¿Es efectivo el filtrado de direcciones MAC en un enrutador wifi? [cerrado]

Si su vecino está tratando de descifrar su wifi, debe cambiar su contraseña a una de 15 caracteres o más, que contenga letras, números, símbolos, mayúsculas, minúsculas, etc. tu wifi Si algo deshabilita tu red o oculta tu red.

El filtrado de direcciones MAC es una forma muy débil de protección wifi:

• las direcciones MAC de sus dispositivos pueden escucharse fácilmente con herramientas como wireshark

• las direcciones MAC de sus dispositivos se pueden cambiar fácilmente (depende del sistema operativo, pero generalmente es una opción en la configuración de red).

• El filtrado de direcciones MAC es molesto de mantener. Debe iniciar sesión en la configuración de su enrutador cada vez que se conecte un nuevo dispositivo, encontrar la dirección MAC en la configuración del nuevo dispositivo, escribir 12 dígitos hexadecimales aparentemente aleatorios (o copiar de los registros de intentos de conexión), y aún decirle al nuevo dispositivo la nueva contraseña wifi fuerte.

Para asegurar tu wifi, asegúrate de usar WPA2 con una contraseña segura (por ejemplo, 6-8 palabras aleatorias) con WPS (Configuración protegida de Wifi) desactivada ( WPS está roto ). También debe verificar que su enrutador no tenga ningún backdoors .

La contraseña segura de alta entropía es extremadamente importante. Las contraseñas de wifi se pueden descifrar en en línea / > después de capturar un apretón de manos, a una tasa de intentos de millones a miles de millones de contraseñas por segundo. Sin embargo, 8 palabras tomadas aleatoriamente de un diccionario con 10000 = 10 ⁴ palabras, significa que hay 10 ³² contraseñas que el atacante tendría que probar (asumiendo que el atacante sabía que así es como Elija contraseñas: la tasa será peor si no lo saben). A una velocidad de mil millones de contraseñas por segundo por computadora con un millón de computadoras, se necesitarían más de mil millones de años para descifrar una contraseña de 8 palabras al azar. (La selección de una cita / frase conocida es mucho más débil incluso si tiene 8 palabras de longitud.) Una frase de contraseña de seis palabras aleatorias tendría 10 ²⁴ (por ejemplo, con un millón de computadoras haciendo mil millones de frases de contraseña por segundo tardaría solo 31 años en romperse). Tenga en cuenta que una frase de contraseña de cuatro palabras solo tiene 10 ¹⁶ , por lo que una sola computadora que haga un billón de frases de contraseña por segundo tomaría alrededor de un mes o dos para romperla. Se puede romper una contraseña de tres palabras con una sola computadora en menos de 20 minutos.

Tenga en cuenta que si elige ir a la ruta de caracteres aleatorios, si elige caracteres al azar de mayúsculas + minúsculas + números, entonces una frase de contraseña de tres palabras es aproximadamente igual a una contraseña de 7 caracteres, una frase de contraseña de cuatro palabras es aproximadamente igual para una contraseña de 9 caracteres, una frase de contraseña de seis palabras es aproximadamente igual a una contraseña de 13 caracteres, y una frase de contraseña de ocho palabras es aproximadamente igual a una contraseña de 18 caracteres.

La protección de MAC no es mucha protección ya que puede falsificar fácilmente su dirección MAC. Incluso si oculta la transmisión de su SSID (Identificador de conjunto de servicios) de la red pronto cuando se conecta a la red mediante una conexión inalámbrica y él está olfateando utilizando una herramienta como AirMon-NG, obtendría su nombre de SSID para su AP (Punto de acceso), que es pasivo y podría Atacar los apretones de manos. Un enfoque más agresivo sería enviar un paquete de des-autenticación para que tenga que volver a autenticarse y él podría comprometer el enrutador.

Sin embargo, si rara vez se conecta una conexión inalámbrica al enrutador, una contraseña más larga solo dificultará su trabajo si intenta atacar a su enrutador / diccionario de forma brutal.

Lista de cosas que querrás hacer:

1. Se recomienda una contraseña segura como LinuxGuts69.
2. Filtro MAC (solo agregue su teléfono y otros dispositivos a la lista blanca).
3. Aísle a sus clientes inalámbricos de su red.
4. Oculta tu SSID como recomienda LinuxGuts69.
5. Limite la cantidad de dispositivos que están conectados a su red. Si tiene un máximo de 3 dispositivos conectados y el pirata informático el 4to intenta conectarse, no tendrá espacio para conectarse. Esto le permitirá saber si tuvo éxito o no.
6. Habilite los registros de conexión exitosos en su enrutador.
7. Habilite el acceso a la red basado en el tiempo si siempre está trabajando a la vez y luego programe su enrutador para que no se transmita a la vez.
8. Cambia tu contraseña de administrador predeterminada
9. Deshabilita la conexión automática en tus dispositivos. Solo conecta cuando lo necesites. Lo que reducirá el potencial ataque de apretones de manos.

Un par de pensamientos ...

• Como se señaló, la seguridad basada en MAC o SSID es bastante inútil contra un atacante dedicado. El cifrado WEP también es inútil.
• Use el mejor mecanismo de seguridad que admita su enrutador. WPA2 es bueno. WPA está bien, cuando se usa junto con TKIP o EAP. Use la clave de encriptación más larga que se le ofrece.
• Use el PSK más largo que tenga permitido (generalmente 63 caracteres); Esto detendrá los ataques de fuerza bruta. A menos que tenga muchas adiciones ad hoc a su WLAN, la clave debe ser una secuencia aleatoria. FWIW ... "LinuxGuts69" es una contraseña terrible que un cracker decente encontrará rápidamente (2 palabras de diccionario + "69" es el tipo de patrón que se busca específicamente).
• Observe y vea si su AP inalámbrico admite cambiar el "intervalo de renegociación de clave". Cambiarlo a algo más pequeño, como 300 segundos. Esto obliga al AP y al cliente a calcular una nueva clave de sesión y anulará los ataques que se basan en la recopilación de una gran cantidad de datos cifrados en una sola clave de sesión. No lo configure demasiado pequeño o afectará el rendimiento.
• Si tiene un área pequeña en la que usa su WLAN, reduzca la potencia de transmisión de sus radios AP. Él no puede hackearte si no puede obtener una señal. Del mismo modo, si su AP lo admite, es posible que obtenga una antena direccional que transmite la mayoría de la señal lejos de su persona mala.
• Si puedes averiguar el MAC de tu chico malo, puedes usar algo como Aircrack-ng para enviar paquetes de disociación y expulsarlo repetidamente de tu AP. Ten en cuenta que él puede devolverte el favor y echarte también.
• Si su persona mala solo tiene una tarjeta WLAN 11N de 802.11B / G o 2.4GHz solo, pasar a 802.11A o 5GHz 11N significa que no puede verlo. También puede cambiar el canal en el que trabaja su WLAN a uno u otro extremo del espectro. Si es particularmente poco hábil y dependiendo de qué equipo tiene, eso puede hacer que le sea más difícil recibir una señal.

Probablemente hay algunas cosas más que puedes hacer, pero la complejidad aumenta bastante rápido.

- También puede usar la pequeña aplicación md5pass para ayudarlo a crear una contraseña mucho más elaborada y segura en un lugar más frágil, de modo que puede usar esta contraseña para proteger mejor su red, aquí hay un ejemplo:

   md5pass keyword bit 

  -Would be something like:

   md5pass inviolable 4096

           $1$4096$NBmqXsDvKsMuHCXHMXAJK.

 -Since -> $1$4096$NBmqXsDvKsMuHCXHMXAJK.

(Es el resultado generado mediante el uso de la palabra inviolable md5pass que ahora puede usar la clave generada como contraseña).

Esto es muy útil para establecer una contraseña para un grupo de usuarios para un enrutador, enrutadores inalámbricos principalmente porque puede almacenar la palabra clave que generó la contraseña en otro lugar y usar la clave que es más fuerte y está mejor preparada para ser utilizada solo por aquellos quienes lo poseen, créanme aquí en mi vecindario, hay muchos enrutadores inalámbricos con contraseñas que son muy fáciles de descifrar. Una contraseña bien redactada no significa que esté 100% seguro contra intrusiones, sino que cree que obstaculiza el trabajo del atacante mucho de lo que ya está alguna cosa. Con esto, puede usarlo como una contraseña en alguno de los sistemas WEP, WAP o WAP2 en el enrutador inalámbrico.