Почему аутентификация на основе MAC небезопасна?

Большинство беспроводных маршрутизаторов могут использовать аутентификацию на основе MAC в рамках общей схемы безопасности. Похоже, это хорошая идея, но я слышал, что она очень неэффективна, потому что ее легко обмануть MAC-адресами.

Я считаю, что легко обмануть эти адреса, но я не понимаю, как это проблема. Разве хакеры все еще не должны были знать, какой MAC-адрес нужно притворяться ? Существует 16 ^ 16 возможных MAC-адресов, поэтому для меня это не кажется слишком большой проблемой. Может кто-нибудь объяснить?

  • Как сказать git, какой секретный ключ использовать?
  • Как узнать MAC-адрес моего адаптера WiFi на Ubuntu Linux?
  • Использование iPhoto без копирования изображений?
  • Macintosh OS X Сценарий выхода
  • Как объединить два порта Ethernet в Mac OS X
  • Переключение между выходом Single и Dual-Monitor
  • Совместное использование одной учетной записи onedrive между двумя учетными записями пользователей на Mac
  • 7 Solutions collect form web for “Почему аутентификация на основе MAC небезопасна?”

    В сетевой сети MAC-адрес используется для уникальной идентификации каждого узла (компьютера и т. Д.) В сети. Каждый пакет, передаваемый по сети, должен содержать MAC-адрес предполагаемого приемника, чтобы обеспечить получение пакетов туда, куда им нужно идти.

    Поэтому, используя инструмент для обнюхивания пакетов, довольно легко извлечь действительные MAC-адреса «с провода». Если у вас есть MAC-адрес, как вы уже знаете, подмена MAC-адреса еще проще.

    Кроме того, я, похоже, помню, что MAC-адреса являются частью уровня линии передачи данных OSI (уровень 2) и все еще видны в пакетах, даже если используется шифрование, такое как WEP / WPA2. Однако это может измениться совсем недавно.

    Даже при включенном беспроводном шифровании MAC-адреса отправляются незашифрованными. Причина этого заключается в том, что если вы зашифровали MAC-адрес, каждому клиенту в беспроводной сети нужно было бы расшифровать каждый отдельный пакет, чтобы узнать, было ли оно отправлено им или нет.

    Представьте, что вы смотрите фильм Netflix на своем ноутбуке, используя домашнее беспроводное соединение, а смартфон в кармане также подключен к Wi-Fi. Ваш телефон должен будет получать каждый пакет, содержащий потоковый фильм, расшифровывать его, а затем отбрасывать. Это потребует огромного количества процессора и аккумулятора без какой-либо реальной причины.

    Поскольку MAC-адрес в каждом пакете всегда незашифрован, для любого злоумышленника тривиально запускать сниффер пакетов, получать список всех MAC-адресов, передаваемых по сети, а затем выдавать себя за одного из них.

    Безопасность Теперь подкаст # 11 ( MP3 , транскрипт ) охватывает фильтрацию MAC, а также WEP, отключает широковещательные передачи SSID и другие неэффективные способы обеспечения безопасности беспроводной сети.

    Это небезопасно, если у вас есть что-то ценное для защиты. Если вы просто пытаетесь запретить несанкционированным пользователям использовать ваше беспроводное соединение, аутентификация на основе MAC-кода прекрасна.

    MAC-адреса не предназначены для личного использования, поэтому для кого-то очень легко клонировать его.

    Это плохо, потому что те, кто его использует, по-видимому, думают, что это делает вещи более безопасными. И это не то чувство безопасности, которое является проблемой.

    (Не пытайтесь фильтровать MAC-адрес или скрывать SSID. Вместо этого используйте WPA или WPA2 с хорошей парольной фразой).

    В компьютерной безопасности есть заявление «Пользователи – самые слабые звенья в цепочке безопасности». Поэтому я могу представить одну ситуацию.

    Скажите, что внутренний пользователь хочет что-то сделать «незаконным». Поэтому в этом случае он может использовать MAC своей машины и делать все, что захочет. Поскольку администраторы могут видеть, что это «взлом», ответственность за реальный пользователь не несет.

    И насколько я знаю, пользователь может сканировать MAC-адреса в локальной сети. Я думаю, что инструменты пакетного анализатора могут их восстановить. Поэтому в этом случае он может украсть MAC своего помощника.

    Не думайте, что хакеры находятся снаружи. Они могут быть и инсайдерами.

    Я думаю, было бы довольно тривиально найти ваш MAC-адрес, если бы вы были в какой-либо сети, кроме вашей, вместе с хакером. Не говоря уже, MAC-адреса не являются случайными. Первые X цифры представляют собой марку маршрутизатора, и я считаю, что другие цифры также представляют другие вещи.

    Хотя их легко подделать, для хакера больше работы. Я не думаю, что это повредит как часть вашей общей схемы безопасности. Только не полагайтесь на это в одиночку.

    Давайте будем гением компьютера.