Почему аутентификация на основе MAC-адресов небезопасна?

13803
stalepretzel

Большинство беспроводных маршрутизаторов могут использовать аутентификацию на основе MAC-адресов как часть общей схемы безопасности. Это кажется хорошей идеей, но я слышал, что это очень неэффективно, потому что легко подделать MAC-адреса.

Я считаю, что эти адреса легко подделать, но я не понимаю, в чем проблема. Разве хакерам все равно не нужно знать, какой MAC-адрес имитировать ? Есть 16 ^ 16 возможных MAC-адресов, так что это не кажется мне большой проблемой. Кто-нибудь может объяснить?

12

7 ответов на вопрос

28
Zack Elan

Даже при включенном беспроводном шифровании MAC-адреса отправляются в незашифрованном виде. Причина этого заключается в том, что если вы зашифровали MAC-адрес, каждому клиенту в беспроводной сети потребуется расшифровать каждый отдельный пакет, чтобы узнать, был ли он им отправлен или нет.

Представьте себе, что вы смотрите фильм Netflix на своем ноутбуке, используя домашнее беспроводное соединение со смартфоном в кармане, также подключенным к Wi-Fi. Ваш телефон должен будет принимать каждый пакет, содержащий потоковое видео, расшифровывать его, а затем отбрасывать. Это потребовало бы огромного количества процессора и батареи без реальной причины.

Поскольку MAC-адрес в каждом пакете всегда незашифрован, любой злоумышленник может легко запустить анализатор пакетов, получить список всех MAC-адресов, взаимодействующих в сети, и затем выдать себя за один из них.

Подкаст № 11 Security Now ( MP3, транскрипт ) охватывает фильтрацию MAC-адресов, а также WEP, отключение SSID-трансляций и другие неэффективные способы защиты беспроводной сети.

Если я использую WPA, будет ли MAC-часть пакетов по-прежнему незашифрованной? AaronLS 11 лет назад 0
Да. Часть MAC всегда не зашифрована. Dana Robinson 11 лет назад 4
Это, безусловно, гораздо лучший ответ, чем текущий принятый. cregox 10 лет назад 0
7
Ash

В сети Ethernet MAC-адрес используется для уникальной идентификации каждого узла (компьютера и т. Д.) В сети. Каждый пакет, передаваемый по сети, должен содержать MAC-адрес предполагаемого получателя, чтобы гарантировать, что пакеты попадают туда, куда им нужно идти.

Поэтому, используя инструмент для отслеживания пакетов, довольно просто извлечь действительные MAC-адреса «без проводов». Если у вас есть MAC-адрес, как вы уже знаете, подделка MAC-адреса становится еще проще.

Кроме того, я помню, что MAC-адреса являются частью уровня канала передачи данных OSI (уровень 2) и по-прежнему видны в пакетах, даже если используется шифрование, такое как WEP / WPA2. Однако это могло измениться совсем недавно.

4
M. Dudley

Это только небезопасно, если у вас есть что-то ценное для защиты. Если вы просто пытаетесь запретить неавторизованным пользователям использовать ваше беспроводное соединение, то аутентификация на основе MAC-адресов подойдет.

MAC-адреса не предназначены для хранения в тайне, поэтому их легко клонировать.

Это хороший момент. Для большинства домашних сетей главная цель - сделать так, чтобы людям было трудно использовать вашу пропускную способность. Фильтрация MAC делает это. Все, что требует реальной безопасности на моем компьютере, я использую веб-сайты HTTPS или некоторую локальную схему шифрования. Ash 11 лет назад 0
4
Arjan

Это плохо, потому что те, кто его использует, видимо, думают, что это делает вещи более безопасными. И проблема заключается в неправильном чувстве безопасности.

(Не пытайтесь фильтровать по MAC-адресу или скрывать SSID. Вместо этого используйте WPA или WPA2 с хорошей парольной фразой.)

Используйте WPA2, похоже, WPA тоже не работает: http://www.networkworld.com/news/2009/082709-new-attack-cracks-common-wi-fi.html CesarB 11 лет назад 0
Ну, «сломан» в строгом криптографическом смысле (* некоторая * информация может быть восстановлена). Вы еще не можете расшифровать весь трафик. Тем не менее, вы должны переключиться на WPA2 как можно скорее. sleske 11 лет назад 0
2
Chathuranga Chandrasekara

В компьютерной безопасности есть утверждение «Пользователи - самые слабые звенья в цепи безопасности», поэтому я могу представить одну ситуацию.

Скажем, внутренний пользователь хочет сделать что-то «нелегальное». Поэтому в этом случае он может использовать MAC своей машины и делать все, что захочет. Поскольку администраторы могут видеть, что это «взлом», реальный пользователь не несет никакой ответственности.

И, насколько я знаю, пользователь может сканировать MAC-адреса в локальной сети. Я думаю, что инструменты анализатора пакетов могут получить их. Так что в этом случае он может украсть MAC своего партнера.

Не думайте, что хакеры извне. Они также могут быть инсайдерами.

0
Joe Phillips

Я думаю, что было бы довольно тривиально найти ваш MAC-адрес, если бы вы были в любой сети, кроме вашей, наряду с хакером. Не говоря уже о том, что MAC-адреса не случайны. Первые X цифр представляют марку маршрутизатора, и я полагаю, что другие цифры также представляют другие вещи.

Часть адреса представляет собой номер, приобретаемый каждым производителем у регистратора. Остальное присваивается каждому производителю, если они гарантируют, что никакие два устройства * никогда * не поставляются с одним и тем же адресом. Самый простой способ выполнить эту гарантию - это часто выдавать их последовательно от одного хранителя в компании. RBerteig 11 лет назад 2
0
Jeremy French

Хотя их легко подделать, для хакера это больше работы. Я не думаю, что это повредит как часть вашей общей схемы безопасности. Только не полагайтесь на это в одиночку.

На самом деле не отвечает на вопрос ... Вероятно, должен быть комментарий. stalepretzel 11 лет назад 0
Это больно, потому что вы тратите время и силы на реализацию схемы, которая не удерживает злоумышленников (ложное чувство безопасности) и обычно раздражает законных пользователей (например, когда они хотят использовать новое устройство или заменить сетевую карту / материнскую плату). Kornel 11 лет назад 3

Похожие вопросы