Wi-FiルーターでMACアドレスフィルタリングを使用すべきでない理由

MACアドレスフィルタリングを使用すると、デバイスのリストを定義し、Wi-Fiネットワーク上のそれらのデバイスのみを許可できます。とにかく、それは理論です。実際には、この保護は設定が面倒で、簡単に破ることができます。

これは、誤った安心感を与えるWi-Fiルーター機能の1つです。WPA2暗号化を使用するだけで十分です。MACアドレスフィルタリングの使用を好む人もいますが、これはセキュリティ機能ではありません。

MACアドレスフィルタリングのしくみ

関連:誤った安心感を持たないWi-Fiを保護するための5つの安全でない方法

所有する各デバイスには、ネットワーク上でデバイスを識別する一意のメディアアクセス制御アドレス(MACアドレス)が付属しています。通常、ルーターは、適切なパスフレーズを知っている限り、どのデバイスでも接続できます。MACアドレスフィルタリングを使用すると、ルーターは最初にデバイスのMACアドレスを承認されたMACアドレスのリストと比較し、MACアドレスが特別に承認されている場合にのみデバイスをWi-Fiネットワークに許可します。

ルーターを使用すると、Webインターフェイスで許可されているMACアドレスのリストを構成できるため、ネットワークに接続できるデバイスを選択できます。

MACアドレスフィルタリングはセキュリティを提供しません

これまでのところ、これはかなりいいですね。ただし、MACアドレスは多くのオペレーティングシステムで簡単に偽装される可能性があるため、どのデバイスも、許可された一意のMACアドレスの1つを持っているふりをする可能性があります。

MACアドレスも簡単に取得できます。MACアドレスは各パケットが適切なデバイスに確実に届くようにするために使用されるため、これらはデバイスとの間で送受信される各パケットとともに無線で送信されます。

関連:攻撃者がワイヤレスネットワークのセキュリティをどのようにクラックする可能性があるか

攻撃者がしなければならないのは、Wi-Fiトラフィックを1〜2秒間監視し、パケットを調べて許可されたデバイスのMACアドレスを見つけ、デバイスのMACアドレスを許可されたMACアドレスに変更し、そのデバイスの場所に接続することだけです。デバイスがすでに接続されているため、これは不可能だと思われるかもしれませんが、デバイスをWi-Fiネットワークから強制的に切断する「認証解除」または「関連付け解除」攻撃により、攻撃者は代わりに再接続できます。

ここでは誇張していません。Kali Linuxなどのツールセットを使用している攻撃者は、Wiresharkを使用してパケットを盗聴し、クイックコマンドを実行してMACアドレスを変更し、aireplay-ngを使用して関連付け解除パケットをそのクライアントに送信し、代わりに接続することができます。このプロセス全体は、簡単に30秒未満で完了します。そして、それは手作業で各ステップを実行することを含む単なる手動の方法です—これをより速くすることができる自動化されたツールまたはシェルスクリプトを気にしないでください。

WPA2暗号化で十分

関連:Wi-FiのWPA2暗号化がオフラインで解読される可能性がある:方法は次のとおりです

この時点で、MACアドレスフィルタリングは絶対確実ではないと思われるかもしれませんが、暗号化を使用するだけでなく、いくつかの追加の保護を提供します。それは一種の真実ですが、実際にはそうではありません。

基本的に、WPA2暗号化を使用した強力なパスフレーズがある限り、その暗号化を解読するのは最も困難です。攻撃者がWPA2暗号化を解読できる場合、MACアドレスフィルタリングをだまし取るのは簡単です。攻撃者がMACアドレスフィルタリングに困惑した場合、そもそも暗号化を破ることはできません。

銀行の金庫室のドアに自転車のロックを追加するようなものだと考えてください。その銀行の金庫室のドアを通り抜けることができる銀行強盗は、自転車の錠を切るのに問題はありません。実際のセキュリティを追加していませんが、銀行の従業員が金庫にアクセスする必要があるたびに、自転車のロックの処理に時間を費やす必要があります。

それは退屈で時間のかかる作業です

関連:ルーターのWebインターフェイスで構成できる10の便利なオプション

これを管理するために費やされた時間は、あなたが気にしない主な理由です。最初にMACアドレスフィルタリングを設定するときは、家庭内のすべてのデバイスからMACアドレスを取得し、ルーターのWebインターフェイスで許可する必要があります。ほとんどの人がそうであるように、Wi-Fi対応デバイスがたくさんある場合、これには時間がかかります。

新しいデバイスを入手した場合、またはゲストが来てデバイスでWi-Fiを使用する必要がある場合は、ルーターのWebインターフェイスにアクセスして新しいMACアドレスを追加する必要があります。これは、Wi-Fiパスフレーズを各デバイスに接続する必要がある通常のセットアッププロセスに加えて行われます。

これはあなたの人生に追加の仕事を追加するだけです。その努力はより良いセキュリティで報われるはずです、しかしあなたが得るセキュリティのごくわずかから存在しないブーストはこれをあなたの時間の価値がないようにします。

これはネットワーク管理機能です

適切に使用されるMACアドレスフィルタリングは、セキュリティ機能というよりもネットワーク管理機能です。暗号化を積極的に解読してネットワークに侵入しようとする部外者からあなたを保護することはできません。ただし、オンラインで許可するデバイスを選択できます。

たとえば、子供がいる場合、MACアドレスフィルタリングを使用して、ラップトップまたはsmartphponeがWi-FIネットワークにアクセスできないようにすることができます。これは、子供を接地してインターネットアクセスを奪う必要がある場合です。子供たちはいくつかの簡単なツールでこれらのペアレンタルコントロールを回避することができましたが、彼らはそれを知りません。

そのため、多くのルーターには、デバイスのMACアドレスに依存する他の機能もあります。たとえば、特定のMACアドレスでWebフィルタリングを有効にできる場合があります。または、特定のMACアドレスを持つデバイスが授業時間中にWebにアクセスするのを防ぐことができます。これらは実際にはセキュリティ機能ではありません。何をしているのかを知っている攻撃者を阻止するようには設計されていないからです。

本当にMACアドレスフィルタリングを使用してデバイスとそのMACアドレスのリストを定義し、ネットワークで許可されているデバイスのリストを管理したい場合は、お気軽に。あるレベルでこの種の管理を実際に楽しんでいる人もいます。ただし、MACアドレスフィルタリングはWi-Fiセキュリティを大幅に向上させるものではないため、使用を余儀なくされることはありません。ほとんどの人はMACアドレスフィルタリングを気にするべきではなく、もしそうなら、それが実際にはセキュリティ機能ではないことを知っているべきです。

画像クレジット:Flickrのnseika