Dlaczego uwierzytelnianie oparte na MAC jest niepewne?

12

Większość routerów bezprzewodowych może korzystać z uwierzytelniania opartego na MAC jako części ogólnego schematu bezpieczeństwa. Wydaje się, że to dobry pomysł, ale słyszałem, że jest bardzo nieskuteczny, ponieważ łatwo jest sfałszować adresy MAC.

Uważam, że łatwo jest sfałszować te adresy, ale nie rozumiem, jak to stanowi problem. Czy hakerzy nadal nie musieliby wiedzieć, jaki adres MAC mają udawać ? Istnieje 16 ^ 16 możliwych adresów MAC, więc nie wydaje mi się to zbyt dużym problemem. Czy ktoś może wyjaśnić?

czerstwypretzel
źródło

Odpowiedzi:

7

W sieci Ethernet adres MAC służy do jednoznacznej identyfikacji każdego węzła (komputera itp.) W sieci. Każdy pakiet rozgłaszany przez sieć musi zawierać adres MAC zamierzonego odbiornika, aby pakiety dotarły tam, gdzie powinny.

Dlatego za pomocą narzędzia do wykrywania pakietów dość łatwo można „wyciągnąć z sieci” prawidłowe adresy MAC. Kiedy już masz adres MAC, jak już wiesz, fałszowanie adresu MAC jest jeszcze łatwiejsze.

Wydaje mi się również, że pamiętam, że adresy MAC są częścią warstwy łącza danych OSI (poziom 2) i nadal są widoczne w pakietach, nawet jeśli używane jest szyfrowanie, takie jak WEP / WPA2. Mogło się to jednak ostatnio zmienić.

Popiół
źródło
28

Nawet przy włączonym szyfrowaniu bezprzewodowym adresy MAC są wysyłane niezaszyfrowane. Powodem tego jest to, że jeśli zaszyfrowałeś adres MAC, każdy klient w sieci bezprzewodowej musiałby odszyfrować każdy pojedynczy pakiet, aby dowiedzieć się, czy został do niego wysłany, czy nie.

Wyobraź sobie oglądanie filmu Netflix na laptopie za pomocą domowego połączenia bezprzewodowego, ze smartfonem w kieszeni podłączonym również do Wi-Fi. Twój telefon będzie musiał odbierać każdy pakiet zawierający film przesyłany strumieniowo, odszyfrować go, a następnie odrzucić. Zużyłoby to ogromną ilość procesora i baterii bez prawdziwego powodu.

Ponieważ adres MAC w każdym pakiecie jest zawsze niezaszyfrowany, każdy atakujący może uruchomić sniffer pakietów, uzyskać listę wszystkich adresów MAC komunikujących się w sieci, a następnie podszyć się pod jeden z nich.

Bezpieczeństwo Teraz podcast nr 11 ( MP3 , transkrypt ) obejmuje filtrowanie adresów MAC, a także szyfrowanie WEP, wyłączanie transmisji SSID i inne nieskuteczne sposoby zabezpieczania sieci bezprzewodowej.

Zack Elan
źródło
Jeśli korzystam z WPA, czy część MAC pakietów nadal będzie niezaszyfrowana?
AaronLS,
4
Tak. Część MAC jest zawsze niezaszyfrowana.
Dana Robinson,
To zdecydowanie lepsza odpowiedź niż obecnie akceptowana.
cregox
4

Nie jest to bezpieczne tylko wtedy, gdy rzeczywiście masz coś cennego do ochrony. Jeśli próbujesz tylko uniemożliwić nieautoryzowanym użytkownikom korzystanie z połączenia bezprzewodowego, uwierzytelnianie oparte na MAC jest w porządku.

Adresy MAC nie mają być traktowane jako prywatne, więc bardzo łatwo jest je sklonować.

M. Dudley
źródło
To dobra uwaga. W większości sieci domowych głównym celem jest utrudnienie ludziom dostępu do przepustowości. Filtrowanie adresów MAC to robi. Wszystko, co wymaga prawdziwego bezpieczeństwa na moim komputerze, korzystam ze stron internetowych HTTPS lub lokalnego schematu szyfrowania.
Ash
4

Jest źle, ponieważ ci, którzy go używają, najwyraźniej uważają, że dzięki temu wszystko jest bezpieczniejsze. Problemem jest złe poczucie bezpieczeństwa.

(Nie zawracaj sobie głowy filtrowaniem adresu MAC ani ukrywaniem SSID. Zamiast tego użyj WPA lub WPA2 z dobrym hasłem).

Arjan
źródło
Użyj WPA2, wygląda na to, że WPA jest również zepsuty: networkworld.com/news/2009/...
CesarB
Cóż, „zepsuty” w ścisłym znaczeniu kryptograficznym ( niektóre informacje można odzyskać). Nie można jeszcze odszyfrować całego ruchu. Nadal powinieneś przełączyć się na WPA2 jak najszybciej.
sleske
2

W dziedzinie bezpieczeństwa komputerowego znajduje się stwierdzenie „Użytkownicy to najsłabsze ogniwa w łańcuchu bezpieczeństwa”. Mogę sobie wyobrazić jedną sytuację.

Powiedz, że użytkownik wewnętrzny chce zrobić coś „nielegalnego” .. W takim przypadku może użyć adresu MAC swojej maszyny i zrobić wszystko, co zechce. Ponieważ administratorzy widzą, że to „hack”, prawdziwy użytkownik nie ponosi odpowiedzialności.

I o ile wiem, użytkownik może skanować w poszukiwaniu adresów MAC w sieci LAN. Myślę, że narzędzia do wykrywania pakietów mogą je odzyskać. Więc w takim przypadku może również ukraść MAC swojego partnera.

Nie myśl, że hakerzy pochodzą z zewnątrz. Mogą być również znawcy.

Chathuranga Chandrasekara
źródło
0

Myślę, że znalezienie adresu MAC byłoby dość trywialne, gdybyś był w sieci innej niż własna wraz z hakerem. Nie wspominając, że adresy MAC nie są losowe. Pierwsze X cyfr reprezentuje markę routera i uważam, że pozostałe cyfry również reprezentują inne rzeczy.

Joe Phillips
źródło
2
Część adresu to numer zakupiony przez każdego producenta od rejestratora. Resztę przypisuje kaprys każdego producenta, o ile gwarantują one, że żadne dwa urządzenia nigdy nie zostaną wysłane z tym samym adresem. Najłatwiejszym sposobem spełnienia tej gwarancji jest często oddzielne ich wypłacanie od jednego rekordzisty w firmie.
RBerteig,
0

Chociaż łatwo je sfałszować, haker ma więcej pracy. Nie sądzę, że będzie to bolało w ramach ogólnego systemu bezpieczeństwa. Tylko nie polegaj na tym sam.

Jeremy French
źródło
Naprawdę nie odpowiada na pytanie ... Prawdopodobnie powinien to być komentarz.
stalepretzel
3
Boli, ponieważ poświęcasz czas i wysiłek na wdrożenie schematu, który nie zniechęca intruzów (fałszywe poczucie bezpieczeństwa) i zwykle denerwuje legalnych użytkowników (np. Gdy chcą użyć nowego urządzenia lub wymienić kartę sieciową / płytę główną).
Kornel,