Qual è il modo migliore per proteggere uno spoofing MAC del captive portal?
L'indirizzo MAC appare uno dei pochi modi per distinguere i client wireless l'uno dall'altro, tutto ciò che un client autenticato invia può essere semplicemente falsificato da un client canaglia. L'indirizzo IP, l'indirizzo MAC e qualsiasi altra parte di una richiesta possono essere semplicemente falsificati, quindi qual è il modo migliore per proteggere un portale captive contro tali attacchi?
Non sono sicuro di alcuna implementazione commerciale, ma ho visto una idea interessante che puoi monitorare la vicinanza fisica utilizzando l'intensità del segnale, quale AP, ecc. e determinare se la posizione è improvvisamente molto diversa, è probabile che si tratti di uno spoofer. Ho trovato anche un interessante articolo su rilevamento dello spoofing utilizzando una tecnica di impronta digitale .
Il captive portal sarà una pagina web. Potresti o meno bloccare tutte le altre porte prima dell'autenticazione, supponiamo di poter ottenere solo 443 (80 reindirizzamenti su 443) e consentire solo HTTPS. A questo punto possono solo accedere alla pagina del tuo captive portal. Una volta accettati i termini, accedi, ecc. Puoi quindi aprire le altre porte e consentire la navigazione web ovunque debbano andare.
Se ti trovi in un ambiente aziendale, probabilmente vorrai implementare 802.1x, certificati, VPN, ecc. per lasciarli andare ovunque e tenere aperte solo le porte minime per gli utenti autenticati. La VPN su IPSec o su un livello superiore renderebbe meno probabile il problema dello spoofing. Questo ti permette di limitare l'accesso dove non importa se spoofano il mac, perché possono ancora uscire solo dalla VPN, e avrebbero bisogno di attaccare la VPN.
Se sei un hotel in cui stai monitorando le persone per numero di camera, lo spoofing del MAC darebbe a qualcuno un passaggio gratuito, ma termina dopo il periodo di tempo per il quale l'utente legit pagava. È possibile implementare qualcosa a livello di proxy Web per controllare determinati cookie, intestazioni, ecc. Che saranno più specifici del cliente.
La principale sfida per la sicurezza del wifi è quella su una rete aperta, a meno che non si stia eseguendo la crittografia per tipo di host (ad esempio, VPN). Un indirizzo MAC non dovrebbe mai essere considerato sufficiente per identificare qualcuno.
Ecco alcune risorse relative alla sicurezza e ai portali in cattività:
Sei corretto che gli indirizzi MAC siano facilmente falsificati e non dovrebbero mai essere usati come una strong misura di identità. Direi che IPsec o RADIUS sarebbe la soluzione migliore qui, ma qualsiasi tipo di autenticazione strong e controllo di integrità tra il client legittimo e il server funzionerebbe.
Leggi altre domande sui tag wifi man-in-the-middle mac-spoofing