Filtrado MAC

En redes informáticas, filtrado MAC se refiere a un método de seguridad mediante control de acceso en el cual la dirección MAC de 48 bits asignada a cada tarjeta de red es usada para discriminar su acceso a la red.

Las direcciones MAC (siglas del inglés media access control, control de acceso de medios) identifican de forma única a cada tarjeta, de forma que el uso de filtrado MAC en una red posibilita permitir o denegar el acceso a la red a cada dispositivo específico a través del uso de listas negras y listas blancas. Mientras que la restricción de acceso a la red mediante el uso de listas es un proceso simple y unívoco, no son los individuos los que están identificados por una dirección MAC, sino sólo los dispositivos, de manera que una persona con acceso autorizado necesitará una entrada en la lista blanca para cada dispositivo con que vaya a acceder a la red.

Si bien procura cierta protección adicional a una red, el filtrado MAC puede ser sorteado escaneando una dirección MAC autorizada (mediante airodump-ng) y luego asignando al dispositivo propio una MAC válida fraudulenta; esta es la práctica conocida como MAC spoofing. Esto puede hacerse usando el registro de Windows, o mediante herramientas de línea de comandos en plataformas GNU/Linux. Es habitual referirse al filtrado MAC como un caso de seguridad por oscuridad. Desgraciadamente, el uso del filtrado MAC puede llevar a una falsa sensación de seguridad.

El filtrado MAC no constituye un control efectivo en redes inalámbricas, ya que un atacante puede hacer una escucha de las transmisiones. Es más efectivo en redes cabledas, ya que es más difícil para el atacante identificar las MAC autorizadas.

El filtrado MAC se usa también en redes inalámbricas empresariales con puntos de acceso múltiples, para evitar que los clientes se comuniquen entre ellos. El punto de acceso puede ser configurado para permitir a los clientes comunicarse únicamente con la puerta de enlace predeterminada, pero no con otros clientes inalámbricos, incrementando la eficiencia de acceso a la red.

Seguridad de puertosEditar

Muchos dispositivos con capacidad de filtrado MAC lo realizan sólo sobre la base de dispositivos. Se permite el acceso a las direcciones MAC autorizadas a través de cualquier puerto del dispositivo, mientras a las direcciones MAC de la lista negra se les niega el acceso a cualquier puerto. Otros dispositivos, como los switches Cisco Catalyst, tienen capacidad de filtrado MAC según cada puerto. Es lo que se llama seguridad de puertos. La seguridad de puertos puede configurarse estáticamente mediante una lista, o dinámicamente basándose en el número de direcciones detectadas, o una combinación de ambas. La configuración por defecto permite una única dirección MAC por puerto, pero puede configurarse para cerrar el puerto si se excede un determinado número de direcciones.[1]

Véase tambiénEditar

ReferenciasEditar

  1. «Configuring Port Security». Cisco. Consultado el 14 de noviembre de 2015.