MAC 过滤在 2wire 2701HG-T 调制解调器上不起作用

MAC 过滤在 2wire 2701HG-T 调制解调器上不起作用

为什么 mac 过滤在 2wire 2701HG-T 调制解调器上不起作用?我以前依靠 mac 过滤来阻止使用其他调制解调器的入侵者,但在我妈妈家里,她有一个 2wire 2701HG-T 调制解调器,有几个人窃取了她的 wifi 信号。她的密码已经改了几次了,但入侵者还是不断回来。显然他们有一些很好的该死的软件来破解密码。

为了阻止他们上网,我在调制解调器上设置了 mac 过滤,但不起作用。我甚至“阻止”了我的其中一台设备,但即使在打开和关闭路由器以及设备上的 wifi 后,我仍能连接并获取互联网信号。

我不喜欢这款调制解调器的 mac 过滤设置方式。它没有提供单个允许设备列表,而是提供允许设备列表和阻止设备列表,但如果它真的有效,我也可以接受。

对于为什么会发生这种情况有什么想法吗?

答案1

由于我手头没有 2701(而且我也很难找到模拟器),所以我无法说出配置中可能存在的问题。我猜想您可能在 MAC 过滤器设置方面勾选了错误。通常,SOHO 路由器在白名单模式下进行 MAC 过滤或者黑名单模式 - 两者结合真的毫无意义。请确保您已为路由器设置了正确的模式。设置白名单选项,但只填充黑名单(或反之亦然)将不会产生任何效果。(嗯,它实际上应该阻止所有设备连接,而反之则允许所有设备连接。关键是,没有安全优势。)

黑名单:允许除以下设备外的所有设备那些在“禁止”列表中指定的。(更容易管理,但更难阻止攻击者。)

白名单:允许仅有的“允许”列表中指定的设备。(两者中更可取,因为它默认会阻止未经授权的设备,但更难管理,特别是如果您通常允许访问者进入您的网络。)

无论哪种情况,你都应该不是依靠 MAC 过滤作为主要防御!

这两种 MAC 过滤模式都很容易绕过,因为 MAC 地址不是永久标识符,而且它们总是通过无线方式明文传输。因此,任何人都可以将自己的 MAC 地址更改为他们想要的任何地址,也可以查看范围内任何设备的 MAC 地址。

攻击者只需将其地址更改为您尚未列入黑名单的任何地址,即可轻松绕过黑名单。

列入白名单只是稍微困难一点,但仍然相当简单。攻击者只需等待查看正在主动与您的接入点通信的任何设备的 MAC 地址,然后更改其 MAC 以匹配。

MAC 过滤能阻止一些路过式攻击吗?当然。但如果你面对的是专职攻击者(看起来你就是这样),它实际上并不能阻止他们。

虽然您没有提到,“隐藏 SSID”或“禁用信标”或“禁用 SSID 广播”是另一种薄弱的安全措施,不仅不值得,而且应该避免。它所做的只是阻止您的 AP 在空闲时进行广告宣传。但是,只要它正在主动通信,SSID 仍然会以明文形式发送,因此攻击者仍然能够捕获并使用它。更糟糕的是,由于您的 AP 不会广播其存在,因此您的客户端设备必须配置为即使不在 AP 附近也能够寻找 AP。然后,攻击者可以使用您的客户端设备生成的信标来设置他们自己的假 AP 并诱骗您的客户端进行连接。

应该可以依赖的是一个强大的加密和身份验证协议,例如当前的 WPA2-PSK(使用 AES-CCMP)。除此之外,您还应确保您的预共享密钥(PSK,或简称您的 Wi-Fi 网络密码)足够长且复杂,这样它才不容易被猜到或破解。只要您有一个足够强的 PSK(我建议至少 15 个字符,有 3 种不同的字符类型 - 但 WPA2 支持最多 63 个字符,我个人确实将它们全部随机化),您的 Wi-Fi 加密/身份验证在可预见的未来应该不会轻易被破解。哦,甚至不要使用 WEP(严重损坏)或 WPA-TKIP(也损坏了,但仍然比 WEP 好)。如果您出于某种原因真的不能使用 WPA2,那么 WPA-AES 是一个不错的后备方案,直到您可以购买新路由器。

但是,有一个重要的警告:WPS。Wi-Fi 保护设置是一种方便、便捷的一键式连接模式,目前大多数接入点都提供该模式。WPS 的问题在于 PIN 身份验证模式存在弱点,这在许多(如果不是大多数)当前使用的 SOHO 路由器上都存在,攻击者可以轻松破解 PIN,然后通过 WPS 进行身份验证。一旦 WPS 授予某人访问权限,它就会向他们提供您的 PSK,以便他们的设备可以正常连接到网络。更改你的 PSK 不会缓解这种情况!攻击者只需再次破解 WPS(不会花很长时间)即可获得新的 PSK。缓解此问题的唯一方法是完全禁用 WPS,这完全由您控制。(一些较新的路由器增加了抑制此类攻击的功能,但除非最终用户准备亲自测试漏洞,否则他们无法轻松确定这一点。)不幸的是,许多路由器制造商(尤其是旧型号的路由器制造商)已使此操作变得困难或不可能。如果您的路由器存在这种情况,我强烈建议您购买一台新路由器或考虑使用第三方映像(如 Tomato、DD-WRT 或 OpenWRT)刷新固件。

总之:

  • 不再依赖 MAC 过滤。这是一个很好的安全插件,但是很容易被绕过。
  • 甚至不必隐藏您的 SSID。任何人仍然可以看到它,并且当它不广播时,您的客户端最终会变得不那么安全。
  • 使用具有强 PSK 的 WPA2-PSK。 应该是您抵御 Wi-Fi 带宽和数据盗窃的主要防御手段。
  • 禁用 WPS。无论您的身份验证和加密有多好,这都是一个很容易被利用的后门。
  • 如果需要,请获取新设备或固件。如果您当前的路由器不支持 WPA2-PSK,并且/或者不允许您禁用 WPS,那么是时候升级了。如果上述路由器由您的 ISP 提供,您可以随时购买自己的路由器并将其放在 ISP 路由器后面的网络上。然后,确保您的路由器的 Wi-Fi 按照上述说明安全配置,并禁用 ISP 路由器上的 Wi-Fi。

相关内容