Le filtrage Mac

En sécurité informatique, le filtrage par adresse MAC est une méthode de contrôle d'accès au réseau informatique, basée sur l'adresse MAC physique de la carte connectée au réseau. Une adresse MAC physique est une adresse unique, assignée à chaque carte réseau, commutateur (switch), routeur, caméra IP, etc. Ainsi, utiliser le filtrage par adresse MAC sur un réseau informatique permet de contrôler l'accès au réseau d'équipements définis dans une liste blanche, une liste noire, un script, la configuration d'un pare-feu. Cette technique n'est effective qu'au sein d'un réseau local car l'adresse MAC n'est pas conservée après passage par un routeur. Le filtrage par adresse MAC est une méthode concurrente, ou complémentaire, au filtrage par port, et au filtrage par adresse IP.

Avantage : les adresses IP des machines peuvent être administrées au niveau du routeur sans avoir à modifier individuellement les paramètres de filtrage (ex : DHCP) des clients. Inconvénient : le travail de collecte des adresses MAC peut être fastidieux dans un grand réseau. Inconvénient : en cas de changement de la carte réseau, la configuration du système de filtrage doit être adaptée.

Le filtrage sur adresse MAC des connexions sur un point d'accès Wi-Fi peut être réalisé. Depuis 2014, certains équipements utilisent une adresse MAC aléatoire pour scruter les réseaux Wi-Fi disponibles, et n'utilisent leur véritable adresse MAC qu'une fois connectés. Cette disposition complique, voire empêche, ces équipements de se connecter aux réseaux Wi-Fi pratiquant un filtrage des connexions sur adresse MAC.

La technique qui consiste à usurper l'adresse MAC d'une machine autorisée est appelée « MAC Spoofing », à ne pas confondre avec l'« ARP Spoofing » qui consiste à détourner un flux vers une nouvelle adresse MAC. Contrairement aux idées reçues, l'usurpation d'adresse MAC est très facile à réaliser, ce n'est donc pas un moyen de sécuriser l'accès à ses équipements Wi-Fi. En effet il faut distinguer l'adresse MAC physique de l'adresse MAC logicielle. L'adresse physique est en effet difficile à modifier, mais celle-ci sert uniquement d'adresse MAC par défaut pour établir les connexions réseau. C'est le système d'exploitation qui choisit la(les) adresse(s) MAC avec laquelle(lesquelles) il désire communiquer. Une bonne politique de sécurité ne doit donc pas reposer sur l'adresse MAC, puisque dans le cadre d'une connexion réseau, celle-ci n'est que logicielle.

Sous le système d'exploitation Linux, il suffit de 2 lignes de commandes pour changer l'adresse MAC de sa carte réseau: ifconfig wlan0 down ifconfig wlan0 hw ether <adresse_mac_quelconque> up. Le changement d'adresse MAC est aussi un des éléments qui permettent de conserver son anonymat, en optant pour une adresse MAC aléatoire ou par exemple "00:11:22:33:44:55". Pour identifier l'adresse MAC de chacune des cartes d'interface réseau (Ethernet, WIFI) présentes dans un PC. Sous Windows : ouvrir « démarrer » puis « exécuter », taper « cmd », puis taper « ipconfig /all ». L'adresse IP ainsi que l'adresse MAC apparaissent. Il existe également la commande « getmac /v ». Sous GNU/Linux et MacOS X : ouvrir un terminal, et taper la commande « ifconfig ». Avec Network Manager (Linux) : ouvrir la liste des réseaux favoris, et dans les propriétés d'une connexion modifier le champ "Adresse MAC clonée" en écrivant par exemple "00:11:22:33:44:55". Sous Windows : le changement d'adresse MAC se fait en modifiant manuellement une clé de registre. Avec certains pilotes, l'adresse MAC peut directement être modifiée dans les propriétés avancées de la carte réseau.

Le filtrage des adresses MAC est une fonctionnalité de sécurité qui contrôle l’accès au réseau en filtrant les adresses MAC.

Pour bloquer tous les paquets entrants à partir d’une adresse MAC spécifique, vous pouvez activer le filtrage des adresses MAC.

Vous pouvez configurer une interface Ethernet pour apprendre dynamiquement les adresses MAC source ou de destination.

Sur les interfaces Ethernet avec SFP, vous pouvez activer le filtrage des adresses source pour bloquer tous les paquets entrants provenant d’une adresse MAC spécifique.

Lorsque vous filtrez les interfaces logiques et physiques, vous pouvez spécifier jusqu’à 1000 adresses source MAC par port.

La prise en charge du filtrage MAC comprend : Filtrage des adresses MAC source et de destination pour chaque port.

Filtrage des adresses source MAC pour chaque interface physique.

Filtrage des adresses source MAC pour chaque interface logique.

Sur les interfaces Ethernet agrégées, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ et Gigabit Ethernet PICs avec SFP, vous pouvez activer le filtrage des adresses source pour bloquer tous les paquets entrants provenant d’une adresse MAC spécifique.

Pour activer le filtrage, incluez l’instruction source-filtering au niveau de la [edit interfaces interface-name aggregated-ether-options | fastether-options | gigether-options] hiérarchie.

Lorsque le filtrage des adresses source est activé, vous pouvez configurer l’interface pour qu’elle reçoive des paquets provenant d’adresses MAC spécifiques.

Pour ce faire, spécifiez les adresses MAC dans l’instruction source-address-filter mac-address au niveau de la [edit interfaces interface-name aggregated-ether-options | fastether-options | gigether-options] hiérarchie.

Vous pouvez spécifier l’adresse MAC sous la forme nn:nn:nn:nn:nn:nn ou nnnn.nnnn.nnnn, où n est un nombre hexadécimal.

Vous pouvez configurer jusqu’à 64 adresses source.

Pour spécifier plusieurs adresses, incluez l’instruction source-address-filter plusieurs fois.

Le filtrage des adresses sources ne fonctionne pas lorsque le protocole LACP (Link Aggregation Control Protocol) est activé.

Si la carte Ethernet distante est changée, l’interface ne peut pas recevoir de paquets de la nouvelle carte car elle a une adresse MAC différente.

Sur une box, le filtrage MAC permet d’autoriser ou de refuser la connexion d’ordinateurs de manière nominative. C’est en théorie l’arme ultime pour éviter toute intrusion sur son réseau personnel. En théorie seulement ! Chaque appareil disposant d’une carte réseau (ordinateur, smartphone, console, tablette, etc.) possède un numéro d’identification unique au monde : c’est l’adresse MAC (voir la définition dans le glossaire Panoptinet). Or il est possible de configurer nos box pour que celles-ci n’acceptent que certaines adresses MAC sur le réseau Wi-Fi.

L’idéal pour réserver son réseau aux seules machines du foyer ! Cette opération n’est pas très compliquée à réaliser, notamment si vous suivez les didacticiels Panoptinet. Mais le filtrage par adresse MAC est-il vraiment efficace ? Il n’existe aucune sécurité Wi-Fi 100% fiable. Et le filtrage MAC ne déroge pas à la règle.

Le pirate souhaitant se connecter un réseau Wi-Fi protégé par un filtrage MAC commence par « écouter » les échanges d’informations qui circulent sur le réseau ciblé. Il utilise pour cela un logiciel « sniffer » qui analyse le réseau. Régulièrement, une des machines autorisées dialogue avec la box, et lui fournit son adresse MAC pour prolonger son autorisation d’accès. Le pirate n’a plus qu’à capturer cette adresse MAC, et à l’attribuer à sa propre machine. Bien qu’illégale, cette opération n’est techniquement pas très compliquée. En quelques minutes, l’ordinateur ou le smartphone du pirate devient un appareil accepté sur le réseau Wi-Fi visé.

Ce n’est pas parce qu’une sécurité peut être défaite qu’il faut pour autant s’en passer ! Nul besoin d’être ingénieur informaticien pour contourner une protection de type filtrage MAC. En revanche, un filtrage par adresse MAC ajouté à une clé solide de type WPA2 peut décourager un pirate en herbe peu motivé, ou en tout cas le diriger vers un réseau moins sécurisé. Activer un filtrage MAC revient à minimiser les risques d’intrusion. Si vous souhaitez ajouter cette sécurité à votre box, rassurez-vous, ce n’est pas très compliqué.

Il existe sur Panoptinet une procédure détaillée pour chaque box : Activer le filtrage MAC sur Livebox (Orange) Activer le filtrage MAC sur Neufbox (SFR) Activer le filtrage MAC sur Freebox (Free) Activer le filtrage MAC sur Dartybox Activer le filtrage MAC sur Bbox (Bouygues Telecom) Activer le filtrage MAC sur la box Numericable.

Le MAC Address Filtering (Filtrage d'Adresses MAC) est une méthode de sécurité réseau qui vous permet de refuser l'accès aux périphériques connectés à votre réseau en fonction de leur Adresse MAC.

Une Adresse MAC est un numéro de série unique donné à l'interface réseau d'un périphérique tel que votre Wemo®.

Chaque appareil Wemo dispose de deux interfaces réseau et donc de deux Adresses MAC.

Votre appareil Wemo dispose de deux interfaces réseau.

Une pour la configuration, et une pour le connecter à votre réseau Wi-Fi®.

Lorsque votre appareil Wemo est en mode de configuration, l'interface réseau est désactivée et l'interface de configuration diffuse.

Lorsque vous avez réussi à configurer votre Wemo, l'interface de configuration s'éteint OFF et l'interface réseau est activée.

À l'arrière de votre périphérique Wemo (devant pour le Wemo® Light Switch) se trouve l'adresse MAC pour l'interface de configuration.

Comment ajouter un périphérique Wemo à mon réseau?

L'Adresse MAC de l'interface réseau est supérieure d'un chiffre à l'Adresse MAC de l'interface de configuration.

Si vous êtes à l'aise d'ajouter en format hexadécimal, ajouter simplement 1 au dernier chiffre de l'Adresse MAC sur l'étiquette à la liste de sécurité de filtrage MAC sur votre routeur sans fil.

La méthode la plus simple consiste à désactiver temporairement le Filtrage des Adresses MAC sur votre routeur sans fil et à ajouter les périphériques Wemo.

Étape 1: Accéder à l'interface d'administrateur de votre routeur.

Étape 2: Désactivez OFF le Filtrage de l'Adresse MAC et redémarrer votre routeur.

Étape 3: Une fois que votre routeur a terminé le redémarrage, suivez la procédure de configuration de votre appareil Wemo.

Étape 4: Connectez-vous à l'interface d'administrateur de votre routeur et localiser l'Adresse MAC qu'il a répertoriée pour votre Wemo.

Ajoutez ceci à votre liste de sécurité du Filtre d'Adresses MAC.

Après cela, vous pouvez activer ON le Filtrage d'Adresses MAC et redémarrer votre routeur.

MAC Filter is a technology used in wireless routers to prevent unauthorized access to networks.

The MAC Address is a unique identifier that is assigned to each device on a network.

A wireless router uses a MAC Address to identify the device and determine which network it should connect to.

Step 1: Open a web browser and go to http://cudy.net or http://192.168.10.1. For details, please refer to How to log into the web interface of Cudy Router?

Step 2: Click Advanced Settings -> MAC Filter in the Security section.

Step 3: Check settings in MAC Filter page.

• To block the specific device(s) 1. Select 'Allow all except list'. 2. Select the device(s) to be blocked in the online device list regarding the MAC Address and IP Address. If the online device you want to block is not there, go to System Status->Devices->copy the MAC Address->go back to MAC Filter->Custom and paste MAC Address. 3. Save & Apply and the device selected will not be able to get internet from the router anymore.

• To allow the specific device(s) 1. Select 'Allow list only'. 2. Select the device(s) you allow getting internet. 3. Save & Apply and only the devices(s) selected can get internet access.

Here is a simple way can do the same as MAC Filter.

System Status-> Devices Internet Enable and disable the Internet icon to control the internet access of each device.

'OPPO-Reno5-5G' cannot get internet via the router below.

Operation Click on the Operation icon can specify a new name for the device.

Time restriction of internet access The time period that devices are allowed to access the Internet.

Example: The 'Computer' device is only allowed to enjoy the internet on Monday from 10 am to 8 pm.