Почему аутентификация на основе MAC-адресов небезопасна?

12

Большинство беспроводных маршрутизаторов могут использовать аутентификацию на основе MAC-адресов как часть своей общей схемы безопасности. Это кажется хорошей идеей, но я слышал, что это очень неэффективно, потому что легко подделать MAC-адреса.

Я считаю, что эти адреса легко подделать, но я не понимаю, в чем проблема. Разве хакерам не нужно знать, какой MAC-адрес имитировать ? Есть 16 ^ 16 возможных MAC-адресов, так что это не кажется мне большой проблемой. Кто-нибудь может объяснить?

stalepretzel
источник

Ответы:

7

В сети Ethernet MAC-адрес используется для уникальной идентификации каждого узла (компьютера и т. Д.) В сети. Каждый пакет, передаваемый по сети, должен содержать MAC-адрес предполагаемого получателя, чтобы гарантировать, что пакеты попадают туда, куда им нужно идти.

Поэтому, используя инструмент для отслеживания пакетов, довольно просто извлечь действительные MAC-адреса «без проводов». Если у вас есть MAC-адрес, как вы уже знаете, подделка MAC-адреса становится еще проще.

Кроме того, я помню, что MAC-адреса являются частью уровня канала передачи данных OSI (уровень 2) и все еще видны в пакетах, даже если используется шифрование, такое как WEP / WPA2. Однако это могло измениться совсем недавно.

ясень
источник
28

Даже при включенном беспроводном шифровании MAC-адреса отправляются в незашифрованном виде. Причина этого заключается в том, что если вы зашифровали MAC-адрес, каждому клиенту в беспроводной сети потребуется расшифровать каждый отдельный пакет, просто чтобы узнать, был ли он им отправлен или нет.

Представьте себе, что вы смотрите фильм Netflix на своем ноутбуке, используя домашнее беспроводное соединение со смартфоном в кармане, также подключенным к Wi-Fi. Ваш телефон должен будет принимать каждый пакет, содержащий потоковое видео, расшифровывать его, а затем отбрасывать. Это потребовало бы огромного количества процессора и батареи без реальной причины.

Поскольку MAC-адрес в каждом пакете всегда незашифрован, любой злоумышленник может легко запустить анализатор пакетов, получить список всех MAC-адресов, взаимодействующих в сети, и затем выдать себя за один из них.

Подкаст Security Now # 11 ( MP3 , транскрипт ) охватывает фильтрацию MAC-адресов, а также WEP, отключение SSID-трансляций и другие неэффективные способы защиты беспроводной сети.

Зак Элан
источник
Если я использую WPA, будет ли MAC-часть пакетов по-прежнему незашифрованной?
AaronLS
4
Да. Часть MAC всегда не зашифрована.
Дана Робинсон
Это, безусловно, гораздо лучший ответ, чем текущий принятый.
Cregox
4

Это только небезопасно, если у вас есть что-то ценное для защиты. Если вы просто пытаетесь запретить неавторизованным пользователям использовать ваше беспроводное соединение, то аутентификация на основе MAC-адресов подойдет.

MAC-адреса не предназначены для хранения в тайне, поэтому для кого-то очень легко их клонировать.

М. Дадли
источник
Это хороший момент. Для большинства домашних сетей главная цель - сделать так, чтобы людям было трудно использовать вашу пропускную способность. Фильтрация MAC делает это. Все, что требует реальной безопасности на моем компьютере, я использую веб-сайты HTTPS или некоторую локальную схему шифрования.
Пепел
4

Это плохо, потому что те, кто его использует, очевидно, думают, что это делает вещи более безопасными. И проблема заключается в неправильном чувстве безопасности.

(Не пытайтесь фильтровать по MAC-адресу или скрывать SSID. Вместо этого используйте WPA или WPA2 с хорошей парольной фразой.)

Арьян
источник
Используйте WPA2, похоже, WPA тоже не работает: networkworld.com/news/2009/…
CesarB
Ну, «сломан» в строгом криптографическом смысле ( некоторая информация может быть восстановлена). Вы еще не можете расшифровать весь трафик. Тем не менее, вы должны переключиться на WPA2 как можно скорее.
слеске
2

В компьютерной безопасности есть утверждение «Пользователи - самые слабые звенья в цепочке безопасности», поэтому я могу представить одну ситуацию.

Скажем, внутренний пользователь хочет сделать что-то «незаконное». Поэтому в этом случае он может использовать MAC своей машины и делать все, что захочет. Поскольку администраторы могут видеть, что это «взлом», реальный пользователь не несет никакой ответственности.

И, насколько я знаю, пользователь может сканировать MAC-адреса в локальной сети. Я думаю, что инструменты анализатора пакетов могут получить их. Так что в этом случае он может украсть MAC своего товарища.

Не думайте, что хакеры извне. Они также могут быть инсайдерами.

Чатуранга Чандрасекара
источник
0

Я думаю, что было бы довольно тривиально найти ваш MAC-адрес, если бы вы были в любой сети, кроме вашей, наряду с хакером. Не говоря уже о том, что MAC-адреса не случайны. Первые X цифр представляют марку маршрутизатора, и я полагаю, что другие цифры также представляют другие вещи.

Джо Филлипс
источник
2
Часть адреса представляет собой номер, приобретаемый каждым производителем у регистратора. Остальное присваивается каждому производителю при условии, что они гарантируют, что никакие два устройства никогда не будут отправлены с одним и тем же адресом. Самый простой способ выполнить эту гарантию - это часто выдавать их последовательно от одного хранителя в компании.
RBerteig
0

Хотя их легко подделать, для хакера это больше работы. Я не думаю, что это повредит как часть вашей общей схемы безопасности. Только не полагайтесь на это в одиночку.

Джереми Френч
источник
На самом деле не отвечает на вопрос ... Вероятно, должен быть комментарий.
stalepretzel
3
Это больно, потому что вы тратите время и силы на реализацию схемы, которая не удерживает злоумышленников (ложное чувство безопасности) и обычно раздражает законных пользователей (например, когда они хотят использовать новое устройство или заменить сетевую карту / материнскую плату).
Корнель