Por que a filtragem mac não funcionaria em um modem 2wire 2701HG-T? Já confiei na filtragem mac antes para bloquear intrusos com outros modems, mas na casa da minha mãe ela tem um modem 2701HG-T de 2 fios e há algumas pessoas roubando seu sinal wifi. Ela teve sua senha alterada algumas vezes, mas os invasores continuam voltando. Aparentemente, eles têm um bom software para descobrir as senhas.
Na tentativa de bloqueá-los da rede, configurei a filtragem mac no modem, mas não funciona. Até "bloqueei" um dos meus dispositivos, mas consigo me conectar e obter sinal de internet mesmo depois de ligar e desligar o roteador e o wifi do dispositivo.
Não gosto da maneira como a filtragem do Mac é configurada neste modem. Em vez de ter uma lista única de dispositivos permitidos, ele tem uma lista de dispositivos permitidos e outra de dispositivos bloqueados, mas eu aceitaria isso se realmente funcionasse.
Alguma idéia de por que isso pode estar acontecendo?
Responder1
Sem realmente ter um 2701 na minha frente (e estou tendo dificuldade em encontrar um emulador), não posso dizer muito sobre o que pode estar errado na configuração. Eu especularia que você provavelmente marcou algo incorretamente em relação às configurações do filtro MAC. Normalmente, os roteadores SOHO fazem filtragem MAC no modo de lista de permissõesoumodo de lista negra - não faz sentido combinar os dois. Certifique-se de ter configurado o modo correto para como deseja que seu roteador se comporte. Ativar a opção de lista de permissões, mas apenas preencher a lista negra (ou vice-versa), não terá efeito. (Bem, na verdade, isso deveria impedir a conexão de todos os dispositivos, enquanto o contrário permitiria todos. A questão é que não há benefício de segurança.)
Lista negra: permitirtodos os dispositivos, excetoaqueles especificados na lista "proibidos". (Mais fácil de gerenciar, mas mais difícil de bloquear invasores.)
Lista de permissões: permitirapenasdispositivos especificados na lista "permitidos". (Preferível entre os dois, pois bloqueia dispositivos não autorizados por padrão, mas é mais difícil de gerenciar, especialmente se você normalmente permite visitantes em sua rede.)
Em ambos os casos, você devenãoconfiar na filtragem MAC como defesa primária!
Qualquer um dos modos de filtragem MAC é bastante trivial de ignorar porque os endereços MAC não são um identificador permanente e são sempre transmitidos de forma clara pelo ar. Assim, qualquer pessoa pode alterar seu endereço MAC para o que quiser, bem como ver os endereços MAC de qualquer dispositivo ao alcance.
A lista negra é facilmente contornada pelo invasor, simplesmente alterando seu endereço para qualquer coisa que você ainda não tenha colocado na lista negra.
A lista de permissões é apenas um pouco mais difícil, mas ainda assim bastante simples. O invasor apenas espera para ver os endereços MAC dos dispositivos que estão se comunicando ativamente com o seu ponto de acesso e, em seguida, altera o MAC para corresponder.
A filtragem MAC impedirá alguns ataques drive-by? Claro. Mas se você estiver enfrentando um invasor dedicado (e parece que está), isso não irá impedi-lo muito.
Embora você não tenha mencionado isso, "ocultar SSID" ou "desativar beacons" ou "desativar transmissão de SSID" é outra medida de segurança fraca que não só não vale a pena - como deve ser evitada. Tudo o que ele faz é impedir que seu AP se anuncie quando estiver ocioso. No entanto, o SSID ainda é enviado de forma clara sempre que está se comunicando ativamente, de modo que os invasores ainda poderão capturá-lo e usá-lo independentemente. O pior é que, como o seu AP não está transmitindo sua presença, os dispositivos do seu cliente precisam ser configurados para procurar o AP mesmo quando não estiverem próximos dele. Os invasores podem então usar os beacons que seus dispositivos clientes estão gerando para configurar seu próprio AP falso e enganar seus clientes para que se conectem.
O que vocêdeveem vez disso, podemos confiar em um protocolo forte de criptografia e autenticação, como o atual WPA2-PSK (que usa AES-CCMP). Além disso, você deve certificar-se de que sua chave pré-compartilhada (PSK ou simplesmente sua senha de rede Wi-Fi) seja razoavelmente longa e complexa para que não seja facilmente adivinhada ou quebrável. Contanto que você tenha um PSK razoavelmente forte (sugiro um mínimo de 15 caracteres, com 3 tipos de caracteres diferentes - mas o WPA2 suporta até 63 caracteres, e eu pessoalmente uso todos eles totalmente aleatórios), sua criptografia/autenticação Wi-Fi não deve ser facilmente quebrável num futuro próximo. Ah, e nem se preocupe com WEP (terrivelmente quebrado) ou WPA-TKIP (também quebrado, mas ainda melhor que WEP). Se você realmente não pode usar o WPA2 por qualquer motivo, o WPA-AES é uma alternativa decente até que você possa comprar um novo roteador.
No entanto, há uma advertência importante: WPS. O Wi-Fi Protected Setup é aquele modo de conexão adorável e conveniente com um botão que está disponível na maioria dos pontos de acesso atualmente. O problema com o WPS é que há uma fraqueza no modo de autenticação do PIN, que – em muitos, se não na maioria, dos roteadores SOHO atualmente em uso – permite que invasores quebrem facilmente o PIN e depois autentiquem por meio do WPS. Depois que o WPS concede acesso a alguém, ele fornece seu PSK para que o dispositivo possa se conectar à rede normalmente.Mudar seu PSK não irá atenuar isso!Um invasor pode simplesmente quebrar o WPS novamente (não demora muito) e obter o novo PSK. A única maneira de atenuar isso, que está totalmente sob seu controle, é desabilitar totalmente o WPS. (Alguns roteadores mais recentes adicionaram funcionalidade para inibir tais ataques, mas isso não é algo que os usuários finais possam validar facilmente com certeza, a menos que estejam preparados para testar a exploração por conta própria.) Infelizmente, muitos fabricantes de roteadores - especialmente em modelos mais antigos - fizeram isso é difícil ou impossível de fazer. Se esse for o caso do seu roteador, sugiro fortemente que você compre um novo ou considere atualizar o firmware com uma imagem de terceiros, como Tomato, DD-WRT ou OpenWRT.
Resumindo:
- Pare de confiar na filtragem MAC.É um ótimo complemento de segurança, mas é muito fácil de ignorar.
- Nem se preocupe em esconder seu SSID.Qualquer pessoa ainda pode ver e seus clientes ficam menos seguros quando não é transmitido.
- Use WPA2-PSK com um PSK forte. Essedeve ser sua principal defesa contra ladrões de dados e largura de banda Wi-Fi.
- Desative o WPS.Não importa quão boa seja sua autenticação e criptografia, esta é uma porta dos fundos facilmente explorável.
- Obtenha um novo dispositivo ou firmware, se precisar.Se o seu roteador atual não suporta WPA2-PSK e/ou não permite desabilitar o WPS, é hora de fazer uma atualização. Se o referido roteador for fornecido pelo seu ISP, você sempre poderá comprar o seu próprio e colocá-lo na rede atrás do roteador do ISP. Em seguida, certifique-se de que o Wi-Fi do seu roteador esteja configurado com segurança conforme descrito acima e desative o Wi-Fi no roteador ISP.