Фильтрация по MAC

Перейти к навигации Перейти к поиску

В компьютерных сетях фильтрация по MAC (или фильтрация второго уровня) относится к контролю доступа, согласно которому 48-битный адрес, присваиваемый каждой сетевой карте используется для разграничения доступа к сети.

MAC-адреса уникальны для каждой карты, поэтому с помощью фильтрации MAC-адресов можно разрешать или запрещать доступ к сети для определённых устройств за счёт использования чёрных и белых списков.

Фильтрацию по MAC в беспроводных сетях можно обойти путём сканирования MAC (например, через airodump-ng) и подмены собственного MAC на один из подтвержденных. Фильтрация MAC-адресов часто относят к безопасности через неясность. Использование фильтрация MAC-адресов может привести к ложному чувству безопасности.

Однако фильтрация по MAC адресам более эффективна в проводных сетях, так как получение доверенных адресов для нападающих является гораздо более сложной задачей.

Фильтрация Mac также используется в беспроводных корпоративных сетях с несколькими точками доступа, чтобы предотвратить общение клиентов друг с другом. Точка доступа может быть настроена так, чтобы позволять клиентам соединиться только с шлюзом по умолчанию, но никак не с другими клиентами беспроводной сети.

Безопасность портов

Некоторые устройства ведут следующую политику безопасности: фреймы из белого списка MAC-адресов допускаются через любой порт на устройстве, а из чёрного списка блокируются на всех портах. Другие устройства, такие как коммутаторы Cisco Catalyst, поддерживают фильтрацию MAC-адресов от порта к порту. Безопасности портов могут быть сконфигурированы как статический список, динамически, основываясь на первых и учитывая количество обнаруженных адресов или комбинируя эти два метода. По умолчанию при включении безопасности на порте разрешён только один MAC-адрес на порт, порт переводится в закрытое состояние, если допустимое число адресов превышено.^[1]

Ссылки

↑ Configuring Port Security (неопр.). Cisco. Дата обращения: 14 ноября 2015. Архивировано 4 марта 2016 года.

Похожие исследовательские статьи

DHCP — сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве сетей TCP/IP.

<span class="mw-page-title-main">Маршрутизатор</span> специализированный сетевой компьютер, имеющий минимум два сетевых интерфейса

Маршрутиза́тор, ро́утер, также ра́утер — специализированное устройство, которое пересылает пакеты между различными сегментами сети на основе правил и таблиц маршрутизации. Маршрутизатор может связывать разнородные сети различных архитектур. Для принятия решений о пересылке пакетов используется информация о топологии сети и определённые правила, заданные администратором.

PPTP — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Сетевой коммутатор — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети. Коммутатор работает на канальном (втором) уровне сетевой модели OSI. Коммутаторы были разработаны с использованием мостовых технологий и часто рассматриваются как многопортовые мосты. Для соединения нескольких сетей на основе сетевого уровня служат маршрутизаторы.

<span class="mw-page-title-main">Межсетевой экран</span>

Межсетево́й экра́н, сетево́й экра́н — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

RADIUS — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом. Центральная платформа и оборудование Dial-Up доступа,

Сетево́е обору́дование — устройства, необходимые для работы компьютерной сети, например: маршрутизатор, коммутатор, концентратор, патч-панель и др. Можно выделить активное и пассивное сетевое оборудование.

VLAN — виртуальная локальная компьютерная сеть. Представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным членам группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

CDP — проприетарный протокол второго уровня, разработанный компанией Cisco Systems, позволяющий обнаруживать подключённое сетевое оборудование Cisco, его название, версию IOS и IP-адреса. Поддерживается многими устройствами компании, почти не поддерживается сторонними производителями.
Получаемая информация включает в себя типы подключённых устройств, интерфейсы устройства, к которым подключены соседние устройства, интерфейсы, использующиеся для создания соединений, а также модели устройств.

SCCP — Skinny Client Control Protocol, корпоративный (проприетарный) протокол, разработан Selsius Corporation, в настоящее время принадлежит Cisco Systems Inc., которая приобрела на него права с покупкой Selsius Corporation в 1998 году. В качестве напоминания о Selsius во всех современных Cisco IP-телефонах дефолтное название устройства для регистрации в CallManager начинается с SEP—это Selsius Ethernet Phone—после которых следует MAC-адрес.

Беспроводная вычислительная сеть — вычислительная сеть, основанная на беспроводном принципе, полностью соответствующая стандартам для обычных проводных сетей. В качестве носителя информации в таких сетях могут выступать радиоволны СВЧ-диапазона.

EAP — фреймворк аутентификации, который часто используется в беспроводных сетях и соединениях точка-точка. Формат был впервые описан в RFC 3748 и обновлён в RFC 5247.

Wireless Distribution System (WDS) — устаревшая технология, позволяющая расширить зону покрытия беспроводной сети путём объединения нескольких WiFi точек доступа в единую сеть без необходимости наличия проводного соединения между ними. Отличительной чертой технологии по сравнению с другими решениями является сохранение MAC-адресов клиентов сети.

Управление доступом к среде — подуровень канального (второго) уровня модели OSI, согласно стандартам IEEE 802.

Токен — компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удалённого доступа к информационным ресурсам и т. д. Как правило, это физическое устройство, используемое для упрощения аутентификации. Также этот термин может относиться и к программным токенам, которые выдаются пользователю после успешной авторизации и являются ключом для доступа к службам. Часто используется для несанкционированного доступа к аккаунту злоумышленниками.

SkyDNS — российский сервис серверов DNS с фильтрацией. У сервиса есть как бесплатный функционал, так и коммерческие решения для физических лиц, малого и среднего бизнеса, органов власти, образовательных учреждений и операторов связи.

Брандмауэр зональной политики — межсетевой экран, являющийся одним из компонентов программного обеспечения Cisco IOS. ZFW используется для настройки правил доступа между сетями. Предшественником ZFW был классический брандмауэр с контролем состояния. Впервые zone-based firewall был представлен в Cisco IOS версии 12.4(6)T.

Атаки канального уровня — атаки на протоколы второго уровня модели OSI, называемого также канальным уровнем.

IEEE 802.11i-2004 или коротко 802.11i, является поправкой к оригинальному IEEE 802.11, реализованному как Wi-Fi Protected Access II (WPA2). Стандарт был ратифицирован 24 июня 2004 года. Этот стандарт определяет механизмы безопасности для беспроводных сетей, заменяя условие короткой Аутентификации и конфиденциальности оригинального стандарта подробным условием Безопасности. В ходе этого процесса устаревает WEP, позднее он был включен в опубликованный стандарт IEEE 802.11-2007.

SSID — это символьное название беспроводной точки доступа Wi-Fi, служащее для идентификации её среди других точек пользователями или устройствами, подключающимися к сети. SSID представляет собой строку, размером до 32 байт, которая передается широковещательно в эфир. Расположенные рядом с сетью устройства принимают название и если им разрешено присоединиться к точке доступа, то соединяются с ней. С точки зрения безопасности сети администраторы иногда запрещают точке доступа вещать идентификатор, тогда такое устройство в списке видимых точек доступа не отображается, чтобы подключиться к такой сети необходимо ввести идентификатор в подключаемом устройстве вручную. Существуют точки доступа, позволяющие разделять абонентов по сегментам, в таких случаях одна точка доступа может иметь несколько идентификаторов SSID. Обмен данными в Wi-Fi сетях регламентируется стандартом IEEE 802.11.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.