¿Por qué la autenticación basada en MAC es insegura?

12

La mayoría de los enrutadores inalámbricos pueden usar la autenticación basada en MAC como parte de su esquema de seguridad general. Parece una buena idea, pero he oído que es muy ineficaz, porque es fácil falsificar direcciones MAC.

Creo que es fácil falsificar estas direcciones, pero no veo cómo eso es un problema. ¿No necesitarían los hackers saber qué dirección MAC pretender tener? Hay 16 ^ 16 direcciones MAC posibles, por lo que no me parece un problema demasiado grande. ¿Alguien puede explicar?

security wireless-networking authentication mac-address Stalepretzel
fuente

Respuestas:

7

En una red ethernet, la dirección MAC se usa para identificar de forma única cada nodo (computadora, etc.) en la red. Cada paquete transmitido por la red debe contener la dirección MAC del receptor previsto para garantizar que los paquetes lleguen a donde deben ir.

Por lo tanto, utilizando una herramienta de detección de paquetes, es bastante fácil extraer direcciones MAC válidas "fuera de la red". Una vez que tenga la dirección MAC, como ya sabe, falsificar la dirección MAC es aún más fácil.

Además, me parece recordar que las direcciones MAC son parte de la capa de enlace de datos OSI (nivel 2) y aún son visibles en los paquetes, incluso si se utiliza un cifrado como WEP / WPA2. Sin embargo, esto puede haber cambiado más recientemente.

Ceniza
fuente
28

Incluso con el cifrado inalámbrico habilitado, las direcciones MAC se envían sin cifrar. La razón de esto es que si encriptaste la dirección MAC, cada cliente en la red inalámbrica necesitaría desencriptar cada paquete, solo para averiguar si se les envió o no.

Imagínese ver una película de Netflix en su computadora portátil usando la conexión inalámbrica de su hogar, con un teléfono inteligente en su bolsillo también conectado al wifi. Su teléfono necesitaría recibir cada paquete que contenga la película en tiempo real, descifrarlo y luego descartarlo. Esto consumiría una gran cantidad de CPU y batería sin ninguna razón real.

Dado que la dirección MAC en cada paquete siempre no está encriptada, es trivial para cualquier atacante ejecutar un sniffer de paquetes, obtener una lista de todas las direcciones MAC que se comunican en la red, luego suplantar una de ellas.

El podcast Security Now # 11 ( MP3 , transcripción ) cubre el filtrado MAC y WEP, deshabilitando las transmisiones SSID y otras formas ineficaces de proteger una red inalámbrica.

Zack Elan
fuente
Si estoy usando WPA, ¿la porción MAC de los paquetes seguirá sin cifrar?
AaronLS el
44
Si. La parte MAC siempre está sin cifrar.
Dana Robinson el
Esta es definitivamente una respuesta mucho mejor que la actual aceptada.
cregox
4

Solo es inseguro si realmente tienes algo valioso que proteger. Si solo está tratando de evitar que usuarios no autorizados utilicen su conexión inalámbrica, la autenticación basada en MAC está bien.

Las direcciones MAC no están destinadas a mantenerse privadas, por lo que es muy fácil que alguien la clone.

M. Dudley
fuente
Este es un buen punto. Para la mayoría de las redes domésticas, el objetivo principal es dificultar a las personas el uso de su ancho de banda. El filtrado MAC hace esto. Cualquier cosa que requiera seguridad real en mi computadora, uso sitios web HTTPS o algún esquema de cifrado local.
Ash
4

Es malo porque quienes lo usan, aparentemente piensan que hace las cosas más seguras. Y ese sentimiento de seguridad es el problema.

(No se moleste en filtrar en la dirección MAC ni en ocultar el SSID. Utilice WPA o WPA2 con una buena frase de contraseña).

Arjan
fuente
Utilice WPA2, parece que WPA también está roto: networkworld.com/news/2009/…
CesarB
Bueno, "roto" en el estricto sentido criptográfico ( se puede recuperar parte de la información). Aún no puede descifrar todo el tráfico. Aún así, debe cambiar a WPA2 lo antes posible.
sleske
2

En seguridad informática hay una declaración: "Los usuarios son los eslabones más débiles de la cadena de seguridad". Así que puedo imaginar una situación.

Digamos que un usuario interno quiere hacer algo "ilegal". Entonces, en este caso, puede usar el MAC de su propia máquina y hacer lo que quiera. Como los administradores pueden ver que es un "hack", no hay responsabilidad del usuario real.

Y hasta donde yo sé, un usuario puede buscar las direcciones MAC dentro de la LAN. Creo que las herramientas sniffer de paquetes pueden recuperarlos. Entonces, en ese caso, también puede robar un MAC de su compañero.

No pienses que los hackers son del exterior. También pueden ser expertos.

Chathuranga Chandrasekara
fuente
0

Creo que sería bastante trivial encontrar tu dirección MAC si estuvieras en una red distinta a la tuya junto con un hacker. Sin mencionar que las direcciones MAC no son aleatorias. Los primeros dígitos X representan la marca del enrutador y creo que los otros dígitos también representan otras cosas.

Joe Phillips
fuente
2
Parte de la dirección es un número comprado por cada fabricante al registrador. El resto depende de cada fabricante para asignar, siempre que garanticen que nunca se envíen dos dispositivos con la misma dirección. La forma más fácil de cumplir con esa garantía es a menudo repartirlos secuencialmente de un solo administrador de registros dentro de la empresa.
RBerteig
0

Si bien son fáciles de falsificar, es más trabajo para el hacker hacerlo. No creo que vaya a doler como parte de su esquema de seguridad general. Simplemente no confíes solo en eso.

Jeremy French
fuente
Realmente no responde la pregunta ... Probablemente debería ser un comentario.
stalepretzel
3
Duele, porque gasta tiempo y esfuerzo en implementar un esquema que no disuade a los intrusos (falso sentido de seguridad) y generalmente molesta a los usuarios legítimos (por ejemplo, cuando quieren usar un nuevo dispositivo o reemplazar la tarjeta de red / placa base).
Kornel