MAC 过滤在 2wire 2701HG-T 调制解调器上不起作用

由于我手头没有 2701（而且我也很难找到模拟器），所以我无法说出配置中可能存在的问题。我猜想您可能在 MAC 过滤器设置方面勾选了错误。通常，SOHO 路由器在白名单模式下进行 MAC 过滤或者黑名单模式 - 两者结合真的毫无意义。请确保您已为路由器设置了正确的模式。设置白名单选项，但只填充黑名单（或反之亦然）将不会产生任何效果。（嗯，它实际上应该阻止所有设备连接，而反之则允许所有设备连接。关键是，没有安全优势。）

黑名单：允许除以下设备外的所有设备那些在“禁止”列表中指定的。（更容易管理，但更难阻止攻击者。）

白名单：允许仅有的“允许”列表中指定的设备。（两者中更可取，因为它默认会阻止未经授权的设备，但更难管理，特别是如果您通常允许访问者进入您的网络。）

无论哪种情况，你都应该不是依靠 MAC 过滤作为主要防御！

这两种 MAC 过滤模式都很容易绕过，因为 MAC 地址不是永久标识符，而且它们总是通过无线方式明文传输。因此，任何人都可以将自己的 MAC 地址更改为他们想要的任何地址，也可以查看范围内任何设备的 MAC 地址。

攻击者只需将其地址更改为您尚未列入黑名单的任何地址，即可轻松绕过黑名单。

列入白名单只是稍微困难一点，但仍然相当简单。攻击者只需等待查看正在主动与您的接入点通信的任何设备的 MAC 地址，然后更改其 MAC 以匹配。

MAC 过滤能阻止一些路过式攻击吗？当然。但如果你面对的是专职攻击者（看起来你就是这样），它实际上并不能阻止他们。

虽然您没有提到，“隐藏 SSID”或“禁用信标”或“禁用 SSID 广播”是另一种薄弱的安全措施，不仅不值得，而且应该避免。它所做的只是阻止您的 AP 在空闲时进行广告宣传。但是，只要它正在主动通信，SSID 仍然会以明文形式发送，因此攻击者仍然能够捕获并使用它。更糟糕的是，由于您的 AP 不会广播其存在，因此您的客户端设备必须配置为即使不在 AP 附近也能够寻找 AP。然后，攻击者可以使用您的客户端设备生成的信标来设置他们自己的假 AP 并诱骗您的客户端进行连接。

你应该可以依赖的是一个强大的加密和身份验证协议，例如当前的 WPA2-PSK（使用 AES-CCMP）。除此之外，您还应确保您的预共享密钥（PSK，或简称您的 Wi-Fi 网络密码）足够长且复杂，这样它才不容易被猜到或破解。只要您有一个足够强的 PSK（我建议至少 15 个字符，有 3 种不同的字符类型 - 但 WPA2 支持最多 63 个字符，我个人确实将它们全部随机化），您的 Wi-Fi 加密/身份验证在可预见的未来应该不会轻易被破解。哦，甚至不要使用 WEP（严重损坏）或 WPA-TKIP（也损坏了，但仍然比 WEP 好）。如果您出于某种原因真的不能使用 WPA2，那么 WPA-AES 是一个不错的后备方案，直到您可以购买新路由器。

但是，有一个重要的警告：WPS。Wi-Fi 保护设置是一种方便、便捷的一键式连接模式，目前大多数接入点都提供该模式。WPS 的问题在于 PIN 身份验证模式存在弱点，这在许多（如果不是大多数）当前使用的 SOHO 路由器上都存在，攻击者可以轻松破解 PIN，然后通过 WPS 进行身份验证。一旦 WPS 授予某人访问权限，它就会向他们提供您的 PSK，以便他们的设备可以正常连接到网络。更改你的 PSK 不会缓解这种情况！攻击者只需再次破解 WPS（不会花很长时间）即可获得新的 PSK。缓解此问题的唯一方法是完全禁用 WPS，这完全由您控制。（一些较新的路由器增加了抑制此类攻击的功能，但除非最终用户准备亲自测试漏洞，否则他们无法轻松确定这一点。）不幸的是，许多路由器制造商（尤其是旧型号的路由器制造商）已使此操作变得困难或不可能。如果您的路由器存在这种情况，我强烈建议您购买一台新路由器或考虑使用第三方映像（如 Tomato、DD-WRT 或 OpenWRT）刷新固件。

总之：

• 不再依赖 MAC 过滤。这是一个很好的安全插件，但是很容易被绕过。
• 甚至不必隐藏您的 SSID。任何人仍然可以看到它，并且当它不广播时，您的客户端最终会变得不那么安全。
• 使用具有强 PSK 的 WPA2-PSK。 这应该是您抵御 Wi-Fi 带宽和数据盗窃的主要防御手段。
• 禁用 WPS。无论您的身份验证和加密有多好，这都是一个很容易被利用的后门。
• 如果需要，请获取新设备或固件。如果您当前的路由器不支持 WPA2-PSK，并且/或者不允许您禁用 WPS，那么是时候升级了。如果上述路由器由您的 ISP 提供，您可以随时购买自己的路由器并将其放在 ISP 路由器后面的网络上。然后，确保您的路由器的 Wi-Fi 按照上述说明安全配置，并禁用 ISP 路由器上的 Wi-Fi。