El filtrado de MAC no es parte de la especificación 802.11 y, en cambio, es empujado a los enrutadores inalámbricos por (la mayoría) de los proveedores. La razón por la que no forma parte de la especificación 802.11 es porque no proporciona seguridad verdadera (a través de kerckhoff's principio ).
Para que la conexión inalámbrica funcione, las direcciones MAC se intercambian en texto sin formato (independientemente de si está utilizando WEP, WPA, WPA2 o un OPEN AP). Para la conexión inalámbrica encriptada, la dirección MAC es parte del protocolo de enlace inicial (utilizado para derivar la clave de sesión) y / o expuesta durante las comunicaciones de precifrado. Además de todas estas razones, el filtrado de MAC también es mucho más doloroso a la hora de mantener que instituir algo como WPA2-PSK.
En pocas palabras, el filtrado de MAC no es algo que deba ser "crackeado". En las redes abiertas, las personas solo necesitan oler el aire y podrán ver qué dispositivos funcionan, y luego pueden usar one de muchos , muchas herramientas extremadamente simples para cambiar su dirección MAC. En redes cifradas, necesitarán olfatear y tomar un nuevo saludo (que puede forzarse fácilmente a través de un deauth attack) ). Desde allí, tienen acceso a tu red.
Mi sugerencia es usar WPA2-PSK con una clave sólida para redes personales o WPA2-Enterprise con un modo EAP fuerte (PEAP o TLS) para redes empresariales. La principal diferencia entre los dos, aparte del método de autenticación y autorización, es que con WPA2-PSK, si alguien conoce el PSK y puede capturar el apretón de manos de un usuario, puede descifrar su flujo. Eso no es posible con WPA2-Enterprise, porque usa EAP, que tiene una clave de cifrado diferente por individuo a través del modo EAP. Esto es importante porque no querría que cualquier persona con acceso a la red pudiera descifrar las comunicaciones inalámbricas del CEO.
También es importante tener en cuenta que con WPA2-PSK, su ESSID juega un papel importante en la seguridad de su red debido a lo siguiente:
DK = PBKDF2 (HMAC − SHA1, frase de contraseña, essid, 4096, 256)
Esencialmente, WPA2-PSK usa su ESSID como el salt cuando ejecuta PBKDF2. Por esta razón, también debe intentar mantener su ESSID único, para evitar ataques utilizando tablas de arco iris .
En resumen
- El filtrado de MAC no proporciona ningún nivel de seguridad "real"
- Use WPA2-PSK si es posible (la mayoría de los teléfonos inteligentes lo admiten)
- Intente tener un único ESSID