Eu uso um roteador sem fio Netgear, com vários dispositivos sem fio conectados a ele. Um dos meus dispositivos sem fio não suporta a segurança WPA2, então eu tive que rebaixar a segurança do roteador para WEP.
Todos nós sabemos que o WEP está quebrado, então, como medida adicional, habilitei uma lista de acesso sem fio no roteador para que somente os dispositivos com endereços MAC especificados que estão na minha lista de acesso possam se conectar ao roteador.
Eu sei que é possível falsificar um endereço MAC de um dispositivo com o objetivo de acessar uma rede segura como essa. Mas é fácil? Está usando WEP e uma lista de acesso sem fio boa o suficiente para evitar a maioria dos ataques de hackers? Ou devo fazer o que puder para garantir que todos os dispositivos suportem o WPA2 no futuro?
Não.
WEP é trivial para quebrar. Endereços MAC não são seguros. Eles podem ser enganados trivialmente. Dê uma olhada nas As seis maneiras mais burras de proteger uma LAN sem fio :
MAC filtering: This is like handing a security guard a pad of paper with a list of names. Then when someone comes up to the door and wants entry, the security guard looks at the person's name tag and compares it to his list of names and determines whether to open the door or not.
WEP é fácil de decifrar (há vídeos sendo feitos em 10 minutos, etc) e os endereços MAC podem ser falsificados. No entanto, o que você está "protegendo"? Se isso é um negócio, então NÃO, isso definitivamente não é segurança suficiente. Se é a sua casa, e todos os seus 10 vizinhos deixam a rede sem fio aberta, e você tem um firewall de software no seu computador, então talvez isso seja suficiente.
É como quando eu faço caminhadas na floresta com minha namorada. Eu não tenho medo dos ursos ... Eu posso não ser capaz de fugir deles, mas posso pelo menos superar ela!
Nenhum WEP não é segurança adequada. Os endereços Mac são enviados como parte do pacote sem fio e, portanto, fáceis de interceptar e falsificar.
Se você precisar usar o WEP, precisará instalar uma configuração de 3 roteadores NAT como mostrado abaixo. O roteador NAT 1 (NR1) está conectado à internet na porta WAN. A porta WAN do roteador NAT 2 (NR2) está conectada à porta LAN NR1. A porta WAN do roteador NAT 3 (NR3) está conectada à porta LAN NR1.
----------NR2--------------Wireless WEP Unsecure
|
Internet ----- NR1----|
|
|
----------NR3--------------Wireless WPA Secure
Isso permitirá que o acesso WEP chegue à Internet. O roteador NR3 bloquearia o acesso à sua rede segura. Uma outra vantagem seria permitir o acesso de convidados à NR2. Isso permitiria o acesso à Internet sem fornecer acesso à sua rede segura local.
Tecnicamente não é muito seguro, mas acho que depende de onde você está; se você está em um prédio cheio de técnicos, então não é seguro, se você está em uma ilha particular no meio do Pacífico, então provavelmente é um exagero ter alguma segurança. Você tem que medir sua necessidade primeiro.
Na melhor das hipóteses você está parando a intrusão casual. Usando o WEP, listar endereços MAC específicos, desativar o DHCP e desabilitar o broadcast do SSID criam alguns obstáculos para as pessoas pularem, mas são todas triviais para serem derrotadas.
Se você precisar oferecer suporte ao WEP, siga em frente e siga estas etapas, mas também aceite que a rede é insegura. Você vai querer isolá-lo do resto da sua LAN, usando uma configuração multi-roteador como descrito em guia de Steve Gibson . Basicamente, você coloca um roteador rodando WEP no "outside", conectado à sua conexão de internet upstream. Intrusos podem entrar nesse segmento sem fio. Em seguida, você conecta um segundo roteador "interno" a uma das portas LAN do roteador externo. Conecte tudo que não precisa de WEP a esse roteador.
Não, a proteção de endereço MAC não é suficiente, pois os endereços MAC são facilmente falsificados - link . Mesmo que o hacker não consiga imitá-lo, ele pode pelo menos cheirar o tráfego.