¿Por qué el filtrado de Mac no funcionaría en un módem 2701HG-T de 2 cables? He confiado en el filtrado de Mac antes para bloquear intrusos con otros módems, pero en la casa de mi madre, ella tiene un módem 2701HG-T de 2 cables y hay algunas personas que le roban la señal wifi. Le cambiaron la contraseña varias veces, pero los intrusos siguen regresando. Aparentemente tienen un buen software para descubrir las contraseñas.
En un intento de bloquearlos de la red, configuré el filtrado de mac en el módem, pero no funciona. Incluso "bloqueé" uno de mis dispositivos, pero puedo conectarme y obtener señal de Internet incluso después de encender y apagar el enrutador y el wifi en el dispositivo.
No me gusta la forma en que está configurado el filtrado de Mac en este módem. En lugar de tener una lista única de dispositivos permitidos, tiene una lista para dispositivos permitidos y otra para dispositivos bloqueados, pero estaría bien con eso si realmente funcionara.
¿Alguna idea de por qué puede estar sucediendo esto?
Respuesta1
Sin tener realmente un 2701 frente a mí (y me está costando encontrar un emulador), no puedo decir mucho sobre lo que posiblemente esté mal en la configuración. Supongo que probablemente tengas algo marcado incorrectamente con respecto a la configuración del filtro MAC. Por lo general, los enrutadores SOHO realizan filtrado MAC en cualquiera de los modos de lista blancaomodo de lista negra: realmente no tiene sentido combinar los dos. Asegúrese de tener configurado el modo correcto para cómo desea que se comporte su enrutador. Activar la opción de lista blanca, pero solo completar la lista negra (o viceversa), no tendrá ningún efecto. (Bueno, en realidad debería evitar que todos los dispositivos se conecten, mientras que al revés lo permitiría. La cuestión es que no hay ningún beneficio de seguridad).
Lista negra: Permitirtodos los dispositivos exceptolos especificados en la lista "prohibidos". (Más fácil de manejar, pero más difícil de bloquear a los atacantes).
Lista blanca: Permitirsolodispositivos especificados en la lista "permitidos". (Es preferible entre los dos, ya que bloquea dispositivos no autorizados de forma predeterminada, pero es más difícil de administrar, especialmente si normalmente permite que visitantes ingresen a su red).
En cualquier caso, deberíasno¡Confíe en el filtrado MAC como defensa principal!
Cualquiera de los modos de filtrado MAC es bastante trivial de omitir porque las direcciones MAC no son un identificador permanente y siempre se transmiten de forma clara por aire. Por lo tanto, cualquiera puede cambiar su dirección MAC a la que quiera, así como ver las direcciones MAC de cualquier dispositivo dentro del alcance.
Luego, el atacante evita fácilmente la lista negra simplemente cambiando su dirección a cualquier cosa que aún no haya incluido en la lista negra.
La inclusión en la lista blanca es sólo un poco más difícil, pero sigue siendo bastante sencilla. El atacante simplemente espera ver las direcciones MAC de cualquier dispositivo que esté hablando activamente con su punto de acceso y luego cambia su MAC para que coincida.
¿El filtrado MAC evitará algunos ataques no autorizados? Seguro. Pero si te enfrentas a un atacante dedicado (y parece que lo eres), en realidad no lo detendrá mucho.
Aunque no lo haya mencionado, "ocultar SSID" o "deshabilitar balizas" o "deshabilitar la transmisión de SSID" es otra medida de seguridad débil que no solo no vale la pena sino que debe evitarse. Todo lo que hace es evitar que su AP se anuncie cuando está inactivo. Sin embargo, el SSID aún se envía sin cifrar siempre que se comunica activamente, por lo que los atacantes aún podrán capturarlo y usarlo independientemente. Lo peor es que, dado que su AP no transmite su presencia, sus dispositivos cliente deben configurarse para buscar el AP incluso cuando no estén cerca de él. Luego, los atacantes pueden usar las balizas que generan los dispositivos de sus clientes para configurar su propio AP falso y engañar a sus clientes para que se conecten.
Lo que tudeberíaEn su lugar, se puede confiar en un protocolo de autenticación y cifrado sólido, como el actual WPA2-PSK (que utiliza AES-CCMP). Además de eso, debes asegurarte de que tu clave previamente compartida (PSK, o simplemente la contraseña de tu red Wi-Fi) sea razonablemente larga y compleja para que no sea fácil de adivinar o descifrar. Siempre que tenga un PSK razonablemente fuerte (sugiero un mínimo de 15 caracteres, con 3 tipos de caracteres diferentes, pero WPA2 admite hasta 63 caracteres, y yo personalmente los uso todos de forma completamente aleatoria), su cifrado/autenticación de Wi-Fi no debería ser fácilmente rompible en el futuro previsible. Ah, y ni siquiera te molestes con WEP (terriblemente roto) o WPA-TKIP (también roto, pero aún mejor que WEP). Si realmente no puede usar WPA2 por cualquier motivo, WPA-AES es una alternativa decente hasta que pueda comprar un nuevo enrutador.
Sin embargo, hay una advertencia importante: WPS. La configuración protegida de Wi-Fi es ese encantador y conveniente modo de conexión con un solo botón que está disponible en la mayoría de los puntos de acceso actuales. El problema con WPS es que existe una debilidad en el modo de autenticación PIN, que (en muchos, si no en la mayoría, de los enrutadores SOHO actualmente en uso) permite a los atacantes descifrar fácilmente el PIN y luego autenticarse a través de WPS. Una vez que WPS le ha concedido acceso a alguien, le proporciona su PSK para que su dispositivo pueda conectarse a la red normalmente.¡Cambiar su PSK no mitigará esto!Un atacante puede simplemente volver a descifrar WPS (no lleva mucho tiempo) y obtener el nuevo PSK. La única forma de mitigar esto, que está totalmente bajo su control, es desactivar WPS por completo. (Algunos enrutadores más nuevos han agregado funcionalidad para inhibir tales ataques, pero esto no es algo que los usuarios finales puedan validar fácilmente con certeza a menos que estén preparados para probar el exploit ellos mismos). Desafortunadamente, muchos fabricantes de enrutadores, especialmente en modelos más antiguos, han hecho Esto es difícil o imposible de hacer. Si ese es el caso de su enrutador, le sugiero encarecidamente que compre uno nuevo o considere actualizar el firmware con una imagen de terceros como Tomato, DD-WRT u OpenWRT.
En resumen:
- Deje de depender del filtrado MAC.Es un buen complemento de seguridad, pero es muy fácil de eludir.
- Ni siquiera te molestes en ocultar tu SSID.Cualquiera todavía puede verlo y sus clientes terminan siendo menos seguros cuando no se transmite.
- Utilice WPA2-PSK con un PSK potente. Estedebería ser su principal defensa contra el ancho de banda Wi-Fi y los ladrones de datos.
- Desactiva WPS.No importa qué tan buena sea su autenticación y cifrado, esta es una puerta trasera fácilmente explotable.
- Obtenga un nuevo dispositivo o firmware si lo necesita.Si su enrutador actual no es compatible con WPA2-PSK y/o no le permite desactivar WPS, es hora de realizar una actualización. Si su ISP proporciona dicho enrutador, siempre puede comprar el suyo propio y colocarlo en la red detrás del enrutador del ISP. Luego, asegúrese de que el Wi-Fi de su enrutador esté configurado de forma segura como se indicó anteriormente y desactive el Wi-Fi en el enrutador ISP.