Un indirizzo MAC prevedibile è un rischio?

14

Se sapessi dall'Internet pubblico che un determinato indirizzo IP apparteneva a una macchina con un determinato indirizzo MAC, puoi vedere un'esposizione alla sicurezza associata a questo? So che alcuni software useranno un indirizzo MAC come identificatore, ma non riesco a pensare a nessun rischio per la sicurezza associato.

Contesto: assegnazioni DHCP statiche per macchine virtuali in cui le coppie indirizzi / MAC sono pre-generate e le stesse per tutte le installazioni software (ad esempio, qualsiasi macchina virtuale assegnata a 192.168.1.1 avrà lo stesso indirizzo MAC).

    
posta Jeff Ferland 26.10.2012 - 08:34
fonte

3 risposte

8

I MAC sono prevedibili in molti ambienti esistenti. Ad esempio, su una tipica rete aziendale, è probabile che si trovino molte macchine fisiche che fanno parte della stessa spedizione dello stesso produttore e che pertanto dispongono di MAC simili (stessa OUI e porzione di ordine inferiore consecutiva). Qualsiasi sistema la cui sicurezza dipendesse da MAC imprevedibili sarebbe fallita in un tipico ambiente aziendale.

La legatura dell'indirizzo IP con il MAC potrebbe rivelare qualcosa sul produttore, sul tipo di dispositivo o sul ruolo del dispositivo che si trova dietro un determinato indirizzo. È improbabile che sveli tutto ciò che nmap non rivelerebbe, e per le macchine virtuali non vedo come questo rivelerebbe nulla. Al contrario, se sei preoccupato che la tua architettura di rete sia esposta, l'uso dello stesso schema di denominazione per entrambi riduce la quantità di informazioni che stai rivelando (non che gli indirizzi MAC siano molto probabilmente visibili all'esterno).

Se le tue macchine migrano su reti esternamente distinguibili, allora un indirizzo MAC diventa un elemento identificativo e quindi un problema di privacy. Ma in quel caso probabilmente cambieranno gli indirizzi IPv4 mentre migrano. Legando il MAC all'indirizzo IP dinamico (se in qualche modo lo gestisci, il DHCP standard non verrebbe applicato) aumenterebbe la privacy in quel caso.

    
risposta data 26.10.2012 - 12:21
fonte
6

Gli indirizzi MAC sono già abbastanza prevedibili in quanto sono solo valori a 48 bit attribuiti dagli intervalli ai fornitori di hardware (si veda ad esempio questo file ). È possibile modificare l'indirizzo MAC utilizzato da un'interfaccia di rete, ma la maggior parte delle persone no. Inoltre, un dato dispositivo trasmetterà il suo indirizzo MAC abbastanza liberamente (è incluso nell'intestazione di ogni frame ethernet che invia).

Ci sono alcuni siti dove vengono filtrati gli indirizzi MAC; Ad esempio, i dati inviati da un dispositivo vengono automaticamente eliminati dal router a meno che non provengano da uno specifico indirizzo MAC registrato. Molti punti di accesso WiFi possono essere configurati in questo modo, ed è anche comune nella LAN organizzativa (come deterrente per le persone che pensavano BYOD potrebbe essere una buona idea). Se si conosce l'indirizzo MAC di un host "consentito", è possibile ignorare questo filtro modificando il proprio indirizzo MAC con quel valore. Questo non è un problema di sicurezza legato alla conoscenza dell'indirizzo MAC di una macchina; piuttosto, il problema sono gli amministratori di sistema che credono che un indirizzo MAC possa essere usato come una sorta di password segreta.

In teoria, gli indirizzi MAC sono solo locali, una questione di convenzione tra gli host su una LAN e non hanno significato oltre il primo router. Ciò renderebbe impossibili i problemi di sicurezza legati alla conoscenza MAC oltre al primo router. IPv6 cambia un po 'questo: se, su una determinata LAN, accade quanto segue:

  • il sysadmin ha configurato tutto per IPv4, con NAT : si sente sicuro che gli host interni non possono essere contattati dall'esterno tranne utilizzando le specifiche regole di inoltro impostate sul router di uscita;
  • i sistemi operativi del router e gli host interni sono in realtà compatibili con IPv6 (tutti i sistemi operativi moderni lo sono);
  • l'ISP, in quanto esperimento, decide di "abilitare IPv6" e il modem via cavo / DSL utilizzato come punto di uscita inizia a trasmettere pacchetti di annunci del router;

quindi, all'improvviso, gli host interni di quella rete possono essere contattati dall'esterno, usando IPv6. Gli indirizzi IPv6 saranno derivati dall'indirizzo MAC , quindi i problemi non si verificheranno immediatamente. Ma una volta che gli aggressori indovineranno l'indirizzo MAC di alcuni host interni, saranno in grado di connettersi direttamente a loro.

I problemi qui sono che NAT non è un firewall; il suo effetto di isolamento è solo un sottoprodotto. Tuttavia, si può prevedere che molti sysadmin vedono il NAT come una caratteristica di sicurezza, e considereranno la privacy dell'indirizzo MAC come un'altra caratteristica di sicurezza.

    
risposta data 26.10.2012 - 12:48
fonte
3

Personalmente non la penso così. L'unico potenziale problema di sicurezza relativo alla conoscenza degli indirizzi MAC che posso ricordare è la preoccupazione per la privacy in merito alla divulgazione degli indirizzi MAC AP wireless su Internet, poiché con tutti i database di geo-localizzazione ci possono essere delle ubicazioni fisiche.

    
risposta data 26.10.2012 - 09:30
fonte

Leggi altre domande sui tag