Gli indirizzi MAC sono già abbastanza prevedibili in quanto sono solo valori a 48 bit attribuiti dagli intervalli ai fornitori di hardware (si veda ad esempio questo file ). È possibile modificare l'indirizzo MAC utilizzato da un'interfaccia di rete, ma la maggior parte delle persone no. Inoltre, un dato dispositivo trasmetterà il suo indirizzo MAC abbastanza liberamente (è incluso nell'intestazione di ogni frame ethernet che invia).
Ci sono alcuni siti dove vengono filtrati gli indirizzi MAC; Ad esempio, i dati inviati da un dispositivo vengono automaticamente eliminati dal router a meno che non provengano da uno specifico indirizzo MAC registrato. Molti punti di accesso WiFi possono essere configurati in questo modo, ed è anche comune nella LAN organizzativa (come deterrente per le persone che pensavano BYOD potrebbe essere una buona idea). Se si conosce l'indirizzo MAC di un host "consentito", è possibile ignorare questo filtro modificando il proprio indirizzo MAC con quel valore. Questo non è un problema di sicurezza legato alla conoscenza dell'indirizzo MAC di una macchina; piuttosto, il problema sono gli amministratori di sistema che credono che un indirizzo MAC possa essere usato come una sorta di password segreta.
In teoria, gli indirizzi MAC sono solo locali, una questione di convenzione tra gli host su una LAN e non hanno significato oltre il primo router. Ciò renderebbe impossibili i problemi di sicurezza legati alla conoscenza MAC oltre al primo router. IPv6 cambia un po 'questo: se, su una determinata LAN, accade quanto segue:
- il sysadmin ha configurato tutto per IPv4, con NAT : si sente sicuro che gli host interni non possono essere contattati dall'esterno tranne utilizzando le specifiche regole di inoltro impostate sul router di uscita;
- i sistemi operativi del router e gli host interni sono in realtà compatibili con IPv6 (tutti i sistemi operativi moderni lo sono);
- l'ISP, in quanto esperimento, decide di "abilitare IPv6" e il modem via cavo / DSL utilizzato come punto di uscita inizia a trasmettere pacchetti di annunci del router;
quindi, all'improvviso, gli host interni di quella rete possono essere contattati dall'esterno, usando IPv6. Gli indirizzi IPv6 saranno derivati dall'indirizzo MAC , quindi i problemi non si verificheranno immediatamente. Ma una volta che gli aggressori indovineranno l'indirizzo MAC di alcuni host interni, saranno in grado di connettersi direttamente a loro.
I problemi qui sono che NAT non è un firewall; il suo effetto di isolamento è solo un sottoprodotto. Tuttavia, si può prevedere che molti sysadmin vedono il NAT come una caratteristica di sicurezza, e considereranno la privacy dell'indirizzo MAC come un'altra caratteristica di sicurezza.