完全依赖 MAC 过滤来保护小型个人网络有哪些重大缺点?
更新:有 2 个人提到了 MAC 欺骗。我不确定我是否理解这个说法:MAC 地址的密钥空间为 16 ^ 12,而某些无线安全协议将您限制为 8 个字母数字字符,密钥空间为 36 ^ 8(小于 MAC 地址)。
难道我漏掉了什么?也许 MAC 地址(如信用卡)可以缩小到更小的值范围?
答案1
当添加一个新的无线设备时,您尝试大约一个小时用正确的密钥连接它,并想知道为什么它不工作......然后您突然意识到您已经打开了它......(不久前在客户那里发生过这种事!)。
严肃地说,说到安全,只要您记住设置,每一点帮助都会有帮助——除非您是那种经常让朋友使用无线网络的人,否则没有理由不使用它。
攻击者总是可以伪造 MAC 地址,但归根结底,在安全方面,每一点帮助都是有用的,而这也是攻击者必须跨越的另一个障碍。
编辑,再读一遍问题... 如果您的意思是根本不使用密钥,那么仅依靠 MAC 过滤不是一个好主意。这意味着任何恶意设备都能够监听您网络上发生的几乎所有事情。
更新您编辑的问题 -...MAC 地址在数据包头中发送到路由器,如果您不使用加密,它将是简单的使用正确的工具以纯文本形式阅读...如果您将密钥与 MAC 安全性结合使用,它仍然可以被猜测,但破解它需要花费大量时间(取决于加密级别)。
答案2
您可以轻松伪造 MAC 地址,这意味着您需要允许任何来到您家的人访问网络。
答案3
@Wil 是对的。以太网的性质意味着 MAC 地址会随每个数据包一起发送,因此攻击者不必暴力破解 MAC 地址密钥空间,只需使用 NetStumbler、Kismet 或类似工具监控几分钟的流量,然后选择他看到的 MAC 地址即可。一旦他将其分配给系统的网络接口,他就成为了您网络的一部分,无论出于何种目的。
所以依赖仅有的依靠 MAC 地址过滤是错误的。将它作为另一种策略的一部分,让攻击者不得不处理另一件事,这才是更好的选择。更多的是“我不必比熊更快,我只需要比你更快”的思想流派。如果这让你的网络更难被攻陷,那么只对获得网络访问权限感兴趣的攻击者就会转向更容易的目标。
我的一个朋友告诉我,他们几分钟内就能评估保险箱的等级。一开始我不明白,但他澄清道:没有保险箱是防破解的。但具有各种特征的保险箱可以经得住n几分钟内就能对付一个熟练的攻击者,而攻击者通常使用普通(非固定)工具。无线网络也大同小异。没有哪个网络是不可破解的,但任何能使破解变得更加困难的东西都会增加攻击者继续前进的可能性。当然,这没有考虑到个人动机的攻击者,比如你可能偷走了妻子的黑帽,但这超出了本讨论的范围。