¿MAC filtra el tráfico de Internet?

3

Estaba intentando construir un cortafuegos en el que el acceso a Internet desde mi LAN solo debería permitirse si coincide con la dirección MAC predefinida del dispositivo, es decir ,. Filtrado de MAC, pero más tarde descubrí que el filtrado de MAC no es posible para el tráfico proveniente de Internet, ya que cambia la dirección MAC de un paquete para cada salto (este es mi entendimiento, según he leído en Internet, por favor corríjame si me equivoco), sugiera alguna alternativa o solución, para que el tráfico de las direcciones MAC predefinidas solo tenga acceso a la LAN. Intenté experimentar con la utilidad iptables de linux. Cualquier sugerencia y corrección son bienvenidas :-)

    
pregunta Abdul 12.03.2017 - 06:55
fuente

2 respuestas

3

Como ya han dicho otros, el filtrado por MAC no funciona porque las direcciones MAC no son enrutables, solo lo son las direcciones IP.

El filtrado por dirección MAC realmente no funcionaría, de todos modos, porque las direcciones MAC pueden ser fácilmente falsificadas (modificadas). Puedo darle a mi computadora la misma dirección MAC que tiene la suya, y mientras no estén en el mismo segmento de red, todo seguirá funcionando bien, excepto que si había una manera de ver el Dirección MAC de una solicitud en una red enrutada, ahora me vería igual que usted.

Lo que puede hacer es filtrar las direcciones IP por bloque de direcciones IP. Hay servicios que proporcionan servicios de geolocalización basados en direcciones IP; Por lo general, bloques completos de direcciones IP se asignan a instituciones específicas. Así que, en teoría, podría bloquear a cualquiera de China bloqueando todas las IP registradas a proveedores chinos de Internet, empresas chinas, etc.

Esto no será infalible, sin embargo, porque a) las listas de geolocalización nunca son perfectamente precisas y están perfectamente actualizadas, yb) hay servicios como proxies, VPN y redes de anonimización que pueden ocultar la verdadera IP de origen de una solicitud.

Tendrá un poco más de éxito si crea una lista blanca de bloques de IP. Por ejemplo, si desea que las personas de su escuela tengan acceso a su servicio de red, pero a nadie más, puede agregar a la lista blanca el bloqueo de IP asignado a su escuela.

Pero, de nuevo, solo debes considerar esto como un primer paso. Tampoco le permite otorgar acceso a personas individuales; Las direcciones IP en su mayor parte no se pueden vincular de manera confiable a las personas.

Por lo tanto, si realmente desea permitir solo personas / computadoras específicas en su red, tendrá que protegerla con un paso de autenticación y autorización. Por ejemplo, puede configurar su propia VPN y entregar credenciales de acceso solo a aquellas personas a las que desea que puedan acceder.

    
respondido por el Pascal 12.03.2017 - 10:17
fuente
1

EDIT

Abdul aclaró que necesita asegurar el acceso al sistema de automatización del hogar en el que solo el usuario o la persona autorizada puede controlar.

En cuanto a eso, vas a querer usar openSSH con autenticación de clave. La autenticación de claves será exponencialmente más segura que la autenticación de contraseña. Estará generando claves públicas y privadas con RSA en las que su usuario previsto mantendrá su clave privada para autenticarse. Él será el único para mantener esta clave privada. Como mencionó, la dirección IP puede cambiar, al igual que los MAC, si son falsificados, por lo que usar las claves RSA será la solución a esto. Investigue SSH y pares de claves públicas y privadas.

Revise este enlace: enlace

Lamentablemente esto no va a ser posible. Los MAC se utilizan con una LAN y en la Capa 2 del modelo híbrido TCP / IP. Cuando Internet entra en escena, ahora está tratando con direcciones IP de capa 3. El filtrado de MAC solo funcionará dentro de su propia LAN.

Con los cortafuegos, verá las ACL (listas de control de acceso) que filtrarán el tráfico según la dirección IP (Capa 3).

Cuando un paquete está viajando a través de una red, en cada salto, el destino y la fuente de MAC cambiarán, pero la fuente y el destino de IP siempre se mantendrán igual. Esta es una de las razones por las que el filtrado de MAC no funcionará en Internet.

Si puede proporcionar una razón específica por la que está intentando hacer esto, podría cambiar las cosas, por ejemplo, si el dispositivo se encuentra en otra LAN de la que tiene el control, puede configurar ciertas tecnologías para lograr esto.

    
respondido por el nd510 12.03.2017 - 07:13
fuente

Lea otras preguntas en las etiquetas