Читаем Хитрости Windows 7. Для профессионалов - 2011 полностью

Одно из решений для домашних сетей и небольших предприятий, имеющих оборудование без возможности установки сервера идентификации, обычно доступного только большим компаниям, — использовать фильтрацию адресов MAC.

Адрес MAC (Media Access Control — Управление доступом к среде передачи данных) является более или менее уникальным идентификатором для каждого сетевого адаптера на вашем компьютере, или, в применении к маршрутизатору, уникальным идентификатором для каждого подключения в вашей сети. Вы можете настроить маршрутизатор так, чтобы он позволял только конкретным адресам MAC подключаться к сети и при этом не пускал кого-либо еще независимо от того, знают ли они фразу-пароль вашего WPA2или нет.

Страница типового беспроводного фильтра MAC показана на рис. 6.13. Если у вашего маршрутизатора нет этой функции, прочитайте раздел «Переход к более новой версии маршрутизатора». Включите здесь параметр Разрешить доступ к беспроводной сети только перечисленным компьютерам (Permit only PCs listed to access the wireless network) и затем введите или скопируйте М AC-адреса беспроводных адаптеров ваших компьютеров. Когда это сделано, сохраните установки.

Для получения М AC-адреса вашего компьютера (это не имеет никакого отношения к компьютерам Macintosh) откройте Центр управления сетями и общим доступом (Network and Sharing Center) в Панели Управления и затем щелкните на ссылке с названием действующего сетевого адаптера, расположенной под названием Просмотр активных сетей (View your active networks). Наконец, нажмите кнопку Сведения (Details), чтобы открыть окно Сведения о сетевом подключении (Network Connection Details), изображенное на рис. 6.14. Строка Физический адрес (Physical Address), состоящая из шести сегментов, является МАС-адресом данного адаптера.

Вам понадобится ввести MAC-адрес всех без исключения компьютеров, которые подключаются к вашей сети беспроводным способом. Стоит пропустить один из них, и он не сможет подключиться, а пользователь этого компьютера не будет знать причины. Не стоит беспокоиться о компьютерах, подключенных к вашей сети с помощью кабелей, — они не пострадают.

Итак, фильтрация МАС-адресов является практичным решением, но она не защищена от неумелого пользования. Например, любой, у кого есть доступ к странице настройки маршрутизатора, может внести изменения в утвержденный список, — если вы этого еще не сделали, измените пароль доступа к вашему маршрутизатору. Следующим шагом будет выключить параметр Дистанционного администрирования (Remote Administration) маршрутизатора для гарантии того, что только лица, подключенные к вашей сети, будут иметь к нему доступ. Наконец, следует учесть потенциально уязвимое место в фильтрации МАС-адресов, о которой идет речь во врезке «Почему фильтрация МАС-адресов не защищена от неумелого пользования» на с, 356.

ПОЧЕМУ ФИЛЬТРАЦИЯ МАС-АДРЕСОВ НЕ ЗАЩИЩЕНА ОТ НЕУМЕЛОГО ПОЛЬЗОВАНИЯ

Все устройства в сети имеют разные МАС-адреса, и это может казаться идеальным способом защиты от злоумышленников, но здесь таится ловушка. Дело в том, что на большей части современного оборудования есть возможность поменять МАС-адрес, поэтому теоретически можно подделать его и подключиться к фильтруемой сети. Получается, что МАС-адреса — это что-то вроде пароля?

Не совсем так. Во-первых, в сети не могут одновременно существовать два устройства с одинаковым МАС-адресом, поэтому если ваш компьютер подключен к сети, а кто-то чужой пытается подсоединиться, подделав ваш МАС-адрес, эта попытка не удастся. Во-вторых, у каждого компьютера свой МАС-адрес, отображающийся на странице фильтра МАС-адресов, а это означает, что администратор может удалить сомнительную строку, не влияя на работу остальных компьютеров. В этом заключается отличие от единой персональной фразы-пароля в WPA или ключа шифрования в WEP, которыми совместно пользуются все, кто находится в сети.

Настоящая проблема заключается в том, что, как и в случае с дилеммой скрытого SSID, рассмотренной в разделе «Выискивание зон доступа WiFi», пронырливый взломщик может с помощью отслеживающих программ перехватить МАС-адреса в эфире и использовать их для подключения.

Вы считаете, что изменить МАС-адрес компьютера трудно? Не торопитесь. Воспользуйтесь программой MAC Makeup, которую можно бесплатно скачать но адресу http:// www.gorlani.com/publicpri/macmakeup/, а также бесплатной программой MadMACs на сайте http://www.irongeek.com/i.php?page=security/madmacs-mac-spoofer или программой Technitium MAC Address Changer на http://www.technitium.com/tmac/. С помощью этих программ можно в течение нескольких минут изменить МАС-адрес беспроводного адаптера.