¿Proporciona seguridad el filtrado de direcciones MAC? [duplicar]

El filtrado de MAC no proporciona una alta seguridad. Un atacante puede simplemente ver qué dispositivos (y sus MAC relativos) están conectados a su red, y falsificar una de estas MAC. Cuando lo cambia a su máquina, puede conectarse a su red sin ningún problema. En conclusión, el filtrado de direcciones MAC no aumenta su seguridad.

Parece que has respondido tu propia pregunta. Un usuario avanzado puede falsificar una dirección MAC, pero los usuarios no avanzados no pueden.

El filtrado de direcciones MAC brinda acceso limitado a aquellos que no tienen la habilidad de falsificar una dirección MAC.

Las direcciones MAC solo son relevantes para el salto más cercano. Por lo tanto, solo puede falsificar una dirección MAC dentro de una LAN. Eso significa que alguien que desee evitar cualquier restricción debe conectarse a su red, o a una red que esté directamente conectada a su red. es decir, se reduce la superficie de ataque.

Al igual que el puerto de cortafuegos, el filtrado de MAC es una excelente manera de reducir el ruido, pero no debe utilizarse como sustituto de la autenticación segura. OTOH, (asumiendo que es una red IP) es un poco diferente de restringir el acceso por dirección IP.

Si el esfuerzo de mantener las reglas vale la pena el beneficio, depende de usted.

Como dijiste, el filtrado de MAC proporciona una capa adicional de seguridad, ya que el atacante potencial tendría que falsificar su dirección MAC (algo que haríamos de todos modos si no quiere que lo detecten).

Para proporcionar una buena seguridad para su Wi-Fi, debe tener activado el filtrado de MAC (con una lista blanca), DHCP desactivado con IP fija para sus dispositivos (si es posible), la función WPS desactivada y una contraseña segura WPA / WPA2. También puedes configurar la red para que no sea visible.

Lo más importante es tener el cifrado WPA / WPA2 con una contraseña segura. Todas las demás capas son fácilmente anuladas por un atacante experto

Si bien el duplicado al que se ha vinculado la gente cubre la mayor parte de la historia, en realidad hay una manera de hacer que el filtrado de MAC funcione: habilitar el aislamiento del cliente.

El aislamiento del cliente evita que los clientes WiFi individuales se comuniquen entre sí, segregando efectivamente su tráfico. Ya que para conocer el MAC de un cliente legítimo, necesitaría ver el tráfico de uno, esto hace que sea bastante difícil identificar un MAC válido y falsificarlo.

La desventaja de esto, por supuesto, es que sus dispositivos WiFi no pueden comunicarse entre sí. Esto también funciona solo si no tiene dispositivos en la lista blanca en el lado de la LAN con cable y su filtro de MAC no distingue entre las interfaces (de lo contrario, puede simplemente detectar el MAC de un dispositivo de la lista blanca desde el WiFi y luego simularlo).

Hay escenarios en los que este tipo de control tiene sentido, por ejemplo, un AP de red invitado donde sus usuarios solo necesitan poder acceder a Internet y no a ningún servicio interno.

Un filtro de dirección MAC no proporciona seguridad real, pero sí proporciona una falsa sensación de seguridad. Por lo tanto, debe considerarse perjudicial.

Si necesita limitar el acceso a ciertos dispositivos, use WPA2. Si una sola clave precompartida no es suficiente para sus propósitos, no es tan difícil (ok, ok, las últimas palabras famosas) ejecutar un servidor RADIUS y usar autenticación empresarial. Yo uso OpenWRT, e incluso se puede configurar para usar un PSK por cada dirección MAC. Eso sí proporciona seguridad.

(También vale la pena señalar que incluso si todos los MAC permitidos están en línea, un atacante puede silenciar selectivamente su radio al forjar tramas RTS / CTS, permitiendo que el atacante use su MAC).