Warum ist die MAC-basierte Authentifizierung unsicher?


12

Die meisten WLAN-Router können die MAC-basierte Authentifizierung als Teil ihres gesamten Sicherheitsschemas verwenden. Es scheint eine gute Idee zu sein, aber ich habe gehört, dass es sehr unwirksam ist, weil es einfach ist, MAC-Adressen zu fälschen.

Ich glaube, dass es einfach ist, diese Adressen zu fälschen, aber ich sehe kein Problem darin. Müssten Hacker nicht noch wissen, welche MAC-Adresse sie vorgeben sollen? Es gibt 16 ^ 16 mögliche MAC-Adressen, das scheint mir also kein allzu großes Problem zu sein. Kann mir jemand erklären?

Antworten:


7

In einem Ethernet-Netzwerk wird die MAC-Adresse verwendet, um jeden Knoten (Computer usw.) im Netzwerk eindeutig zu identifizieren. Jedes Paket, das über das Netzwerk gesendet wird, muss die MAC-Adresse des vorgesehenen Empfängers enthalten, um sicherzustellen, dass die Pakete dort ankommen, wo sie benötigt werden.

Daher ist es mit einem Paket-Sniffing-Tool recht einfach, gültige MAC-Adressen "off the wire" zu extrahieren. Sobald Sie die MAC-Adresse haben, ist es, wie Sie bereits wissen, noch einfacher, die MAC-Adresse zu fälschen.

Außerdem erinnere ich mich anscheinend, dass MAC-Adressen Teil der OSI-Datenverbindungsschicht (Ebene 2) sind und auch dann in Paketen sichtbar sind, wenn Verschlüsselung wie WEP / WPA2 verwendet wird. Dies kann sich jedoch in letzter Zeit geändert haben.


28

Auch bei aktivierter Funkverschlüsselung werden MAC-Adressen unverschlüsselt gesendet. Der Grund dafür ist, dass, wenn Sie die MAC-Adresse verschlüsselt haben, jeder Client im drahtlosen Netzwerk jedes einzelne Paket entschlüsseln müsste, um herauszufinden, ob es an ihn gesendet wurde oder nicht.

Stellen Sie sich vor, Sie schauen sich einen Netflix-Film auf Ihrem Laptop über Ihre drahtlose Verbindung zu Hause an. Ein Smartphone in Ihrer Tasche ist auch mit dem WLAN verbunden. Ihr Telefon muss jedes Paket empfangen, das den Streaming-Film enthält, entschlüsseln und dann verwerfen. Dies würde ohne wirklichen Grund eine große Menge an CPU und Batterie verbrauchen.

Da die MAC-Adresse in jedem Paket immer unverschlüsselt ist, ist es für jeden Angreifer trivial, einen Paket-Sniffer auszuführen, eine Liste aller im Netzwerk kommunizierenden MAC-Adressen abzurufen und sich dann als eine von ihnen auszugeben.

Security Now Podcast Nr. 11 ( MP3 , Transcript ) behandelt die MAC-Filterung sowie WEP, das Deaktivieren von SSID-Broadcasts und andere ineffektive Methoden zur Sicherung eines drahtlosen Netzwerks.


Wenn ich WPA verwende, ist der MAC-Teil der Pakete dann noch unverschlüsselt?
AaronLS

4
Ja. Der MAC-Teil ist immer unverschlüsselt.
Dana Robinson

Dies ist definitiv eine viel bessere Antwort als die derzeit akzeptierte.
Cregox

4

Es ist nur unsicher, ob Sie tatsächlich etwas Wertvolles zu schützen haben. Wenn Sie nur versuchen, zu verhindern, dass nicht autorisierte Benutzer Ihre drahtlose Verbindung verwenden, ist die MAC-basierte Authentifizierung in Ordnung.

MAC-Adressen sind nicht dazu gedacht, privat zu bleiben, daher ist es für jemanden sehr einfach, sie zu klonen.


Das ist ein guter Punkt. Bei den meisten Heimnetzwerken besteht das Hauptziel darin, es den Menschen zu erschweren, Ihre Bandbreite auszuschöpfen. MAC-Filter tun dies. Alles, was echte Sicherheit auf meinem Computer erfordert, verwende ich HTTPS-Websites oder ein lokales Verschlüsselungsschema.
Asche

4

Es ist schlecht, weil diejenigen, die es benutzen, anscheinend denken, dass es die Dinge sicherer macht. Und es ist das falsche Gefühl der Sicherheit, das das Problem ist.

(Versuchen Sie nicht, nach MAC-Adressen zu filtern oder die SSID zu verbergen. Verwenden Sie stattdessen WPA oder WPA2 mit einer guten Passphrase.)


Verwenden Sie WPA2, anscheinend ist auch WPA defekt: networkworld.com/news/2009/…
CesarB

Nun, "kaputt" im strengen kryptografischen Sinne ( einige Informationen können wiederhergestellt werden). Sie können noch nicht den gesamten Datenverkehr entschlüsseln. Trotzdem sollten Sie so schnell wie möglich zu WPA2 wechseln.
sleske

2

In der Computersicherheit gibt es eine Aussage "Benutzer sind die schwächsten Glieder in der Sicherheitskette". Ich kann mir also eine Situation vorstellen.

Angenommen, ein interner Benutzer möchte etwas "Illegales" tun. In diesem Fall kann er den MAC seines eigenen Computers verwenden und das tun, was er will. Da die Administratoren sehen können, dass es sich um einen "Hack" handelt, ist der tatsächliche Benutzer nicht dafür verantwortlich.

Und soweit ich weiß, kann ein Benutzer im LAN nach MAC-Adressen suchen. Ich denke, Paket-Sniffer-Tools können sie abrufen. In diesem Fall kann er auch einen MAC seines Partners stehlen.

Denken Sie nicht, dass die Hacker von außen kommen. Sie können auch Insider sein.


0

Ich denke, es wäre ziemlich trivial, Ihre MAC-Adresse zu finden, wenn Sie mit einem Hacker in einem anderen Netzwerk als Ihrem eigenen wären. Ganz zu schweigen davon, dass die MAC-Adressen nicht zufällig sind. Die ersten X Ziffern repräsentieren die Marke des Routers und ich glaube, die anderen Ziffern repräsentieren auch andere Dinge.


2
Ein Teil der Adresse ist eine Nummer, die jeder Hersteller beim Registrar gekauft hat. Der Rest ist an der Laune des jeweiligen Herstellers zu assign, solange sie garantieren , dass keine zwei Geräte werden immer mit der gleichen Adresse versandt. Der einfachste Weg, diese Garantie zu erfüllen, besteht häufig darin, sie nacheinander von einem einzigen Protokollführer innerhalb des Unternehmens auszuliefern.
RBerteig

0

Während sie leicht zu fälschen sind, ist es für den Hacker mehr Arbeit, dies zu tun. Ich glaube nicht, dass es im Rahmen Ihres gesamten Sicherheitsprogramms wehtun wird. Verlasse dich einfach nicht allein darauf.


Beantwortet die Frage nicht wirklich ... Sollte wahrscheinlich ein Kommentar sein.
Stalepretzel

3
Es tut weh, weil Sie viel Zeit und Mühe auf die Implementierung eines Schemas verwenden, das keine Eindringlinge abschreckt (falsches Sicherheitsgefühl) und in der Regel legitime Benutzer ärgert (z. B. wenn sie ein neues Gerät verwenden oder die Netzwerkkarte / das Motherboard austauschen lassen möchten).
Kornel,
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.