2016/12/07

Filtrado MAC de clientes inalámbricos.

La dirección MAC, consiste en un número de identificación de 48 bits asignado por el fabricante de cada dispositivo inalámbrico 📶 o Ethernet 💻 y se supone que es único y permanente. Podemos usar este parámetro para permitir o denegar la conexión de uno o varios clientes inalámbricos a nuestro router inalámbrico en modo AP (punto de acceso) o estructura.

CMD de W7



Tomato

En Tomato 🍅 se conoce esta función como “Wireless Client Filter” ubicada dentro del menú “Basic” y el funcionamiento entre diferentes Firmware es muy similar.



Tenemos una "tabla interna de direcciones MAC" de los usuarios inalámbricos y tres opciones:

Tabla interna de direcciones MAC


  • 1) Disable Filter: el filtro esta desactivado, útil cuando queremos agregar nuevos clientes a la tabla, para eso vamos a “EstatusDevice List” y agregamos las nuevas MAC inalámbricas, usando la opción [wfilter].
  • 2) Permit only the following clients: solo las direcciones MAC listada en la tabla podrán ser asociada a el router inalámbrico, es el que uso en mi pequeña red.
  • 3) Block the following clients: Permite la asociación de todas las direcciones MAC, menos las listadas en la tabla.



DD-WRT

En DD-WRT vamos "Wireless" "MAC Filter".

 DD-WRT v24-sp2 micro


Activamos (Enable) y tenemos dos opciones similares a tomato.



  • Prevent clients listed from accessing the wireless network: previene que las MAC listadas se conecte al router.
  • Permit only clients listed to access the wireless network: solo permite la conexión de la MAC en la Lista.

En el botón "Edit MAC Filter List" se nos abrirá la ventana siguiente dónde agregamos las direcciones MAC.


Podemos agregarlas manualmente, o usar el botón "Wireless Client MAC List", donde se mostrara las MAC de los clientes inalámbricos conectados.



Luego aplicamos en las diferentes ventanas, para que se haga efecto.



Utilidad

  • Esta opción nos puede dar un anillo adicional de seguridad, ya que si un usuario para asociarse a nuestro router inalámbrico no solo debe disponer de la clave de red, sino también su dirección MAC debe estar en la lista aprobada, o de lo contrario la asociación va a ser rechazada.
  • Podemos limitar temporalmente el acceso de usuarios, por ejemplo un moroso si compartimos nuestra conexión o un cliente que actúan de forma incorrecta usando un programa p2p fuera del horario autorizado.

Dirección MAC.


En contra

  • Si la red es suficientemente grande y dinámica, mantener las tablas MAC actualizada puede ser muy engorroso.
  • Desafortunadamente, este no es un mecanismo de seguridad infranqueable, las direcciones MAC a menudo pueden modificarse mediante software. Si un atacante determinado observa las direcciones MAC que están en uso en una red inalámbrica, él puede “suplantar” una dirección MAC aprobada y asociarse con éxito.
  • El filtrado MAC no es ningún sustituto como método de asociación, para eso se usa la clave de red asociada al SSID que además ofrecen cifrado en la comunicación entre cada cliente y el router inalámbrico.




Fuentes:



5 22XD: Filtrado MAC de clientes inalámbricos. La dirección MAC , consiste en un número de identificación de 48 bits asignado por el fabricante de cada dispositivo inalámbrico 📶 o Ethern...
< >