Фильтрация по MAC

Физический MAC-адрес уникален, он присваивается каждой сетевой карте, коммутатору, маршрутизатору, IP-камере и т. д. Применение фильтрации по MAC-адресу в компьютерной сети позволяет управлять доступом устройств, занесённых в белый список, чёрный список, скрипт, настройки межсетевого экрана. Однако эта технология эффективна только внутри локальной сети, поскольку MAC-адрес не сохраняется при передаче данных через маршрутизатор. Фильтрация по MAC является соперничающим или дополнительным методом к фильтрации по портам и фильтрации по IP-адресу.

• Преимущество: IP-адреса устройств могут настраиваться на уровне маршрутизатора без необходимости индивидуально менять параметры фильтрации (при использовании DHCP) на стороне клиентов.
• Недостаток: сбор MAC-адресов может быть трудоёмким в большой сети.
• Недостаток: при замене сетевой карты необходимо корректировать настройки системы фильтрации.

Фильтрация соединений по MAC-адресу возможна, например, на точках доступа Wi-Fi.

С 2014 года некоторые устройства используют случайные MAC-адреса для поиска доступных Wi-Fi сетей и применяют свой истинный MAC-адрес только после подключения к сети^[1][2][3].

Эти меры затрудняют или даже делают невозможным подключение таких устройств к Wi-Fi сетям с фильтрацией по MAC-адресу.

Техника подмены MAC-адреса разрешённого устройства называется «MAC Spoofing» (MAC-спуфинг). Не следует путать её с «ARP Spoofing» — перенаправлением трафика на другой MAC-адрес.

Вопреки распространённому мнению, подмена MAC-адреса (MAC spoofing) очень проста, поэтому фильтрация по MAC не может считаться средством защиты доступа к Wi-Fi-устройствам. Необходимо различать физический MAC-адрес и программный MAC-адрес. Физический адрес изменять сложно, но он используется только по умолчанию при установлении сетевого соединения — фактически операционная система может выбрать любой подходящий программный MAC-адрес для передачи данных.

Соответственно, политика безопасности не должна основываться на MAC-адресе, так как при сетевом соединении он реализуется программно.

В Linux для смены MAC-адреса сетевой карты достаточно выполнить две командные строки:

ifconfig wlan0 down
ifconfig wlan0 hw ether <любой_MAC-адрес> up

Для определения MAC-адреса каждой установленной сетевой карты (Ethernet, Wi-Fi) на компьютере:

• В Windows: открыть меню «Пуск», затем «Выполнить», ввести «cmd», затем команду «ipconfig /all». Отобразятся как IP-адрес, так и MAC-адрес; также можно использовать команду «getmac /v».
• В GNU/Linux и macOS X: открыть терминал и выполнить команду «ifconfig».

• В Network Manager (Linux): открыть список предпочитаемых сетей, в свойствах соединения отредактировать поле «Клонированный MAC-адрес» (например, указав «00:11:22:33:44:55»).
• В Windows: MAC-адрес можно изменить вручную через реестр; в некоторых драйверах — прямо в расширенных свойствах сетевой карты.