Este é um dos recursos do roteador Wi-Fi que lhe dará uma falsa sensação de segurança. Apenas usando criptografia WPA2 é suficiente. Algumas pessoas gostam de usar o filtro de endereço MAC, mas não é um recurso de segurança.
Como funciona o filtro de endereços MAC
Cada dispositivo que você possui é fornecido com um endereço de controle de acesso de mídia exclusivo (endereço MAC) que o identifica em uma rede. Normalmente, um roteador permite que qualquer dispositivo se conecte - desde que ele saiba a frase-senha apropriada. Com a filtragem de endereços MAC, um roteador comparará primeiro o endereço MAC de um dispositivo com uma lista aprovada de endereços MAC e permitirá que um dispositivo só entre na rede Wi-Fi, caso seu endereço MAC tenha sido aprovado especificamente.
Seu roteador provavelmente permite que você configure uma lista de endereços MAC permitidos em sua interface da Web, permitindo que você escolha quais dispositivos podem se conectar à sua rede.
Filtragem de endereço MAC não oferece segurança
Até agora, isso parece muito bom. Mas os endereços MAC podem ser facilmente falsificados em muitos sistemas operacionais, portanto, qualquer dispositivo pode fingir ter um desses endereços MAC exclusivos e permitidos.
Endereços MAC são fáceis de obter também. Eles são enviados pelo ar com cada pacote indo e voltando do dispositivo, pois o endereço MAC é usado para garantir que cada pacote chegue ao dispositivo correto.
Tudo o que um invasor precisa fazer é monitorar o tráfego Wi-Fi por um ou dois segundos, examinar um pacote para encontrar o endereço MAC de um dispositivo permitido, alterar o endereço MAC desse dispositivo para o endereço MAC permitido e se conectar no local desse dispositivo. Você pode estar pensando que isso não será possível porque o dispositivo já está conectado, mas um ataque “deauth” ou “deassoc” que desconecta à força um dispositivo de uma rede Wi-Fi permitirá que um invasor se reconecte em seu lugar.
Nós não estamos exagerando aqui. Um invasor com um conjunto de ferramentas como o Kali Linux pode usar o Wireshark para espionar um pacote, executar um comando rápido para alterar seu endereço MAC, usar o aireplay-ng para enviar pacotes de associação a esse cliente e, em seguida, conectar em seu lugar. Todo esse processo pode levar menos de 30 segundos. E esse é apenas o método manual que envolve fazer cada etapa manualmente - não importa as ferramentas automatizadas ou os scripts de shell que podem tornar isso mais rápido.
A criptografia WPA2 é suficiente
Neste ponto, você pode estar pensando que a filtragem de endereços MAC não é infalível, mas oferece proteção adicional apenas ao usar criptografia. Isso é verdade, mas não de verdade.
Basicamente, contanto que você tenha uma senha forte com criptografia WPA2, essa criptografia será a coisa mais difícil de quebrar. Se um invasor puder violar sua criptografia WPA2, será trivial enganar a filtragem de endereço MAC. Se um invasor ficar perplexo com o filtro de endereço MAC, ele definitivamente não conseguirá quebrar sua criptografia.
Pense nisso como adicionar uma trava de bicicleta a uma porta do cofre do banco. Qualquer ladrão de banco que possa atravessar a porta do cofre do banco não terá problemas em cortar uma trava de bicicleta. Você não adicionou nenhuma segurança adicional real, mas toda vez que um funcionário do banco precisa acessar o cofre, ele precisa gastar tempo lidando com o bloqueio da bicicleta.
É tedioso e demorado
O tempo gasto gerenciando isso é o principal motivo pelo qual você não deveria se incomodar. Quando você configurar a filtragem de endereço MAC em primeiro lugar, precisará obter o endereço MAC de todos os dispositivos da sua residência e permitir isso na interface da Web do seu roteador. Isso levará algum tempo se você tiver muitos dispositivos habilitados para Wi-Fi, como a maioria das pessoas faz.
Sempre que você adquire um novo dispositivo - ou um convidado aparece e precisa usar seu Wi-Fi em seus dispositivos - você precisa entrar na interface da web do seu roteador e adicionar os novos endereços MAC. Isso está no início do processo de configuração usual, no qual você precisa inserir a senha Wi-Fi em cada dispositivo.
Isso apenas adiciona trabalho adicional à sua vida. Esse esforço deve compensar com uma segurança melhor, mas o impulso minúsculo para inexistente na segurança que você recebe faz com que isso não valha a pena.
Este é um recurso de administração de rede
A filtragem de endereços MAC, usada corretamente, é mais um recurso de administração de rede do que um recurso de segurança. Ele não protege você contra pessoas de fora que tentam violar sua criptografia ativamente e acessar sua rede. No entanto, permitirá que você escolha quais dispositivos são permitidos on-line.
Por exemplo, se você tiver filhos, poderá usar a filtragem de endereço MAC para impedir que o laptop ou o smartphpone acesse a rede Wi-FI, caso precise aterrá-los e remover o acesso à Internet. As crianças podem contornar esses controles parentais com algumas ferramentas simples, mas eles não sabem disso.
É por isso que muitos roteadores também têm outros recursos que dependem do endereço MAC de um dispositivo. Por exemplo, eles podem permitir que você ative a filtragem da Web em endereços MAC específicos. Ou você pode impedir que dispositivos com endereços MAC específicos acessem a Web durante o horário escolar. Não são recursos de segurança, pois não são projetados para impedir que um invasor saiba o que está fazendo.
Se você realmente quiser usar o filtro de endereço MAC para definir uma lista de dispositivos e seus endereços MAC e administrar a lista de dispositivos permitidos em sua rede, sinta-se à vontade. Algumas pessoas realmente apreciam esse tipo de gerenciamento em algum nível. No entanto, a filtragem de endereços MAC não fornece um impulso real à sua segurança Wi-Fi, por isso você não deve se sentir obrigado a usá-la. A maioria das pessoas não deve se incomodar com a filtragem de endereços MAC e, se o fizer, deve saber que não é realmente um recurso de segurança.