Sicurezza fornita tramite filtraggio MAC: reti cablate e reti wireless

• Nelle reti wireless , i segnali viaggiano attraverso l'aria; chiunque può ascoltarli e catturare l'indirizzo MAC di origine. Pertanto, è facile per un utente malintenzionato scoprire gli indirizzi MAC elencati in bianco e impersonarli.

  Pensa in questo modo: un gruppo di amici che parlano tra loro e parlano solo alle persone che conoscono. Quando uno di loro dice qualcosa, dice sempre il suo nome all'inizio. Quindi, per esempio, Jack dice "Ehi, io sono Jack. Oggi blah blah blah". Se ti capita di passare da loro, puoi sentire uno dei loro nomi e usarlo all'inizio della frase. Penserebbero che tu sia Jack. (Ignora la loro capacità di vedere e riconosci la tua voce)

• Nelle reti cablate (in particolare, reti cablate), i segnali viaggiano attraverso i fili dagli host allo switch; è molto più difficile per un utente malintenzionato ascoltarli e acquisire l'indirizzo MAC di origine.

  Pensa in questo modo: la stessa situazione nell'esempio precedente, ma invece di parlare, gli amici si stanno mandando reciprocamente post-it direttamente, corpo a corpo. Tu, come un estraneo, non hai idea di cosa stiano parlando e dei loro nomi, quindi, teoricamente, non puoi fingere di essere uno di loro.

In breve, ciò che rende inefficace il filtraggio MAC è un utente malintenzionato che conosce un indirizzo MAC valido. Avendo un indirizzo MAC valido, l'attaccante è in grado di impersonarlo e "convincere" il server / router / AP che è il dispositivo elencato in bianco.

Nella rete wireless è più facile acquisire e acquisire un indirizzo MAC valido rispetto a quanto avviene nelle reti cablate. Ecco perché il filtraggio MAC è meno efficace nelle reti wireless rispetto alle reti cablate.

Switch, hub e trasmissione

Nelle reti ethernet di vecchio stile collegate a un hub, tutti i pacchetti venivano trasmessi a tutte le stazioni sulla rete. Questo è anche il modo in cui le reti wireless di solito agiscono oggi.

Tuttavia, al fine di migliorare le prestazioni della rete, gli switch hanno ampiamente sostituito gli hub nelle stazioni di connessione insieme. Una volta che un interruttore vede un pacchetto proveniente da una delle sue porte fisiche, prende nota dell'indirizzo MAC del mittente. Da quel momento in poi, il traffico diretto a quell'indirizzo MAC sarà solo inviato a un solo filo e nessuno degli altri.

Questa disposizione di connessione riduce drasticamente la quantità di traffico visibile a un ascoltatore surrettizio. Invece di vedere il traffico tutto sulla rete, il listener vedrà solo il traffico e il traffico broadcast che non è diretto verso un MAC di cui lo switch è a conoscenza.

Soluzione alternativa e problemi aggiuntivi

Questo non rende impossibile lo spoofing MAC; un utente può guardare i frame di trasmissione (come i pacchetti ARP) per vedere quali MAC sono ammessi sulla rete. Ma una volta che l'attaccante inizia a utilizzare un MAC rubato, l'effetto sull'interruttore diventa in qualche modo imprevedibile e in genere molto instabile.

Poiché il criterio sullo switch invia solo il traffico lungo il cavo da cui è stato recentemente visualizzato l'indirizzo MAC e poiché due stazioni rivendicano lo stesso MAC, il comportamento dell'interruttore diventa indefinito. Mentre diversi switch gestiscono diversamente questa situazione, in genere ciò che vedrai è parte del traffico passa a un computer, e parte di esso passa all'altro , a seconda di quale dei due ha parlato per ultimo. Combina questo con i requisiti di continuità e riconoscimento del TCP, e questo rende una connessione ampiamente inutilizzabile per entrambi parti.

Ulteriore Mitigazione

Per rendere le cose ancora più difficili per un utente malintenzionato, i "Managed Switches", in genere presenti nelle installazioni di rete di fascia alta, possono utilizzare più dell'algoritmo naive menzionato sopra per il routing del traffico Ethernet. Invece di determinare il routing dell'indirizzo MAC ascoltando, questi possono essere preconfigurati da un amministratore per sapere se si aspetta che un determinato indirizzo MAC risieda. Ciò significa che non solo un utente malintenzionato deve trovare un indirizzo MAC valido, ma dovrà anche collegare il suo dispositivo alla stessa presa fisica in cui è stato trovato il dispositivo valido. Collega il tuo dispositivo a qualsiasi altro socket e non funzionerà.

Uno dei maggiori difetti di sicurezza in una rete cablata è DHCP. Alcuni ingegneri sociali entrano nel tuo edificio, vagano in una sala conferenze o in un ufficio vuoto e collegano il loro portatile al muro. Ricevono automaticamente un IP e possono sfruttare tutto ciò che potrebbe non essere sicuro sulla rete locale.

Il modo migliore per combattere questo è assegnare solo indirizzi basati su sistemi conosciuti, e il modo più accettato di farlo è tramite l'indirizzo Mac. Ottenere un indirizzo MAC valido dalla rete è difficile: se sei già in rete, potresti essere in grado di annusarne uno con NMAP, ma poi sei bloccato, dal momento che quell'indirizzo è già stato rivendicato. Dovresti trovare quella macchina o forzarla offline per falsare il suo MAC e rubare l'indirizzo IP. Se sei non sulla rete, allora sei costretto a provare a sfruttare un computer locale e, fatto ciò, perché non dovresti semplicemente usare quella macchina?

Con il wireless, hai a che fare con una connessione completamente non protetta, nel qual caso non ti interessa cosa sta succedendo con il computer o lo switch, o hai a che fare con una connessione criptata che è di ordini di grandezza in più sicuro della cosa DHCP / MAC. In entrambi i casi l'indirizzo MAC non è importante.

Non è vero che non puoi intercettare i MAC sulle reti cablate. ARP who-has messages sono messaggi broadcast. Il filtraggio MAC non fornisce alcuna sicurezza.