Wi-Fi Yönlendiricinizde Neden MAC Adresi Filtrelemesi Kullanmamalısınız
MAC adresi filtreleme, bir cihaz listesi tanımlamanıza ve Wi-Fi ağınızda yalnızca bu cihazlara izin vermenize olanak tanır. Her neyse, teori bu. Uygulamada, bu korumanın kurulması zahmetlidir ve aşılması kolaydır.
Bu, size yanlış bir güvenlik hissi verecek Wi-Fi yönlendirici özelliklerinden biridir. Sadece WPA2 şifrelemesini kullanmak yeterlidir. Bazı insanlar MAC adres filtrelemeyi kullanmayı sever, ancak bu bir güvenlik özelliği değildir.
MAC Adres Filtreleme Nasıl Çalışır?
İLGİLİ: Yanlış Bir Güvenlik Anlayışına Sahip Olmayın: Wi-Fi'nizi Korumanın 5 Güvensiz Yolu
Sahip olduğunuz her cihaz, onu bir ağ üzerinde tanımlayan benzersiz bir ortam erişim kontrol adresi (MAC adresi) ile birlikte gelir. Normalde bir yönlendirici, uygun parolayı bildiği sürece herhangi bir cihazın bağlanmasına izin verir. MAC adresi filtrelemede bir yönlendirici, önce bir cihazın MAC adresini onaylanmış bir MAC adresleri listesiyle karşılaştırır ve yalnızca MAC adresi özel olarak onaylanmışsa bir cihazın Wi-Fi ağına girmesine izin verir.
Yönlendiriciniz muhtemelen web arayüzünde izin verilen MAC adreslerinin bir listesini yapılandırmanıza izin vererek hangi cihazların ağınıza bağlanabileceğini seçmenize olanak tanır.
MAC Adres Filtreleme Güvenlik Sağlamaz
Şimdiye kadar bu kulağa oldukça iyi geliyor. Ancak MAC adresleri, birçok işletim sisteminde kolaylıkla taklit edilebilir, bu nedenle herhangi bir cihaz, izin verilen bu benzersiz MAC adreslerinden birine sahipmiş gibi davranabilir.
MAC adreslerine ulaşmak da kolaydır. Her paketin doğru cihaza ulaşmasını sağlamak için MAC adresi kullanıldığından, her paket cihaza gidip gelirken kablosuz olarak gönderilirler.
İLGİLİ: Bir Saldırgan Kablosuz Ağ Güvenliğinizi Nasıl Çözebilir?
Bir saldırganın yapması gereken tek şey, Wi-Fi trafiğini bir veya iki saniye izlemek, izin verilen bir cihazın MAC adresini bulmak için bir paketi incelemek, cihazının MAC adresini izin verilen bu MAC adresine değiştirmek ve o cihazın yerine bağlanmaktır. Cihaz zaten bağlı olduğu için bunun mümkün olmayacağını düşünüyor olabilirsiniz, ancak bir cihazın Wi-Fi ağından bağlantısını zorla kesen bir "yetkisizleştirme" veya "deassoc" saldırısı, bir saldırganın yerine yeniden bağlanmasına izin verecektir.
Burada abartmıyoruz. Kali Linux gibi bir araç setine sahip bir saldırgan, bir paketi gizlice dinlemek için Wireshark'ı kullanabilir, MAC adreslerini değiştirmek için hızlı bir komut çalıştırabilir, bu istemciye ayrılma paketleri göndermek için aireplay-ng kullanabilir ve sonra onun yerine bağlanabilir. Tüm bu süreç kolayca 30 saniyeden kısa sürebilir. Ve bu, her adımı elle yapmayı içeren sadece manuel yöntemdir - bunu daha hızlı hale getirebilecek otomatikleştirilmiş araçları veya kabuk komut dosyalarını boş verin.
WPA2 Şifreleme Yeterli
İLGİLİ: Wi-Fi'nizin WPA2 Şifrelemesi Çevrimdışı Olarak Kırılabilir: İşte Nasıl
Bu noktada, MAC adres filtrelemesinin kusursuz olmadığını, ancak şifrelemeyi kullanmaktan biraz daha fazla koruma sağladığını düşünüyor olabilirsiniz. Bu biraz doğru, ama gerçekten değil.
Temel olarak, WPA2 şifrelemeli güçlü bir parolanız olduğu sürece, bu şifreleme kırılması en zor şey olacaktır. Bir saldırgan WPA2 şifrelemenizi kırabilirse, MAC adresi filtrelemesini kandırmaları önemsiz olacaktır. Bir saldırgan MAC adres filtrelemesinden etkilenirse, kesinlikle ilk etapta şifrelemenizi kıramayacaktır.
Bir banka kasası kapısına bisiklet kilidi eklemek gibi düşünün. O banka kasa kapısından girebilen banka soyguncuları, bisiklet kilidini kesmede sorun yaşamaz. Gerçek bir ek güvenlik eklemediniz, ancak bir banka çalışanının kasaya her erişmesi gerektiğinde, bisiklet kilidiyle uğraşmak için zaman harcaması gerekiyor.
Sıkıcı ve Zaman Tüketen
İLGİLİ: Yönlendiricinizin Web Arayüzünde Yapılandırabileceğiniz 10 Faydalı Seçenek
Bunu yönetmek için harcanan zaman, uğraşmamanız gereken ana nedendir. İlk etapta MAC adresi filtrelemeyi kurduğunuzda, evinizdeki her cihazdan MAC adresini almanız ve yönlendiricinizin web arayüzünde buna izin vermeniz gerekir. Çoğu kişinin yaptığı gibi, çok sayıda Wi-Fi özellikli cihazınız varsa bu biraz zaman alacaktır.
Yeni bir cihaz aldığınızda - veya bir misafir geldiğinde ve cihazlarında Wi-Fi'nizi kullanması gerektiğinde - yönlendiricinizin web arayüzüne girmeniz ve yeni MAC adreslerini eklemeniz gerekir. Bu, Wi-Fi parolasını her cihaza takmanız gereken olağan kurulum işleminin en üstündedir.
Bu sadece hayatınıza ek iş ekler. Bu çaba, daha iyi bir güvenlik ile karşılığını vermelidir, ancak aldığınız güvenlikteki çok küçük-varolmayan artış, bunu zamanınıza değmez.
Bu bir Ağ Yönetimi Özelliğidir
Uygun şekilde kullanılan MAC adresi filtreleme, bir güvenlik özelliğinden çok bir ağ yönetimi özelliğidir. Sizi, şifrelemenizi aktif olarak kırmaya ve ağınıza girmeye çalışan yabancılara karşı korumaz. Ancak, hangi cihazlara çevrimiçi olarak izin verileceğini seçmenize izin verecektir.
Örneğin, çocuklarınız varsa, onları topraklamanız ve İnternet erişimini kaldırmanız gerekirse, dizüstü bilgisayarlarının veya akıllı telefonlarının Wi-Fi ağına erişimini engellemek için MAC adres filtrelemesini kullanabilirsiniz. Çocuklar bazı basit araçlarla bu ebeveyn kontrollerini aşabilirler, ancak bunu bilmiyorlar.
Bu nedenle birçok yönlendirici, bir cihazın MAC adresine bağlı olan başka özelliklere de sahiptir. Örneğin, belirli MAC adreslerinde web filtrelemeyi etkinleştirmenize izin verebilirler. Veya, belirli MAC adreslerine sahip cihazların okul saatlerinde web'e erişmesini engelleyebilirsiniz. Ne yaptıklarını bilen bir saldırganı durdurmak için tasarlanmadıkları için bunlar gerçekten güvenlik özellikleri değildir.
Cihazların bir listesini ve bunların MAC adreslerini tanımlamak ve ağınızda izin verilen cihazların listesini yönetmek için gerçekten MAC adresi filtrelemeyi kullanmak istiyorsanız, çekinmeyin. Bazı insanlar aslında bir düzeyde bu tür bir yönetimden hoşlanır. Ancak MAC adresi filtreleme, Wi-Fi güvenliğiniz için gerçek bir artış sağlamaz, bu nedenle onu kullanmak zorunda hissetmemelisiniz. Çoğu kişi MAC adres filtrelemeyle uğraşmamalı ve eğer yaparlarsa bunun gerçekten bir güvenlik özelliği olmadığını bilmelidir.
Resim Kredisi: Flickr'da nseika