Le filtrage des adresses MAC et le masquage des SSID valent-ils toujours la peine?

Non, ni l'un ni l'autre n'en vaut la peine mesures contre un attaquant. Sauf si vous avez un mot de passe facile à deviner, vous devez supposer que toute personne qui pourrait raisonnablement essayer d'accéder à votre réseau a un logiciel pour vous aider ou un peu de savoir comment contourner ces techniques.

Le masquage du SSID n'améliore pas la sécurité car il est trivial d'identifier le SSID d'un réseau en cours d'utilisation (téléchargement et exécution inSSIDer par exemple), et en fait, il peut compromettre la sécurité des clients sans fil qui sont configuré pour se connecter aux réseaux SSID cachés. De n article Microsoft TechNet :

l'utilisation de réseaux non diffusés compromet la confidentialité de la configuration de réseau sans fil d'un… client sans fil car il divulgue périodiquement son ensemble de réseaux sans fil non diffusés préférés… il est fortement recommandé de ne pas utiliser de réseaux sans fil non diffusés.

le filtrage des adresses MAC n'améliore pas la sécurité puisque le trafic réseau inclut l'adresse MAC non chiffrée des périphériques réseau actifs. Cela signifie que n'importe qui peut trouver une adresse MAC qui figure sur la liste autorisée et ensuite utiliser facilement le logiciel disponible pour usurper son adresse MAC.

L'authentification et le cryptage sont les seuls moyens raisonnables de sécuriser votre réseau sans fil. Pour un réseau domestique, cela signifie utiliser la sécurité WPA2-PSK avec un mot de passe fort et un SSID qui ne figure pas sur la liste des 1000 SSID les plus courants .

Le filtrage des adresses MAC offre peut-être un avantage: contrôler l'accès pour les utilisateurs non malveillants. Une fois que vous avez donné votre mot de passe WiFi à quelqu'un, vous n'avez aucun contrôle sur qui il donne le mot de passe: il peut facilement le dire à ses amis, peut-être après avoir oublié qu'il ne devrait pas. Le filtrage des adresses MAC signifie que vous avez un contrôle central sur les appareils appartenant à des non-pirates qui peuvent se connecter.

Donc, si vous craignez que quelqu'un pirate votre réseau, oubliez le masquage SSID et le filtrage des adresses MAC. Si vous ne voulez pas que les amis de vos amis se connectent, le filtrage des adresses MAC pourrait aider ... bien qu'il serait moins compliqué de demander à vos amis de ne pas transmettre le mot de passe ou de simplement saisir le mot de passe WiFi pour eux sur tous les appareils.

Kismet et d'autres scanners rfmon complètement passifs existent depuis très, très longtemps. À moins que ce soit sur un réseau wifi domestique que vous ne partagez jamais avec des invités et auquel vous ajoutez rarement des appareils, l'augmentation marginale de la sécurité que vous obtenez de ces deux actions ne vaut pas l'augmentation marginale des inconvénients.

Comme d'autres l'ont répondu, le filtrage MAC et le masquage SSID ne sont pas utiles contre un attaquant actif.

Mais, ils peuvent être utiles pour un certain degré de protection contre les appareils non fiables utilisés par des personnes principalement fiables. Je vais expliquer avec une situation hypothétique:

Supposons que vous ayez un routeur à la maison (ou dans une entreprise) configuré pour un "réseau invité" distinct. De nombreux routeurs domestiques rendent ce paramètre facilement accessible, utilisant souvent une clé WPA pour le réseau "domestique" principal, mais fournissant un portail captif pour le réseau invité.

Il peut être beaucoup plus pratique (et certainement plus sûr) d'utiliser le réseau principal, donc votre famille l'utilise naturellement. Mais en tant que technophile que vous êtes, vous avez été sûr de sécuriser tous les appareils de votre réseau domestique, en les gardant entièrement corrigés avec des antivirus, des pare-feu à jour, etc.

Maintenant, pendant que vous travaillez, l'ami de votre adolescent vient passer du temps à la maison et elle apporte son ordinateur portable avec elle. Elle veut le mot de passe wifi. Vous voulez qu'elle utilise le réseau invité, car qui sait ce qu'il y a sur cet ordinateur portable?

Votre adolescent pourrait donnez simplement le mot de passe wifi principal, mais vous avez configuré le filtrage des adresses MAC. Au lieu de cela, elle donne le mot de passe au réseau invité, car il serait difficile d'essayer de mettre l'ordinateur portable de son amie sur le réseau domestique, même si elle avait le mot de passe administrateur du routeur. Ils se plaignent de devoir se reconnecter à chaque fois qu'elle vient, mais l'ordinateur portable non fiable reste hors de votre réseau de confiance.

En tant que dispositif de sécurité, le masquage du SSID ne fait pas grand-chose car pour se connecter au réseau caché, le client diffusera le SSID au lieu du point d'accès le diffusant, donc en surveillant passivement pendant un petit moment, vous pouvez récupérer ce que le SSID est de toute façon. Le verrouillage MAC n'est pas non plus très bon pour la sécurité. Si vous surveillez passivement, vous verrez quels MAC se connectent avec succès et pouvez usurper l'un d'entre eux et vous connecter. Ce sont des fonctionnalités qui peuvent être d'une aide modérée lorsqu'elles sont combinées avec d'autres méthodes, mais l'effort de gestion n'en vaut pas la peine, et il serait beaucoup mieux de consacrer l'effort à l'entreprise WPA2. Les SSID masqués peuvent être utiles pour une utilisation non sécurisée afin de réduire la confusion lorsque vous avez des réseaux d'entreprise et des réseaux d'accès public dans le même bâtiment/zone. Si vous masquez les réseaux non publics, les clients/invités souhaitant se connecter à votre réseau d'accès public ne seront pas aussi facilement confondus.

Certains pourraient dire que ces mesures sont marginales ou inutiles et, dans une certaine mesure, elles sont correctes. Cependant, la gestion du réseau est une étape vers une meilleure sécurité. Par exemple, le filtrage MAC vous oblige à rechercher et à répertorier tous les périphériques de votre réseau. À la maison, ce n'est pas grave, car la plupart des gens ont moins de vingt à trente appareils.

Imaginez donc que le DHCP soit désactivé, l'adressage statique sur les cinq appareils que vous pourriez avoir. Par exemple, un ordinateur portable, une PlayStation, deux téléphones portables et une tablette. (Typique pour une petite famille.)

Ce n'est pas beaucoup d'appareils. Imaginons maintenant que vous avez vraiment contrarié un pirate informatique, et qu'il vous cible, essayant de trouver quelque chose de juteux. Il a conçu son réseau social pour trouver votre mot de passe WPA2. Il lui suffit maintenant d'usurper votre adresse MAC et de choisir une adresse IP disponible.

Alors ... scénario 1: il décide d'usurper votre ordinateur portable. Il usurpe votre MAC et utilise la même IP. Cela fonctionne pour le pirate pendant environ trente minutes. Ensuite, vous décidez de regarder Netflix. Vous ouvrez votre ordinateur portable et vous A: ne pouvez pas vous connecter, ou B: Windows vous indique qu'il y a un conflit IP. (Ce qui sera le cas). Devine quoi? Vous venez de réaliser qu'il se passe quelque chose qui ne devrait pas. Le Hacker (parce que c'est le WiFi), il vaut mieux utiliser une antenne Yagi à 400 mètres, car il a été pris. Vous gagnez. Parce que vous gérez votre réseau, vous saurez si quelqu'un modifie la configuration ou si l'un de vos appareils commence à avoir des problèmes de connexion.

Pour faire court, cela peut ne pas le tenir à l'écart. Mais il sera plus difficile de se cacher.