstica, manteniéndolos totalmente parchados con antivirus, firewalls, etc. actualizados.

Ahora, mientras estás en el trabajo, la amiga de tu adolescente viene a pasar el rato en la casa y ella lleva su computadora portátil. Ella quiere la contraseña de wifi. Quieres que use la red de invitados, porque ¿quién sabe qué hay en esa computadora portátil?

Su adolescente podría simplemente entregar la contraseña de wifi principal, pero ha configurado el filtrado de direcciones MAC. Entonces, en lugar de eso, ella le da la contraseña a la red invitada porque sería un dolor tratar de poner la computadora portátil de su amiga en la red doméstica, incluso si tuviera la contraseña de administrador del enrutador. Se quejan de la necesidad de volver a conectarse cada vez que ella se acerca, pero la computadora portátil que no es de confianza permanece fuera de su red de confianza.

Como dispositivo de seguridad, la ocultación de SSID no hace mucho porque, para conectarse a la red oculta, el cliente emitirá el SSID en lugar del punto de acceso que lo transmite, por lo que al monitorear de forma pasiva un poco, puede recoger lo que el SSID es de todos modos El bloqueo de MAC tampoco es bueno para la seguridad. Si está monitoreando de forma pasiva, verá qué MAC se conecta correctamente y puede falsificar uno de ellos y conectarse usted mismo. Estas son características que pueden ser de ayuda moderada cuando se combinan con otros métodos, pero el esfuerzo de gestión no vale la pena, y sería mucho mejor gastar el esfuerzo en WPA2 empresarial. Los SSID ocultos pueden ser útiles para el uso no seguro de la reducción de la confusión cuando tiene redes empresariales y redes de acceso público en el mismo edificio / área. Si oculta las redes no públicas, los clientes / invitados que buscan conectarse a su red de acceso público no se confundirán tan fácilmente.

Algunos podrían decir que esas medidas son marginales o inútiles, y hasta cierto punto son correctas. Sin embargo, la gestión de la red es un paso hacia una mejor seguridad. Por ejemplo, el filtrado de MAC requiere que encuentre y enumere todos los dispositivos en su red. En casa, esto no es un gran problema, ya que la mayoría de las personas tienen menos de veinte a treinta dispositivos.

Entonces, imagine que tiene DHCP deshabilitado, direccionamiento estático en los cinco dispositivos que pueda tener. Por ejemplo, una computadora portátil, una PlayStation, dos teléfonos celulares y una tableta. (Típico para una familia pequeña.)

Eso no es muchos dispositivos. Así que ahora imaginemos que realmente has molestado a un hacker, y te está apuntando, tratando de encontrar algo jugoso. Es un ingeniero de redes sociales para encontrar su contraseña WPA2. Ahora solo necesita falsificar su dirección MAC y elegir una IP disponible.

Entonces ... escenario 1: Él decide falsificar su computadora portátil. Él falsifica su MAC y usa la misma IP. Esto funciona para el hacker durante unos treinta minutos. Entonces decides que quieres ver Netflix. Abre su computadora portátil y A: No se puede conectar, o B: Windows le dice que hay un conflicto de IP. (Que será). ¿Adivina qué? Acabas de darte cuenta de que algo está pasando que no debería. El Hacker (porque es WiFi), es mejor que esté usando una antena Yagi desde un cuarto de milla de distancia, porque lo han atrapado. Tú ganas. Debido a que administra su red, sabrá si alguien realiza un cambio de configuración o si uno de sus dispositivos comienza a tener problemas de conexión.

Larga historia corta, puede que no lo mantenga fuera. Pero hará que sea más difícil ocultarlo.