Đây là một trong những tính năng của bộ định tuyến Wi-Fi sẽ mang lại cho bạn cảm giác an toàn giả. Chỉ cần sử dụng mã hóa WPA2 là đủ. Một số người thích sử dụng tính năng lọc địa chỉ MAC nhưng không phải là tính năng bảo mật.
Cách thức lọc địa chỉ MAC hoạt động
Mỗi thiết bị bạn sở hữu đều có địa chỉ điều khiển truy cập phương tiện duy nhất (địa chỉ MAC) xác định nó trên mạng. Thông thường, một bộ định tuyến cho phép bất kỳ thiết bị nào kết nối - miễn là nó biết cụm mật khẩu thích hợp. Với việc lọc địa chỉ MAC, trước tiên bộ định tuyến sẽ so sánh địa chỉ MAC của thiết bị với danh sách địa chỉ MAC được chấp thuận và chỉ cho phép thiết bị vào mạng Wi-Fi nếu địa chỉ MAC của nó được phê duyệt cụ thể.
Router của bạn có thể cho phép bạn cấu hình một danh sách các địa chỉ MAC được cho phép trong giao diện web của nó, cho phép bạn chọn thiết bị nào có thể kết nối với mạng của bạn.
Lọc địa chỉ MAC không cung cấp bảo mật
Cho đến nay, điều này nghe có vẻ khá tốt. Nhưng địa chỉ MAC có thể dễ dàng bị giả mạo trong nhiều hệ điều hành, vì vậy bất kỳ thiết bị nào cũng có thể giả vờ có một trong những địa chỉ MAC được phép, duy nhất.
Địa chỉ MAC cũng dễ dàng nhận được. Chúng được gửi qua mạng với mỗi gói tin đến và đi từ thiết bị, vì địa chỉ MAC được sử dụng để đảm bảo mỗi gói được đưa đến đúng thiết bị.
Tất cả kẻ tấn công phải làm là theo dõi lưu lượng truy cập Wi-Fi trong một hoặc hai giây, kiểm tra gói để tìm địa chỉ MAC của thiết bị được phép, thay đổi địa chỉ MAC của thiết bị thành địa chỉ MAC được phép đó và kết nối tại địa điểm của thiết bị đó. Bạn có thể nghĩ rằng điều này sẽ không thể thực hiện được vì thiết bị đã được kết nối, nhưng cuộc tấn công “deauth” hoặc “deassoc” buộc phải ngắt kết nối thiết bị khỏi mạng Wi-Fi sẽ cho phép kẻ tấn công kết nối lại vào vị trí của nó.
Chúng tôi không tha thứ ở đây. Kẻ tấn công có bộ công cụ như Kali Linux có thể sử dụng Wireshark để nghe trộm gói tin, chạy lệnh nhanh để thay đổi địa chỉ MAC của họ, sử dụng aireplay-ng để gửi các gói phân phối tới máy khách đó, và sau đó kết nối vào vị trí của nó. Toàn bộ quá trình này có thể dễ dàng mất ít hơn 30 giây. Và đó chỉ là phương pháp thủ công liên quan đến việc thực hiện từng bước bằng tay - đừng bao giờ bận tâm đến các công cụ tự động hoặc các kịch bản lệnh shell có thể làm cho việc này nhanh hơn.
Mã hóa WPA2 đủ
Tại thời điểm này, bạn có thể nghĩ rằng lọc địa chỉ MAC không dễ dàng, nhưng cung cấp một số biện pháp bảo vệ bổ sung chỉ bằng cách sử dụng mã hóa. Đó là sự thật, nhưng không thực sự.
Về cơ bản, miễn là bạn có một mật khẩu mạnh với mã hóa WPA2, mã hóa đó sẽ là thứ khó khăn nhất để crack. Nếu kẻ tấn công có thể bẻ khóa mã hóa WPA2 của bạn, điều đó sẽ không quan trọng đối với họ để lừa lọc địa chỉ MAC. Nếu kẻ tấn công bị ngăn cản bởi việc lọc địa chỉ MAC, họ chắc chắn sẽ không thể phá vỡ mã hóa của bạn ngay từ đầu.
Hãy nghĩ về nó như thêm một khóa xe đạp vào một cửa kho tiền. Bất kỳ tên cướp ngân hàng nào có thể đi qua cánh cửa kho tiền ngân hàng đó sẽ không gặp khó khăn khi cắt khóa xe đạp. Bạn đã thêm không có bảo mật bổ sung thực sự, nhưng mỗi khi nhân viên ngân hàng cần truy cập vào kho tiền, họ phải dành thời gian xử lý khóa xe đạp.
Đó là tẻ nhạt và thời gian tiêu thụ
Thời gian quản lý điều này là lý do chính bạn không nên bận tâm. Khi bạn thiết lập lọc địa chỉ MAC ngay từ đầu, bạn sẽ cần lấy địa chỉ MAC từ mọi thiết bị trong hộ gia đình của mình và cho phép nó trong giao diện web của bộ định tuyến. Việc này sẽ mất chút thời gian nếu bạn có nhiều thiết bị hỗ trợ Wi-Fi, như hầu hết mọi người đều làm.
Bất cứ khi nào bạn có thiết bị mới - hoặc khách đến và cần sử dụng Wi-Fi trên thiết bị của họ - bạn sẽ phải truy cập giao diện web của bộ định tuyến và thêm địa chỉ MAC mới. Đây là quá trình thiết lập thông thường, nơi bạn phải cắm cụm mật khẩu Wi-Fi vào từng thiết bị.
Điều này chỉ bổ sung thêm công việc cho cuộc sống của bạn. Nỗ lực đó sẽ được đền đáp với sự an toàn tốt hơn, nhưng sự gia tăng tối thiểu không tồn tại trong bảo mật bạn nhận được khiến việc này không đáng để bạn dành thời gian.
Đây là tính năng quản trị mạng
Lọc địa chỉ MAC, được sử dụng đúng cách, là tính năng quản trị mạng nhiều hơn tính năng bảo mật. Nó sẽ không bảo vệ bạn chống lại những người bên ngoài đang cố gắng chủ động crack mã hóa của bạn và truy cập vào mạng của bạn. Tuy nhiên, nó sẽ cho phép bạn chọn thiết bị nào được phép trực tuyến.
Ví dụ, nếu bạn có con, bạn có thể sử dụng bộ lọc địa chỉ MAC để không cho phép máy tính xách tay hoặc smartphpone truy cập mạng Wi-Fi nếu bạn cần nối mạng và truy cập Internet. Những đứa trẻ có thể vượt qua những kiểm soát của cha mẹ với một số công cụ đơn giản, nhưng họ không biết điều đó.
Đó là lý do tại sao nhiều bộ định tuyến cũng có các tính năng khác phụ thuộc vào địa chỉ MAC của thiết bị. Ví dụ: chúng có thể cho phép bạn bật lọc web trên các địa chỉ MAC cụ thể. Hoặc, bạn có thể ngăn các thiết bị có địa chỉ MAC cụ thể truy cập web trong giờ học. Đây không phải là các tính năng bảo mật thực sự vì chúng không được thiết kế để ngăn kẻ tấn công biết họ đang làm gì.
Nếu bạn thực sự muốn sử dụng bộ lọc địa chỉ MAC để xác định danh sách các thiết bị và địa chỉ MAC của chúng và quản lý danh sách các thiết bị được phép trên mạng của bạn, hãy cảm thấy tự do. Một số người thực sự thích loại quản lý này ở một mức độ nào đó. Tuy nhiên, lọc địa chỉ MAC không mang lại sự tăng cường thực sự cho bảo mật Wi-Fi của bạn, vì vậy bạn không nên bắt buộc phải sử dụng tính năng này. Hầu hết mọi người không nên bận tâm với việc lọc địa chỉ MAC và - nếu họ làm - nên biết đó không thực sự là tính năng bảo mật.
