¿El cambio de una dirección MAC puede dar a un atacante más influencia en una red?

2

Las lecciones de seguridad nos obligan a usar usuarios limitados ( Standard User ) en redes Windows.

Encontré que una cuenta de administrador puede cambiar su dirección MAC desde Control Panel\Network and Internet\Network Connections ------> [adapter] ---rclick---> Properties ------> Configure ------> Advanced ------> Network Address ------> Value . Esto es muy probable que también se pueda hacer programáticamente.

Usando esta técnica, ¿es posible que un atacante se haga pasar por otra computadora en la red?

¿Esto esencialmente haría al atacante invisible dentro de la red? Si no, ¿por qué?

    
pregunta Tayyebi 24.02.2015 - 13:03
fuente

2 respuestas

1

Es ciertamente posible que alguien cambie su dirección MAC como parte de un ataque.

Si un sistema está utilizando la dirección MAC para la identificación (por ejemplo, el acceso Wi-Fi), la suplantación de la dirección MAC puede permitir que el atacante se haga pasar por un usuario real o al menos obtenga acceso básico. Se deben utilizar medidas adicionales como 802.1X, NAC, etc. en tales casos.

Dentro de una red local, la dirección MAC se usa para dirigir el tráfico de la red, por lo que la suplantación de la dirección MAC de una máquina válida se puede usar en un ataque, aunque a menudo no es necesario hacerlo a escondidas y la función Man in the middle basado en ataques en la ubicación del atacante en la red.

Además, hay herramientas que se pueden usar para enviar paquetes de datos arbitrarios en los que la dirección solo se falsifica en el paquete.

Cambiar el MAC no haría que una computadora sea "invisible". Si un sistema quiere ser invisible, entonces no debe emitir tráfico de red. Las máquinas de Windows de forma predeterminada siempre envían tráfico si simplemente las deja allí, pero es posible que otros sistemas operativos o configuraciones no emitan ningún tráfico de red automatizado.

Si uno cambia su dirección MAC, y hay otro sistema con la misma dirección MAC, puede ser difícil para los sistemas determinar si el tráfico proviene del sistema real o suplantado. Tenga en cuenta que para la seguridad de la red, desearía probar otros factores y huellas dactilares para distinguir si un sistema es legítimo, así como posiblemente utilizando una VPN, 802.1X, etc.

Un escenario más probable es que un atacante cambiará continuamente su dirección MAC para dificultar el seguimiento de la actividad a lo largo del tiempo si la dirección MAC se utiliza para correlacionar la actividad de registro.

    
respondido por el Eric G 24.02.2015 - 18:43
fuente
0

ARP-spoofing es una situación específica en la que uno toma el control de MAC de un sistema conocido y redirige todo el tráfico. Proporciona invisibilidad desde una perspectiva funcional (pero no a nivel de paquetes, es muy 'ruidoso') y se requiere para ataques MitM en un entorno conmutado.

Pero todo depende de tu perspectiva sobre la "invisibilidad". Para ser verdaderamente invisible en una red, nunca debe enviar un paquete (solo escucha). Pero si te refieres a 'masquerade', entonces sí, se puede utilizar la falsificación de MAC para lograr eso.

También se debe decir que la falsificación de MAC se puede eliminar empleando métodos de mitigación (huellas digitales del sistema, NAC, acceso a la red basada en certificados, etc.), pero sigue siendo un método viable.

    
respondido por el schroeder 25.02.2015 - 00:49
fuente

Lea otras preguntas en las etiquetas