¿Es una dirección MAC predecible un riesgo?

14

Si supiera por la Internet pública que cierta dirección IP pertenecía a una máquina con cierta dirección MAC, ¿puede ver alguna exposición de seguridad asociada con eso? Sé que algún software utilizará una dirección MAC como identificador, pero no puedo pensar en ningún riesgo de seguridad asociado.

Contexto: asignaciones DHCP estáticas para máquinas virtuales en las que las direcciones / pares de MAC se generan previamente y lo mismo para todas las instalaciones de software (por ejemplo, cualquier VM asignada 192.168.1.1 tendrá la misma dirección MAC).

    
pregunta Jeff Ferland 26.10.2012 - 08:34
fuente

3 respuestas

8

Los MAC son predecibles en muchos entornos existentes. Por ejemplo, en una red empresarial típica, es probable que encuentre muchas máquinas físicas que son parte del mismo envío del mismo fabricante y, por lo tanto, tienen MAC similares (el mismo OUI y la porción de orden bajo consecutiva). Cualquier sistema cuya seguridad dependiera de MAC impredecibles fallaría en un entorno empresarial típico.

Vincular la dirección IP con el MAC podría revelar algo sobre el fabricante, el tipo de dispositivo o la función del dispositivo que está detrás de una dirección determinada. Es poco probable que revele algo que nmap no revelaría, y para las máquinas virtuales no veo cómo esto revelaría nada. Por el contrario, si le preocupa que su arquitectura de red esté expuesta, el uso del mismo esquema de denominación para ambos reduce la cantidad de información que está revelando (no es que las direcciones MAC aparezcan en el exterior de todos modos).

Si sus máquinas migran a través de redes distinguibles externamente, entonces una dirección MAC se convierte en un elemento de identificación y, por lo tanto, en un problema de privacidad. Pero en ese caso es probable que cambien las direcciones IPv4 a medida que migran. Vincular el MAC a la dirección IP dinámica (si lo maneja, DHCP estándar no aplicaría) aumentaría la privacidad en ese caso.

    
respondido por el Gilles 26.10.2012 - 12:21
fuente
6

Las direcciones MAC ya son bastante predecibles ya que solo son valores de 48 bits que los rangos atribuyen a los proveedores de hardware (ver por ejemplo este archivo ). Es posible cambiar la dirección MAC utilizada por una interfaz de red, pero la mayoría de las personas no lo hacen. Además, un dispositivo determinado emitirá su dirección MAC con bastante libertad (se incluye en el encabezado de cada trama Ethernet que envía).

Hay algunos sitios donde se filtran las direcciones MAC; es decir, los datos enviados por un dispositivo se eliminan automáticamente por el enrutador a menos que parezca provenir de una dirección MAC registrada específica. Muchos puntos de acceso WiFi pueden configurarse de esa manera, y también es común en la LAN organizativa (como elemento disuasorio para las personas que pensaron en BYOD podría ser una buena idea). Si conoce la dirección MAC de un host "permitido", entonces puede omitir este filtro cambiando su propia dirección MAC a ese valor. No es realmente un problema de seguridad relacionado con conocer la dirección MAC de una máquina; más bien, el problema son los administradores de sistemas que creen que una dirección MAC se puede usar como una especie de contraseña secreta.

Teóricamente, las direcciones MAC son solo locales, es una cuestión de convención entre los hosts en una LAN y no tienen ningún significado más allá del primer enrutador. Esto haría que los problemas de seguridad relacionados con el conocimiento de MAC sean imposibles más allá del primer enrutador. IPv6 cambia un poco: si, en una LAN determinada, sucede lo siguiente:

  • el administrador del sistema lo ha configurado todo para IPv4, con NAT : confía en que los hosts internos no puedan ser contactados desde el exterior excepto mediante el uso de las reglas de reenvío específicas que establece en el enrutador de salida;
  • los sistemas operativos del enrutador y los hosts internos son en realidad compatibles con IPv6 (todos los sistemas operativos modernos lo son);
  • el ISP, como un experimento, decide "habilitar IPv6", y el módem de cable / DSL utilizado como punto de salida comienza a transmitir paquetes de anuncios de enrutadores;

luego, de repente, se puede contactar con los hosts internos de esa red desde el exterior, utilizando IPv6. Las direcciones IPv6 se derivarán de la dirección MAC , por lo que los problemas no sucederán de inmediato. Pero una vez que los atacantes adivinen la dirección MAC de algunos hosts internos, podrán conectarse a ellos directamente.

El problema aquí es que NAT no es un firewall; Su efecto de aislamiento es sólo un subproducto. Sin embargo, se puede predecir que muchos administradores de sistemas ven NAT como una función de seguridad, y considerarán la privacidad de la dirección MAC como otra función de seguridad.

    
respondido por el Thomas Pornin 26.10.2012 - 12:48
fuente
3

Personalmente no lo creo. El único problema de seguridad potencial relacionado con el conocimiento de las direcciones MAC que puedo recordar es el problema de privacidad relacionado con la divulgación de las direcciones MAC de los AP inalámbricos a través de Internet, ya que con todas las bases de datos de ubicación geográfica hay una ubicación física. p>     

respondido por el Rоry McCune 26.10.2012 - 09:30
fuente

Lea otras preguntas en las etiquetas