¿Contraseña de enrutador vs filtrado de MAC?

El filtrado de MAC no es parte de la especificación 802.11 y, en cambio, es empujado a los enrutadores inalámbricos por (la mayoría) de los proveedores. La razón por la que no forma parte de la especificación 802.11 es porque no proporciona seguridad verdadera (a través de kerckhoff's principio ).

Para que la conexión inalámbrica funcione, las direcciones MAC se intercambian en texto sin formato (independientemente de si está utilizando WEP, WPA, WPA2 o un OPEN AP). Para la conexión inalámbrica encriptada, la dirección MAC es parte del protocolo de enlace inicial (utilizado para derivar la clave de sesión) y / o expuesta durante las comunicaciones de precifrado. Además de todas estas razones, el filtrado de MAC también es mucho más doloroso a la hora de mantener que instituir algo como WPA2-PSK.

En pocas palabras, el filtrado de MAC no es algo que deba ser "crackeado". En las redes abiertas, las personas solo necesitan oler el aire y podrán ver qué dispositivos funcionan, y luego pueden usar one de muchos , muchas herramientas extremadamente simples para cambiar su dirección MAC. En redes cifradas, necesitarán olfatear y tomar un nuevo saludo (que puede forzarse fácilmente a través de un deauth attack) ). Desde allí, tienen acceso a tu red.

Mi sugerencia es usar WPA2-PSK con una clave sólida para redes personales o WPA2-Enterprise con un modo EAP fuerte (PEAP o TLS) para redes empresariales. La principal diferencia entre los dos, aparte del método de autenticación y autorización, es que con WPA2-PSK, si alguien conoce el PSK y puede capturar el apretón de manos de un usuario, puede descifrar su flujo. Eso no es posible con WPA2-Enterprise, porque usa EAP, que tiene una clave de cifrado diferente por individuo a través del modo EAP. Esto es importante porque no querría que cualquier persona con acceso a la red pudiera descifrar las comunicaciones inalámbricas del CEO.

También es importante tener en cuenta que con WPA2-PSK, su ESSID juega un papel importante en la seguridad de su red debido a lo siguiente:

  

DK = PBKDF2 (HMAC − SHA1, frase de contraseña, essid, 4096, 256)

Esencialmente, WPA2-PSK usa su ESSID como el salt cuando ejecuta PBKDF2. Por esta razón, también debe intentar mantener su ESSID único, para evitar ataques utilizando tablas de arco iris .

En resumen
 - El filtrado de MAC no proporciona ningún nivel de seguridad "real"
 - Use WPA2-PSK si es posible (la mayoría de los teléfonos inteligentes lo admiten)
 - Intente tener un único ESSID

Primero, no hace nada para proteger los datos en la red. En segundo lugar, las direcciones MAC se pueden falsificar fácilmente y una dirección MAC válida se puede eliminar de cualquier dispositivo conectado a su red. Solo mantendrá fuera a los intrusos más básicos (es decir, alguien que no es técnico y simplemente busca wifi gratuito). No ofrece una protección seria para usar simplemente el filtrado de MAC y realmente solo ofrece la protección más básica posible.

Incluso una contraseña WEP / WPA de "contraseña" es mejor que ninguna contraseña porque entonces el tráfico se cifra.

Si no tiene una contraseña, su tráfico, además de los sitios protegidos con SSL, está abierto.

Su dirección MAC se puede cambiar a voluntad, y como lo mencionó Steel City Hacker, se puede rastrear de inmediato.

Te recomiendo explorar tu vecindario con una distribución Backtrack solo para ver cómo funciona esto.

Bien, para mí, si tienes un cliente que esté ejecutando un café como el mío y él no quiere usar LAN, tal vez una combinación de un filtro de MAC y un wps estaría bien.

Por ejemplo, mi cliente se quejó de que algunos amigos de su aprendiz se conectan a su red solo por obtener la contraseña en su sistema (aprendices), ya sea wep, wpa, wpa2, tikp, una vez que la tercera parte conoce su contraseña, entonces es inútil. por eso siento que la dirección de mac es un poco más segura cuando se combina con otra seguridad como un wps, incluso después de autenticar el mac en la tabla de mac, necesitaría un wps para iniciar sesión por completo.