Більшість бездротових маршрутизаторів можуть використовувати аутентифікацію на основі MAC як частину загальної схеми безпеки. Це здається гарною ідеєю, але я чув, що це дуже неефективно, тому що легко підробляти MAC адреси.
Я вважаю, що легко підробляти ці адреси, але я не бачу, як це проблема. Хіба хакерам все ще не потрібно знати, яку MAC-адресу потрібно робити вигляд ? Є 16 ^ 16 можливих MAC-адрес, так що це не здається для мене надто великою проблемою. Хтось може пояснити?
Відповіді:
У мережі Ethernet MAC-адреса використовується для унікальної ідентифікації кожного вузла (комп'ютера тощо) в мережі. Кожен пакет, який транслюється по мережі, повинен містити MAC-адресу призначеного приймача, щоб забезпечити, щоб пакети потрапляли туди, куди потрібно відправитись.
Тому, використовуючи інструмент для обнюхування пакетів, витягти дійсні MAC-адреси досить просто "з дроту". Як тільки у вас є MAC-адреса, як ви вже знаєте, підробляти MAC-адресу стає ще простіше.
Крім того, я, мабуть, пам’ятаю, що MAC адреси є частиною шару OSI Data Link (рівень 2) і все ще видно в пакетах, навіть якщо використовується шифрування, наприклад WEP / WPA2. Однак це, можливо, змінилося останнім часом.
Навіть із включеним бездротовим шифруванням MAC-адреси надсилаються незашифрованими. Причиною цього є те, що якщо ви зашифрували MAC-адресу, кожному клієнту в бездротовій мережі потрібно було б розшифрувати кожен окремий пакет, лише щоб дізнатися, надсилається він їм чи ні.
Уявіть, що ви переглядаєте фільм Netflix на своєму ноутбуці за допомогою домашнього бездротового з'єднання, а смартфон у кишені також підключений до wifi. Ваш телефон повинен отримати кожен пакет, що містить потоковий фільм, розшифрувати його та відкинути. Це витрачало б величезну кількість процесора та акумулятора без реальних причин.
Оскільки MAC-адреса у кожному пакеті завжди незашифрована, будь-який зловмисник неправдивий, щоб запустити sniffer пакету, отримати список усіх MAC-адрес, що передаються в мережі, а потім видавати себе за один із них.
Безпека зараз подкаст №11 ( MP3 , стенограма ) охоплює фільтрацію MAC, а також WEP, відключення SSID-трансляцій та інші неефективні способи забезпечення бездротової мережі.
Це небезпечно лише в тому випадку, якщо ви насправді маєте щось цінне для захисту. Якщо ви просто намагаєтесь не допустити несанкціонованих користувачів використовувати ваше бездротове підключення на основі MAC-аутентифікації, це добре.
MAC-адреси не повинні залишатися приватними, тому хтось дуже легко їх клонувати.
Це погано, тому що ті, хто його використовує, мабуть, вважають, що це робить більш безпечними. І саме це неправильне почуття безпеки - це проблема.
(Не намагайтеся фільтрувати MAC-адресу, а також не приховувати SSID. Використовуйте WPA або WPA2 з хорошою парольною фразою.)
У комп'ютерній безпеці є твердження "Користувачі - це найслабші ланки ланцюга безпеки". Тому я можу уявити одну ситуацію.
Скажімо, внутрішній користувач хоче зробити щось "незаконне". Тож у цьому випадку він може використовувати MAC власної машини і робити все, що завгодно. Оскільки адміністратори можуть бачити, що це "хак", реальний користувач не несе відповідальності.
Наскільки я знаю, користувач може сканувати MAC-адреси в локальній мережі. Я думаю, що інструменти для пакетування sniffer можуть отримати їх. Тож у такому випадку він може викрасти і MAC свого товариша.
Не думайте, що хакери знаходяться ззовні. Вони можуть бути і інсайдерами.
Я думаю, було б досить тривіально знайти свою MAC-адресу, якби ви були в будь-якій іншій мережі, крім власної, разом із хакером. Не кажучи вже про те, що MAC-адреси не випадкові. Перші X цифри представляють марку маршрутизатора, і я вважаю, що інші цифри також представляють інші речі.
Хоча вони легко підробляти, хакеру це більше зробити. Я не думаю, що це зашкодить як частина вашої загальної схеми безпеки. Просто не покладайтесь на це поодинці.