Фильтрация по MAC

В компьютерных сетях фильтрация по MAC (или фильтрация второго уровня) относится к контролю доступа, согласно которому 48-битный адрес, присваиваемый каждой сетевой карте используется для разграничения доступа к сети.

MAC-адреса уникальны для каждой карты, поэтому с помощью фильтрации MAC-адресов можно разрешать или запрещать доступ к сети для определённых устройств за счёт использования чёрных и белых списков.

Фильтрацию по MAC в беспроводных сетях можно обойти путём сканирования MAC (например, через airodump-ng) и подмены собственного MAC на один из подтвержденных. Фильтрация MAC-адресов часто относят к безопасности через неясность. Использование фильтрация MAC-адресов может привести к ложному чувству безопасности.

Однако фильтрация по MAC адресам более эффективна в проводных сетях, так как получение доверенных адресов для нападающих является гораздо более сложной задачей.

Фильтрация Mac также используется в беспроводных корпоративных сетях с несколькими точками доступа, чтобы предотвратить общение клиентов друг с другом. Точка доступа может быть настроена так, чтобы позволять клиентам соединиться только с шлюзом по умолчанию, но никак не с другими клиентами беспроводной сети.

Безопасность портовПравить

Некоторые устройства ведут следующую политику безопасности: фреймы из белого списка MAC-адресов допускаются через любой порт на устройстве, а из чёрного списка блокируются на всех портах. Другие устройства, такие как коммутаторы Cisco Catalyst, поддерживают фильтрацию MAC-адресов от порта к порту. Безопасности портов могут быть сконфигурированы как статический список, динамически, основываясь на первых и учитывая количество обнаруженных адресов или комбинируя эти два метода. По умолчанию при включении безопасности на порте разрешён только один MAC-адрес на порт, порт переводится в закрытое состояние, если допустимое число адресов превышено.[1]

СсылкиПравить

  1. Configuring Port Security. Cisco. Дата обращения: 14 ноября 2015.