Web Analytics
Conecta con nosotros

A Fondo

Filtrado MAC: ¿listas blancas o listas negras?

Publicado el

El filtrado MAC es una herramienta muy útil para proteger nuestra conexión WiFi y mantener fuera a los intrusos. Con ella establecemos una barrera que actúa como capa de seguridad adicional a la contraseña de nuestra red inalámbrica, y podemos configurarla en base a dos grandes opciones: listas blancas y listas negras.

En este artículo queremos profundizar sobre esta cuestión con una perspectiva diferente: ayudaros a decidir cuál de esas dos opciones de filtrado MAC se ajusta mejor a vuestras necesidades. Para ello vamos a ver qué es exactamente el filtrado MAC y qué ofrecen esos dos tipos de lista.

Por el principio: ¿Qué es el filtrado MAC?

Como anticipamos al inicio del artículo es una herramienta de protección que actúa a través de la identificación de la dirección MAC de los dispositivos que quieren conectarse a Internet. Para que lo entendamos mejor es una especie de «vigilante» que pide identificación a todo aquél que intenta conectarse a nuestra red WiFi.

Esto quiere decir que aunque un intruso supere la barrera que supone la contraseña de nuestra red WiFi tendrá que pasar esa segunda capa de protección que representa el filtrado MAC. Su utilidad está fuera de toda duda,pero debemos tener en cuenta que los dos tipos de lista que ofrece esta herramienta trabajan de forma muy diferente, y por tanto ofrecen un nivel de protección muy distinto.

1.-Listas blancas:

Este tipo de listas son las que mayor seguridad ofrecen, ya que en ellas se recogen una serie de direcciones MAC que serán las únicas que estarán autorizadas para conectarse a nuestra red WiFi.

Con esta opción activada cuando un dispositivo intenta conectarse el filtrado MAC comprueba si está o no en la lista de dispositivos autorizados. En caso de que no esté bloquea su acceso aunque haya introducido correctamente la contraseña.

  • Ventajas: ofrece una mayor protección ya que limita el acceso a nuestra red a los dispositivos que hayamos autorizado previamente.
  • Desventajas: puede ser molesto si tenemos muchas visitas y queremos compartir nuestra red WiFi, ya que tendremos que autorizar sus dispositivos.

2.-Listas negras:

En las listas negras también tenemos una recopilación de direcciones MAC, pero éstas no pertenecen a los dispositivos autorizados sino a aquellos no autorizados para conectarse a nuestra red inalámbrica.

Esto quiere decir que con esta opción activada cuando un dispositivo intenta conectarse el filtrado MAC comprueba si éste se encuentra en la lista, y en caso afirmativo bloquea el acceso.

  • Ventajas: permite bloquear solo dispositivos concretos, es menos agresivo y más cómodo si tenemos invitados.
  • Desventajas: es menos eficaz que el método de lista blanca, ya que sólo bloquea los dispositivos listados.

En general para una familia normal el método de lista blanca es el más efectivo y el más recomendable. Os recordamos que si recibís muchas visitas y no queréis renunciar a las ventajas de las listas blancas podéis crear una red de acceso para invitados.

Contenido ofrecido por AVM FRITZ!

Editor de la publicación on-line líder en audiencia dentro de la información tecnológica para profesionales. Al día de todas las tecnologías que pueden marcar tendencia en la industria.

4 comentarios
  • Javier C

    no hay medidas de seguridad inquebrantables. Pero algo se puede mitigar con este sencillo filtro

  • tomy

    Las dos funcionan y pueden ser una primera barrera interesante. Clonar una MAC no es ser un hacker, pero tampoco es algo que sepa hacer cualquiera. Es un tutorial para mejorar un punto más la seguridad de la red, nada más.

    Un saludo.

  • Ayquelallevocolgando…

    Tanto el gestor de conexiones de Gnome como el del KDE/Plasma permiten seleccionar una MAC aleatoria o escribir una a mano (clonar) para falsear la real. Si no me equivoco el de Gnome incluso permite que una MAC falsa diferente cada vez que se establece una conexión nueva, y todo con un clic, nada de meterse a trastear con la consola. Y en Android la apli Change my MAC y similares hacen lo mismo. Desconozco cómo estará la situación en Windows pero supongo que si el SO no incluye esa opción de serie, habrá docenas de programas gratuitos o «gratuitos» que sí.

    Este tipo de medidas de privacidad (un verdadero «privacy conscious user» como dicen los gringos te dirá que ni se te ocurra conectar tu equipo nuevo a una red sin falsear la MAC real o estarás «fichado» desde el segundo 1) hace completamente inviable el tema del filtrado por MAC ya que si cada dos por tres tenemos una MAC nueva impostada el router nos va a a negar la conexión todo el rato.

    Y hombre, no es que lo sepa cualquiera que use un ordendor, es verdad, pero sí cualquiera que haya leído 3 «tutoriales» para hackear wifis sabe que uno de los ataques más comunes es el de suplantación mediante la desautenticación de un cliente y la autenticación nuestra suplantando la MAC legítima que previamente hemos copiado cuando hemos empezado a husmear las redes que tenemos cerca. Es que en cualquier guía elemental de (in)seguridad inalámbrica nos dice cómo ver las MAC de los equipos conectados a una red inalámbrica en la prímera página, y consultar una guía de esas es lo primero que hace el que quiere hackear una wifi.

    Luego cuando les cuentas a esos usuarios tan felices por esa falsa sensación de seguridad que además de no servir más que para mantener alejado al vecino adolescente que no ha dedicado 5 minutos en leer alguna guía o blog, y que cada conexión al router y al servidor de DNS de su operador registra no sólo hora, fecha, duración, IP, dominios de destino, etc, de cada conexión sino también la MAC tanto del router como de los equipos, por lo que si dicen que tal twiter con un chiste machista lo publicó alguien que le hackeo el Twitter no va a colar porque por no haber flaseado su MAC ha quedado registrado que efectivamente fue desde su ordenador o su móvil, etc, o que tal conexión a Pornhub sería de su hermano el pajillero en su tablet, o que tal mensaje en un foro c*gándose en el padre de algún forista sería de algún conocido de la familia que uso su wifi desde su portátil, o tantas otras cosas que cualquiera en un momento de calentón de boca puede soltar pero que ya empiezan a ser contempladas como delito, y todo indica de que la cosa se va a seguir endureciendo, cuando les dices que por la tontería del filtrado MAC va a estar renunciando a una mayor dosis de privcidad,entonces les cambia la cara.
    Bendita ignorancia… xD

    P.D: Lo que hay que hacer para mejorar la seguridad de nuestro router es usar contraseñas seguras y cambiarlas un par de veces al año, reducir la potencia de la antena tanto del router como de sus equipos para que el radio de alcance se reduzca hasta no llegar más allá de los límites de la vivienda, actualizar el firmware del router, y quizá, (y esto también está muy cuestionado) quitar el DHCP y forzar a que los clientes usen IP estática, que preferiblemente pondremos que se aun poco «rebuscada», no la típica 192.168.0.1, sin de las del tipo 172.x.x.x. Pero vamos, también hay métodos para averiguar las IP, aunque no son tan inmediatos como abrir el Reaver y esperar unos segundos a que nos la chive, como la MAC, pero haberlos haylos.

  • Ayquelallevocolgando…

    Reaver, Aircrack, Wireshark, y prácticamente cualquier herramienta de auditoria de seguridad de redes muestra POR DEFECTO, no hay que hacer nada ni investigar en opciones oscuras y complejas, las MAC de los clientes conectados a un punto de acceso wifi. En serio, no os engañéis, filtrar la MAC no sirve de nada porque LO PRIMERO que hace un hacker de wifis es lanzar alguno de estos programas.
    Preocupaos más de usar contraseñas seguras, por supuesto WPA2 AES, renovadlas cada cierto tiempo, y no dejéis que la antena de vuestro router, y tampoco las de vuestro ordenador (y móvil si lo tenéis rooteado), emita con más potencia de la necesaria para que la conexión os vaya bien. Poner el router al 100% de potencia si no vivís en una casa muy grande sólo facilita que más vecinos puedan enviar y capturar datos a/de tu router y equipos. En una vivienda de tamaño medio con el router bien colocado en el centro de la vivienda, al 40 – 50% suele llegar la señal perfectamente a todas las habitaciones y en cuanto te alejas 6 u 8 metros de la casa, la señal ya se pierde, mientras que al 100% puede llegar fácilmente a los bloques de pisos que están a 15 o 20 metros.

Top 5 Cupones

Lo más leído