Открыть сервис

Фильтрация по MAC

Фильтрация по MAC — это технология ограничения доступа к компьютерной сети или отдельным сетевым устройствам на основе MAC-адресов (Media Access Control) — уникальных аппаратных идентификаторов сетевых интерфейсов. Фильтрация по MAC реализуется на уровне канального уровня модели OSI и применяется в локальных сетях (LAN), беспроводных сетях (Wi-Fi), а также в коммутаторах, маршрутизаторах и точках доступа для повышения безопасности и управления сетевым доступом.

Принцип работы

Каждый сетевой интерфейс (например, сетевая карта Ethernet или Wi-Fi-адаптер) имеет уникальный MAC-адрес длиной 48 бит, записываемый обычно в шестнадцатеричной форме через двоеточия или дефисы (например, 00:1A:2B:3C:4D:5E). Фильтрация заключается в сравнении MAC-адреса устройства, пытающегося подключиться к сети или отправить пакет, со списком разрешённых (белый список) или запрещённых (чёрный список) адресов.

При поступлении кадра данных устройство (например, точка доступа или коммутатор) проверяет поле «адрес источника» (Source MAC) в заголовке кадра. Если адрес не соответствует правилам фильтрации, кадр отбрасывается либо соединение разрывается. В случае Wi-Fi-сетей фильтрация обычно применяется на этапе аутентификации: клиент не получает IP-адрес и не может взаимодействовать с сетью.

Типы фильтрации по MAC

Фильтрация на коммутаторах (уровень L2)

Управляемые коммутаторы Ethernet поддерживают фильтрацию MAC-адресов на портах — функцию port security. Администратор задаёт максимальное количество разрешённых MAC-адресов на одном порту и/или указывает конкретные адреса. Если на порту появляется устройство с неизвестным MAC-адресом, порт может быть отключён (shutdown), отброшен или сгенерировано предупреждение. Эта функция предотвращает подключение неавторизованных устройств и перегрузку таблицы MAC-адресов.

Фильтрация в беспроводных сетях

В точках доступа Wi-Fi (например, стандартов IEEE 802.11) фильтрация по MAC является распространённой, но не обязательной опцией. Администратор добавляет MAC-адреса клиентов в список разрешённых или запрещённых. При попытке подключения точка доступа проверяет MAC-адрес клиента на этапе ассоциации и, если он не входит в белый список, отказывает в соединении.

Фильтрация в маршрутизаторах и межсетевых экранах

Некоторые маршрутизаторы (в том числе домашние) и межсетевые экраны поддерживают так называемую «фильтрацию по MAC», позволяющую ограничить доступ к интернету или определённым сетевым сервисам для устройств с указанными MAC-адресами. Это может использоваться в целях родительского контроля или ограничения числа одновременных подключений.

Применение

Ограничения и недостатки

Фильтрация по MAC не является надёжным методом безопасности и имеет ряд существенных недостатков:

Рекомендации по использованию

В профессиональной среде фильтрация по MAC рекомендуется только как дополнительный уровень безопасности, а не основной. Наиболее эффективна она в сочетании с:

В домашних условиях фильтрация может отпугнуть случайных «соседей-любителей», но не защитит от целенаправленного взлома. Большинство экспертов сходятся во мнении, что эта мера создаёт ложное чувство защищённости.

История

Фильтрация по MAC возникла одновременно с появлением управляемых сетевых устройств — коммутаторов и точек доступа, в 1990-х годах. В ранних реализациях (например, в протоколе IEEE 802.1D, Standard for MAC Bridges) уже предусматривались механизмы ограничения доступа на основе MAC. С распространением Wi-Fi (стандарт 802.11, 1997 год) технология была перенесена в точки доступа и стала стандартной опцией. В 2000-е годы производители предлагали её как «стушечный» способ ограничения доступа. Однако с развитием методов атак (ARP-spoofing, MAC-spoofing) и внедрением более современных систем аутентификации (WPA2-Enterprise, 802.1X) роль фильтрации по MAC в безопасности снизилась.

Альтернативы и схожие технологии

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →