Почему аутентификация на основе MAC-адресов небезопасна?

Большинство беспроводных маршрутизаторов могут использовать аутентификацию на основе MAC-адресов как часть своей общей схемы безопасности. Это кажется хорошей идеей, но я слышал, что это очень неэффективно, потому что легко подделать MAC-адреса.

Я считаю, что эти адреса легко подделать, но я не понимаю, в чем проблема. Разве хакерам не нужно знать, какой MAC-адрес имитировать ? Есть 16 ^ 16 возможных MAC-адресов, так что это не кажется мне большой проблемой. Кто-нибудь может объяснить?

В сети Ethernet MAC-адрес используется для уникальной идентификации каждого узла (компьютера и т. Д.) В сети. Каждый пакет, передаваемый по сети, должен содержать MAC-адрес предполагаемого получателя, чтобы гарантировать, что пакеты попадают туда, куда им нужно идти.

Поэтому, используя инструмент для отслеживания пакетов, довольно просто извлечь действительные MAC-адреса «без проводов». Если у вас есть MAC-адрес, как вы уже знаете, подделка MAC-адреса становится еще проще.

Кроме того, я помню, что MAC-адреса являются частью уровня канала передачи данных OSI (уровень 2) и все еще видны в пакетах, даже если используется шифрование, такое как WEP / WPA2. Однако это могло измениться совсем недавно.

Даже при включенном беспроводном шифровании MAC-адреса отправляются в незашифрованном виде. Причина этого заключается в том, что если вы зашифровали MAC-адрес, каждому клиенту в беспроводной сети потребуется расшифровать каждый отдельный пакет, просто чтобы узнать, был ли он им отправлен или нет.

Представьте себе, что вы смотрите фильм Netflix на своем ноутбуке, используя домашнее беспроводное соединение со смартфоном в кармане, также подключенным к Wi-Fi. Ваш телефон должен будет принимать каждый пакет, содержащий потоковое видео, расшифровывать его, а затем отбрасывать. Это потребовало бы огромного количества процессора и батареи без реальной причины.

Поскольку MAC-адрес в каждом пакете всегда незашифрован, любой злоумышленник может легко запустить анализатор пакетов, получить список всех MAC-адресов, взаимодействующих в сети, и затем выдать себя за один из них.

Подкаст Security Now # 11 ( MP3 , транскрипт ) охватывает фильтрацию MAC-адресов, а также WEP, отключение SSID-трансляций и другие неэффективные способы защиты беспроводной сети.

Это только небезопасно, если у вас есть что-то ценное для защиты. Если вы просто пытаетесь запретить неавторизованным пользователям использовать ваше беспроводное соединение, то аутентификация на основе MAC-адресов подойдет.

MAC-адреса не предназначены для хранения в тайне, поэтому для кого-то очень легко их клонировать.

Это плохо, потому что те, кто его использует, очевидно, думают, что это делает вещи более безопасными. И проблема заключается в неправильном чувстве безопасности.

(Не пытайтесь фильтровать по MAC-адресу или скрывать SSID. Вместо этого используйте WPA или WPA2 с хорошей парольной фразой.)

В компьютерной безопасности есть утверждение «Пользователи - самые слабые звенья в цепочке безопасности», поэтому я могу представить одну ситуацию.

Скажем, внутренний пользователь хочет сделать что-то «незаконное». Поэтому в этом случае он может использовать MAC своей машины и делать все, что захочет. Поскольку администраторы могут видеть, что это «взлом», реальный пользователь не несет никакой ответственности.

И, насколько я знаю, пользователь может сканировать MAC-адреса в локальной сети. Я думаю, что инструменты анализатора пакетов могут получить их. Так что в этом случае он может украсть MAC своего товарища.

Не думайте, что хакеры извне. Они также могут быть инсайдерами.

Я думаю, что было бы довольно тривиально найти ваш MAC-адрес, если бы вы были в любой сети, кроме вашей, наряду с хакером. Не говоря уже о том, что MAC-адреса не случайны. Первые X цифр представляют марку маршрутизатора, и я полагаю, что другие цифры также представляют другие вещи.

Хотя их легко подделать, для хакера это больше работы. Я не думаю, что это повредит как часть вашей общей схемы безопасности. Только не полагайтесь на это в одиночку.