El filtrado de direcciones MAC se ha incluido desde hace tiempo como una característica de seguridad en muchos enrutadores de consumo, lo que permite a los usuarios bloquear el tráfico o limitar las velocidades de dispositivos específicos en su red mediante la dirección MAC. Sin embargo, las direcciones MAC nunca se diseñaron realmente como una característica de seguridad y desde hace tiempo se las considera obsoletas para proteger la seguridad de la red. A continuación, se presentan cuatro razones por las que no debería utilizar direcciones MAC para proteger la seguridad de su red (¡y qué podría utilizar en su lugar!)
4Las direcciones MAC se falsifican fácilmente
Una razón obvia para probar algo diferente
Una razón clave y evidente por la que las direcciones MAC son un ejemplo de teatro de seguridad es que pueden ser falsificadas fácilmente. Ladirección MACla asigna el fabricante del dispositivo de interfaz de red en uso, por lo que es posible que tenga diferentes direcciones MAC para Ethernet o Wi-Fi para su PC. Los dispositivos informan automáticamente estas direcciones, que se asignan a partir de grupos declarados previamente. Algunos controladores, firmware o sistemas operativos de Wi-Fi pueden dificultar o imposibilitar el cambio o la falsificación de la dirección MAC de un dispositivo. Aun así, muchas tarjetas Wi-Fi disponibles fácilmente admiten de forma nativa el cambio de su dirección MAC.
Cualquier actor malintencionado podría adquirir fácilmente un dispositivo como este y cambiar su dirección MAC por la que crea que su red necesita ver para permitir una conexión. Ahora bien, puede que se pregunte, ¿cómo sabrán qué dirección MAC utilizar? Eso nos lleva a nuestra segunda razón por la que las direcciones MAC no son suficientes para la seguridad de su red.
3Tu dirección MAC no es secreta
Cualquiera puede determinar fácilmente cuál es su dirección MAC
Otro aspecto esencial que hay que entender sobre las direcciones MAC es que no son secretas. La dirección MAC está contenida dentro del marco Ethernet de un paquete de red y se utiliza para determinar a dónde debe dirigirse el tráfico en la red local o LAN. Normalmente, esto significa que el tráfico debe dirigirse desde el dispositivo, con su dirección MAC, al enrutador, con su dirección MAC correspondiente. Esta esla capa 2del popular modelo OSI de redes, conocida como la capa de enlace de datos, que se encarga de dirigir físicamente los paquetes dentro de una red local, así como (en teoría) de identificar de forma única cada dispositivo de una red. Esta capa encapsula la capa IP con la que todos estamos más familiarizados, que es responsable de dirigir el tráfico entre redes a través de un enrutador.
Todo esto puede resultar un poco complicado, pero lo más importante es comprender que, al igual que una dirección IP en un paquete, su dirección MAC se encuentra en una sección no cifrada de su tráfico. Esto significa que cualquiera puede inspeccionar su tráfico e identificar las direcciones MAC de sus dispositivos. Esto es así por diseño: ¡no se supone que sean un secreto!
Su dirección MAC se encuentra en una sección no cifrada de su tráfico. Esto significa que cualquiera puede inspeccionar su tráfico e identificar las direcciones MAC de sus dispositivos.
La mayoría de los adaptadores de red tienen controles de firmware para ignorar todo el tráfico que no está dirigido a ellos. Sin embargo, puedes comprar fácilmente adaptadores para Wi-Fi y Ethernet que no tienen este control y te permitirán capturar paquetes de todos los dispositivos en las inmediaciones. Con las asignaciones de direcciones MAC por fabricante mencionadas anteriormente, es bastante fácil adivinar qué dispositivo es cuál por el fabricante; es decir, la persona en la esquina de una cafetería con una computadora portátil LG tiene una dirección MAC asignada por LG. El resultado de esto es que cualquiera puede identificar fácilmente las direcciones MAC en tu red sin siquiera necesitar estar conectado a ella.
Quizás te preguntes cómo los dispositivos aprenden las direcciones MAC de los demás y cómo se encuentran entre sí en una red. Esto se hace a través de un protocolo llamado ARP (Protocolode resolucióndedirecciones) y un sistema de almacenamiento en caché.
2Los filtros de direcciones MAC son una molestia
Estamos muy lejos de 2005
Dejando de lado el teatro de la seguridad, otra razón por la que no recomendaríamos confiar en el filtrado de direcciones MAC para gestionar la seguridad de su red es más práctica. Son un auténtico fastidio para administrar. Hay algunos usos válidos para un filtro de direcciones MAC, como mantener los dispositivos de sus hijos fuera de una red (hasta que también descubran cómo falsificar su dirección MAC). Aun así, es posible que descubra rápidamente que agregar cada dispositivo nuevo a una lista de permitidos es una tarea que requiere mucho tiempo y es una molestia. Especialmente en una era de dispositivos inteligentes y electrodomésticosde Internet de las cosasen nuestros hogares, localizar la dirección MAC de cada dispositivo puede ser algo no trivial y llevar mucho tiempo. Inevitablemente, terminará con una tonta hoja de cálculo de todas las direcciones MAC de su hogar, lo que no solo es un fastidio, sino también bastante ineficaz para cualquiera que esté seriamente interesado en atacar su red.
Lamentablemente, muchos enrutadores domésticos no incluyen una alternativa. Si tiene la opción, una mejor opción sería configurar algún tipo de control parental en un dispositivo para niños pequeños, configurarVLANpara limitar el acceso a la red o cambiar a una contraseña más segura (o incluso un método de autenticación alternativo). Sin embargo, en última instancia, es posible que deba trabajar con lo que ofrece el software de suenrutador.
1Los dispositivos están codificando automáticamente su dirección MAC
Los nuevos iPhones podrían causarte problemas de inmediato
En el pasado, los puntos anteriores habrían sido cuestiones más académicas. Claro, alguien puede falsificar su dirección MAC fácilmente, pero no conozco a ningún pirata informático al que le importe. Seguramente no puede hacer ningún daño, pero en los últimos años eso ha cambiado, ya que cada vez más dispositivos de consumo incorporan modos "privados" para las conexiones Wi-Fi, que codifican sus direcciones MAC con regularidad para evitar el análisis de sus patrones de uso o tráfico.
Esta opción es compatible con iOS y Android. Si biense puede desactivar, deberás pedirle a todos los usuarios de tu red que lo hagan. Esta conversación puede volverse difícil de gestionar con invitados o familiares que se quedan a pasar el fin de semana.
El filtrado de direcciones MAC puede tener un lugar muy limitado en la seguridad de su red.
El filtrado de direcciones MAC es un gran ejemplo de teatro de seguridad, pero puede tener algunos usos. Si tienes niños pequeños y quieres asegurarte de que sus dispositivos no puedan conectarse a Internet sin tener que preocuparse por mantener su contraseña en secreto, esta puede ser una buena forma de hacerlo. Pero para la mayoría de los demás usos, te sugerimos que busques otros medios para proteger tu red. Asegurarte de que estás utilizando el estándar de cifrado de Wi-Fi más fuerte disponible, así como una contraseña segura, es un buen comienzo. En realidad, es mucho más probable que te veas comprometido por un enlace de correo electrónico malicioso, un archivo adjunto, una configuración incorrecta o una descarga de archivos que por un ataque directo y físicamente presente en tu red, así que asegúrate de estar al día con otras prácticas recomendadas para mantener segurala ciberseguridad de tu hogar.