Bạn có nên bật lọc địa chỉ MAC trên bộ định tuyến không?
Hầu hết các bộ định tuyến băng thông rộng và các điểm truy cập không dây khác bao gồm một tính năng tùy chọn được gọi là lọc địa chỉ MAC hoặc lọc địa chỉ phần cứng. Đó là nghĩa vụ phải cải thiện an ninh bằng cách hạn chế các thiết bị có thể tham gia mạng.
Tuy nhiên, vì địa chỉ MAC có thể bị giả mạo / giả mạo, việc lọc các địa chỉ phần cứng này có thực sự hữu ích hay chỉ là lãng phí thời gian?
Cách thức lọc địa chỉ MAC hoạt động
Trên một mạng không dây thông thường, bất kỳ thiết bị nào có thông tin đăng nhập thích hợp (biết SSID và mật khẩu) có thể xác thực với bộ định tuyến và tham gia mạng, nhận địa chỉ IP và truy cập internet và mọi tài nguyên được chia sẻ.
Lọc địa chỉ MAC thêm một lớp bổ sung cho quá trình này. Trước khi cho phép bất kỳ thiết bị nào tham gia vào mạng, router sẽ kiểm tra địa chỉ MAC của thiết bị dựa vào danh sách các địa chỉ được chấp thuận. Nếu địa chỉ của khách hàng khớp với một địa chỉ trên danh sách của bộ định tuyến, quyền truy cập được cấp như bình thường; nếu không, nó bị chặn tham gia.
Cách cấu hình lọc địa chỉ MAC
Để thiết lập lọc MAC trên bộ định tuyến, quản trị viên phải định cấu hình danh sách các thiết bị sẽ được phép tham gia. Địa chỉ vật lý của mỗi thiết bị được phê duyệt phải được tìm thấy và sau đó các địa chỉ đó cần được nhập vào bộ định tuyến và tùy chọn lọc địa chỉ MAC được bật.
Hầu hết các bộ định tuyến cho phép bạn xem địa chỉ MAC của các thiết bị được kết nối từ bảng điều khiển dành cho quản trị viên. Nếu không, bạn có thể sử dụng hệ điều hành của bạn để làm điều đó . Khi bạn đã có danh sách địa chỉ MAC, hãy vào cài đặt của bộ định tuyến và đặt chúng vào vị trí thích hợp của chúng.
Ví dụ, bạn có thể kích hoạt bộ lọc MAC trên router Linksys Wireless-N thông qua trang Wireless MAC Filter Wireless . Điều tương tự có thể được thực hiện trên các router Netgear thông qua ADVANCED> Security> Access Control , và một số router D-Link trong ADVANCED> NETWORK FILTER .
Bộ lọc địa chỉ MAC có cải thiện an ninh mạng không?
Về lý thuyết, có một bộ định tuyến thực hiện kiểm tra kết nối này trước khi chấp nhận các thiết bị làm tăng khả năng ngăn chặn hoạt động mạng độc hại. Địa chỉ MAC của các máy khách không dây không thể thay đổi được vì chúng được mã hóa trong phần cứng.
Tuy nhiên, các nhà phê bình đã chỉ ra rằng địa chỉ MAC có thể được giả mạo, và những kẻ tấn công xác định biết cách khai thác sự kiện này. Một kẻ tấn công vẫn cần phải biết một trong những địa chỉ hợp lệ cho mạng đó để đột nhập, nhưng điều này cũng không khó đối với bất kỳ ai có kinh nghiệm trong việc sử dụng các công cụ sniffer mạng .
Tuy nhiên, tương tự như cách khóa cửa nhà của bạn sẽ ngăn chặn hầu hết các tên trộm nhưng không ngăn chặn những người được xác định, do đó, quá sẽ thiết lập lọc MAC ngăn chặn tin tặc trung bình nhận được truy cập mạng. Hầu hết người dùng máy tính không biết cách giả mạo địa chỉ MAC của họ, hãy để mình tìm danh sách các địa chỉ được chấp thuận của bộ định tuyến.
Lưu ý: Đừng nhầm lẫn giữa các bộ lọc MAC với nội dung hoặc bộ lọc miền, đó là các cách để quản trị viên mạng dừng lưu lượng truy cập nhất định (như trang web người lớn hoặc mạng xã hội) từ lưu thông qua mạng.