La modifica di un indirizzo MAC può consentire a un utente malintenzionato di sfruttare meglio la rete?

Naviga le tue risposte
2

Le lezioni di sicurezza ci impongono di utilizzare utenti limitati ( Standard User ) su reti Windows.

Ho trovato che un account amministratore può modificare il suo indirizzo MAC da Control Panel\Network and Internet\Network Connections ------> [adapter] ---rclick---> Properties ------> Configure ------> Advanced ------> Network Address ------> Value . Molto probabilmente questo può essere fatto anche programmaticamente.

Utilizzando questa tecnica è possibile che un utente malintenzionato impersoni un altro computer sulla rete?

Questo renderebbe essenzialmente l'attaccante invisibile all'interno della rete? In caso negativo, perché?

    
posta Tayyebi 24.02.2015 - 13:03
fonte

2 risposte

1

È certamente possibile che qualcuno cambi il loro indirizzo MAC come parte di un attacco.

Se un sistema utilizza l'indirizzo MAC per l'identificazione (ad esempio, l'accesso Wi-Fi), impersonare l'indirizzo MAC può consentire all'aggressore di impersonare un utente reale o almeno ottenere l'accesso di base. In questi casi è necessario utilizzare misure aggiuntive come 802.1X, NAC, ecc.

All'interno di una rete locale, l'indirizzo MAC viene utilizzato per dirigere il traffico di rete, in modo da impersonare l'indirizzo MAC di una macchina valida può essere utilizzato in un attacco, anche se spesso non è necessario per intercettazioni e attacchi Man in the middle basati sulla posizione dell'attaccante sulla rete.

Inoltre, ci sono strumenti che è possibile utilizzare per inviare pacchetti di dati arbitrari in cui l'indirizzo è appena falso nel pacchetto.

Cambiare il MAC non renderebbe un computer "invisibile". Se un sistema vuole essere invisibile, allora non deve emettere traffico di rete. Le macchine Windows per impostazione predefinita inviano sempre il traffico se le lasci semplicemente sedere, ma altri sistemi operativi o configurazioni potrebbero non emettere alcun traffico di rete automatizzato.

Se si cambia il proprio indirizzo MAC e c'è un altro sistema con lo stesso indirizzo MAC, può essere difficile per i sistemi determinare se il traffico proviene dal sistema reale o rappresentato. Si noti che per la sicurezza della rete, si desidera testare altri fattori e impronte digitali per distinguere se un sistema è legittimo, oltre che possibilmente utilizzando una VPN, 802.1X, ecc.

Uno scenario più probabile è che un utente malintenzionato cambierà continuamente il suo indirizzo MAC per rendere più difficile monitorare l'attività nel tempo se l'indirizzo MAC viene utilizzato per correlare l'attività del registro.

    
risposta data 24.02.2015 - 18:43
fonte
0

L'ARP-spoofing è una situazione specifica in cui uno prende il controllo del MAC di un sistema noto e reindirizza tutto il traffico. Fornisce l'invisibilità da una prospettiva funzionale (ma non a livello di pacchetto - è molto "rumoroso") ed è necessaria per gli attacchi MitM in un ambiente commutato.

Ma tutto dipende dalla tua prospettiva sull '"invisibilità". Per essere veramente invisibili su una rete, non devi mai inviare un pacchetto (basta ascoltare). Ma se vuoi dire "mascherata", allora sì, lo spoofing MAC può essere usato per ottenere ciò.

Va anche detto che lo spoofing MAC può essere vanificato utilizzando metodi di mitigazione (fingerprinting del sistema, NAC, accesso alla rete basato su certificati, ecc.), ma è ancora un metodo valido.

    
risposta data 25.02.2015 - 00:49
fonte

Leggi altre domande sui tag

Fattore di esposizione quando si calcola SLE Autopsia / SleuthKit nel tribunale? [chiuso]