Mot de passe du routeur vs filtrage MAC?
Je viens d'acheter un Galaxy S4, et il ne s'est pas connecté au WIFI dans ma maison (j'ai un routeur à 14 $). Après un peu de test, j'ai décidé de laisser ma connexion ouverte sans mot de passe, mais j'ai ajouté les appareils manuellement aux adresses MAC sur liste blanche.
Est-ce plus sûr que d'avoir un mot de passe normal, qui peut être brisé par la force brute ou une autre technique?
Y a-t-il une autre solution que je peux essayer de connecter mon téléphone portable au routeur?
Les erreurs que j'ai obtenues étaient "obtention d'une adresse IP", et après cela "erreur: connexion trop lente ....". J'ai une bonne connexion.
Le filtrage MAC ne fait pas partie de la spécification 802.11 et est plutôt poussé vers les routeurs sans fil par (la plupart) des fournisseurs. La raison pour laquelle cela ne fait pas partie de la spécification 802.11 est qu'elle n'offre pas de véritable sécurité (via principe de kerckhoff ).
Pour que le sans fil fonctionne, les adresses MAC sont échangées en texte brut (que vous utilisiez WEP, WPA, WPA2 ou OPEN AP). Pour les services sans fil chiffrés, l'adresse MAC fait partie de la négociation initiale (utilisée pour dériver la clé de session) et/ou est exposée lors des communications de pré-chiffrement. En plus de toutes ces raisons, le filtrage MAC est également beaucoup plus pénible à entretenir que d'instituer quelque chose comme WPA2-PSK.
Autrement dit, le filtrage MAC n'est pas quelque chose qui doit être "craqué". Dans les réseaux ouverts, les gens ont simplement besoin de flairer l'air et ils pourront voir quels appareils fonctionnent, puis ils peuvent utiliser nsurplusieurs , nombreux outils extrêmement simples pour changer leur adresse MAC. Dans les réseaux cryptés, ils auront besoin de renifler et de saisir une nouvelle poignée de main (qui peut facilement être forcée via une attaque deauth ). De là, ils ont accès à votre réseau.
Ma suggestion est d'utiliser WPA2-PSK avec une clé forte pour les réseaux personnels ou WPA2-Enterprise avec un mode EAP fort (PEAP ou TLS) pour les réseaux d'entreprise. La principale différence entre les deux, hormis la méthode d'authentification et d'autorisation, est qu'avec WPA2-PSK, si quelqu'un connaît le PSK et peut capturer la poignée de main d'un utilisateur, il peut décrypter son flux. Ce n'est pas possible avec WPA2-Enterprise, car il utilise EAP, qui a une clé de chiffrement différente par individu via le mode EAP. Ceci est important car vous ne voudriez pas que quiconque ayant accès au réseau puisse décrypter les communications sans fil du PDG.
Il est également important de noter qu'avec WPA2-PSK, votre ESSID joue un rôle dans la sécurité de votre réseau pour les raisons suivantes:
DK = PBKDF2 (HMAC-SHA1, phrase secrète, essid, 4096, 256)
Essentiellement, WPA2-PSK utilise votre ESSID comme sel lors de l'exécution de PBKDF2. Pour cette raison, vous devriez également essayer de garder votre ESSID unique, pour éviter les attaques en utilisant Rainbow tables .
En résumé
- Le filtrage MAC ne fournit aucun niveau de "vraie" sécurité
- Utilisez WPA2-PSK si possible (la plupart des smartphones le prennent en charge)
- Essayez d'avoir un unique ESSID
Premièrement, il ne fait rien pour protéger les données sur le réseau. Deuxièmement, les adresses MAC peuvent être facilement usurpées et une adresse MAC valide peut être détectée sur tout appareil connecté à votre réseau. Il n'empêchera que les intrus les plus basiques (c'est-à-dire quelqu'un qui n'est pas technique et qui recherche simplement le wifi gratuit). Il n'offre aucune protection sérieuse pour simplement utiliser le filtrage MAC et n'offre vraiment que la protection la plus basique possible.
Même un mot de passe WEP/WPA de 'mot de passe' vaut mieux que pas de mot de passe car alors le trafic est crypté.
Si vous n'avez pas de mot de passe, votre trafic, en dehors des sites protégés par SSL, est ouvert.
Votre adresse MAC peut être modifiée à volonté et, comme mentionné par Steel City Hacker, peut être reniflée immédiatement.
Je vous recommande explorez votre quartier avec une distribution Backtrack juste pour voir comment ça marche.
Bien laissé à moi, si vous avez un client qui dirige un café comme le mien et que le client ne veut pas passer au LAN, peut-être qu'une combinaison d'un filtre MAC et d'un wps conviendrait.
Par exemple, mon client s'est plaint que certains amis de son apprenti se connectent à son réseau simplement en obtenant le mot de passe sur leur système (apprentis), que ce soit wep, wpa, wpa2, tikp, une fois que le tiers connaît votre mot de passe, c'est inutile, c'est pourquoi je l'impression que l'adresse mac est un peu plus sûre lorsqu'elle est combinée à une autre sécurité comme un wps même après l'authentification du mac dans la table mac, il aurait besoin d'un wps pour se connecter complètement.