Skip to content

Филтрирање MAC адреса – заштита и разбијање заштите

Један од многобројних механизама за контролу приступа приступној тачки је филтрирање MAC адреса. У већини случајева креирање MAC филтера подразумева креирање листе MAC адреса уређаја којима се приступ изричито дозвољава, док се свим осталим уређајима приступ забрањује (може постојати и опција да се приступ изричито забрањује).

На пример, на слици испод у подешавањима приступне тачке креиран је филтер са четири MAC адресе уређаја којима се приступ изричито дозвољава, док се свим осталим уређајима приступ забрањује. То значи да ће приступна тачка прихватати пакете у којима је изворишна MAC адреса наведена у филтеру и да ће одбацивати све остале.

Претходне школске године учили сте да је MAC адреса мрежног интерфејса уређаја додељена од стране произвођача, да је она јединствена, непроменљива, хардверска, физичка, “урезана” у фирмверу/ROM-у уређаја итд. Међутим, многи произвођачи хардвера заправо дозвољавају и омогућују промену MAC адреса, где почетни део адресе OUI (Organizationally Unique Identifier) остаје исти. Поред тога, MAC адреса се може једноставно променити софтверски, па чак и у оперативном систему Windows:

Када ово знате, можете да претпоставите да MAC филтер (као и скривени SSID) може бити један од механизама заштите, али никако једини механизам заштите, јер ће га сваки иоле вешт познавалац рачунарских мрежа заобићи.

НАПОМИЊЕМ ДА ОВО НЕ РАДИТЕ НА ТУЂИМ РЕСУРСИМА – ОВО ЈЕ ВЕЖБА КОЈУ МОЖЕТЕ РАДИТИ ИСКЉУЧИВО НА СВОЈОЈ ОПРЕМИ!

Како победити MAC филтере? Помоћу уграђених алата у оперативном систему Kali Linux потребно је поставити бежичну мрежни адаптер у монитор режим airmon-ng start wlan0. Затим, извршити команду airodump-ng -a --bssid AP_MAC wlan0mon (уместо AP_MAC уноси се MAC адреса приступне тачке), која ће приказати све MAC адресе уређаја који тренутно комуницирају са приступном тачком. То значи да се те адресе налазе на листи дозвољених адреса у MAC филтеру приступне тачке.

Помоћу многобројних апликација за промену MAC адресе, дозвољену адресу можемо поставити као своју и повезати се на приступну тачку.