Se você define regras de wifi que miram no aparelho específico do seu filho, um adolescente com jeito para a coisa tem uma resposta limpa: mudar o MAC address do aparelho, o identificador de hardware que o roteador usa para reconhecê-lo, e para o roteador ele vira um aparelho diferente para o qual a sua regra nunca foi escrita. Trocar o adaptador de rede faz o mesmo num computador. Caçar isso no roteador, bloqueando cada MAC novo conforme ele aparece, é uma corrida que você perde, porque falsificar um novo leva segundos. O conserto de verdade é parar de identificar o aparelho e filtrar de um jeito que não se importa com qual MAC aparece, que é o que o bloqueio no aparelho e a filtragem da rede inteira fazem, a abordagem por trás da TKO’T nos aparelhos que ela cobre, de graça. Defesa apenas, nomeando o truque só para fechá-lo.
Por que regras de roteador por dispositivo perdem
Muitos roteadores deixam você aplicar regras a um aparelho nomeado, identificado pelo MAC address. Essa conveniência é a fraqueza: o MAC é mudável por software, então uma regra amarrada a ele é uma regra amarrada a uma etiqueta que o usuário pode reescrever. É o padrão de enxugar gelo na forma de rede, todo identificador bloqueado é trocado por um novo, e você não vence colecionando identificadores. Você vence não dependendo do identificador.
Meu filho muda o MAC address para burlar o wifi: o que fazer
Quando o seu filho muda o MAC address, a resposta é parar de mirar no aparelho e filtrar de um jeito que a etiqueta dele não importa, em duas frentes. A primeira é a filtragem da rede inteira, não por dispositivo: defina o DNS de filtro no nível do roteador para a rede toda em vez de regras por aparelho, para todo aparelho no wifi ser filtrado não importa o MAC, e um endereço falsificado ainda receber o resolvedor de família da rede. O spoof muda a etiqueta, não a rede em que o aparelho está. Trave a página de admin do roteador para o próprio DNS ficar no lugar, a mesma disciplina de credencial guardada de sempre.
A segunda frente, e a mais forte para o celular do filho, é a filtragem que mora no aparelho, não na rede: um perfil gerenciado com DNS e regras de conteúdo no aparelho se aplica não importa em qual rede o celular está nem qual MAC ele apresenta, porque o filtro está no celular, não amarrado à visão que um roteador tem dele. Isso também fecha o escape relacionado de trocar para os dados móveis, que o spoofing costuma acompanhar. A política gerenciada pode ainda restringir mudar os ajustes de rede no aparelho.
Filtrar para a identidade do dispositivo não importar
Junte as duas frentes e a lógica fica simples: o problema é que o seu filtro estava perguntando “quem é este aparelho?”, e essa pergunta tem uma resposta que o usuário pode trocar. As duas correções param de fazer a pergunta. A filtragem da rede inteira pergunta “este tráfego está passando pela minha rede?”, o que vale para todo aparelho, com MAC verdadeiro ou falso. A filtragem no aparelho pergunta “o que este celular está tentando carregar?”, o que vale em qualquer rede, com DNS cifrado ou não. Nenhuma das duas depende do identificador, então falsificá-lo deixa de comprar qualquer coisa.
É a mesma razão pela qual a defesa no aparelho vence a defesa na rede em geral: a rede só vê o tráfego que passa por ela, e um identificador que ela pode ser enganada a aceitar; o aparelho vê o que ele mesmo está fazendo, e viaja junto. Onde a rede é frágil por depender de uma etiqueta, o aparelho é firme por não depender de nenhuma.
A conversa honesta com o filho
Seja direto sobre o que o spoofing te diz: um filho que falsifica MAC address é tecnicamente capaz e muito motivado, e nesse nível nenhum controle puramente técnico num aparelho que ele segura nas mãos é à prova de tudo, as rotas do DNS cifrado e do segundo aparelho continuam. A filtragem da rede inteira mais um perfil gerenciado no aparelho fecha as versões fácil e intermediária, o que cobre a maioria das situações, mas para um adolescente determinado e habilidoso a camada técnica compra tempo e aumenta o custo, ela não substitui a conversa. Isso não é uma falha das ferramentas; é o limite honesto de qualquer controle contra alguém esperto que mora na casa, e é por que o setup de família mais amplo junta a parede com a confiança em vez de confiar só na parede.
Perguntas frequentes (FAQ)
Meu filho falsifica o MAC address para burlar o filtro de wifi. O que posso fazer?
Pare de usar regras de roteador por dispositivo, que um MAC mudado derrota, e filtre a rede inteira para todo aparelho receber o DNS de filtro não importa o MAC, depois some filtragem no aparelho por um perfil gerenciado no celular do filho para o bloqueio viajar até fora do wifi. Trave a página de admin do roteador para o DNS ficar no lugar. A TKO’T roda esse modelo no Mac e no iPhone; some uma conversa direta, que as ferramentas apoiam mas não substituem.
Por que mudar o MAC address burla meu filtro?
Porque um filtro que mira num aparelho específico o identifica pelo MAC address, e o MAC é mudável por software, então um novo parece um aparelho novo em folha para o qual a sua regra nunca foi escrita. O conserto é filtrar de um jeito que não dependa da identidade do aparelho, DNS da rede inteira que cobre todo aparelho, e filtragem no aparelho que viaja com o celular. O identificador nunca foi a coisa certa para amarrar a regra.
Como filtrar o wifi para todos os dispositivos, não importa o MAC address?
Defina o DNS de filtro no nível do roteador para a rede inteira em vez de escrever regras por dispositivo, para todo aparelho conectado, inclusive um com MAC falsificado, receber o resolvedor de família da rede. Trave a página de admin do roteador para o DNS não poder ser revertido. Isso remove a etiqueta por dispositivo como alvo, já que o filtro se aplica a todo o tráfego da rede em vez de a aparelhos nomeados.
O filtro no aparelho impede a falsificação de MAC?
Ele torna a falsificação irrelevante em vez de impedi-la: a filtragem no aparelho mora no celular e se aplica não importa qual MAC ele apresenta nem qual rede ele entra, então mudar o MAC não muda nada na parede do aparelho. Um perfil gerenciado é a versão durável porque o filho não consegue removê-lo; a TKO’T roda esse modelo no Mac e no iPhone, de graça, e cobre também as rotas de dados móveis e de outra rede que o spoofing costuma acompanhar.
Um adolescente técnico e determinado ainda contorna tudo isso?
Honestamente, um adolescente muito habilidoso e motivado com acesso físico continua achando rotas, DNS cifrado, um segundo aparelho, e nenhum controle puramente técnico é à prova disso. A filtragem da rede inteira mais um perfil gerenciado no aparelho fecha as versões fácil e intermediária, o que cobre a maioria dos casos, e para o resto compra tempo e aumenta o custo enquanto o trabalho de verdade acontece na conversa. As ferramentas apoiam a confiança; elas não a substituem.