Las direcciones MAC ya son bastante predecibles ya que solo son valores de 48 bits que los rangos atribuyen a los proveedores de hardware (ver por ejemplo este archivo ). Es posible cambiar la dirección MAC utilizada por una interfaz de red, pero la mayoría de las personas no lo hacen. Además, un dispositivo determinado emitirá su dirección MAC con bastante libertad (se incluye en el encabezado de cada trama Ethernet que envía).
Hay algunos sitios donde se filtran las direcciones MAC; es decir, los datos enviados por un dispositivo se eliminan automáticamente por el enrutador a menos que parezca provenir de una dirección MAC registrada específica. Muchos puntos de acceso WiFi pueden configurarse de esa manera, y también es común en la LAN organizativa (como elemento disuasorio para las personas que pensaron en BYOD podría ser una buena idea). Si conoce la dirección MAC de un host "permitido", entonces puede omitir este filtro cambiando su propia dirección MAC a ese valor. No es realmente un problema de seguridad relacionado con conocer la dirección MAC de una máquina; más bien, el problema son los administradores de sistemas que creen que una dirección MAC se puede usar como una especie de contraseña secreta.
Teóricamente, las direcciones MAC son solo locales, es una cuestión de convención entre los hosts en una LAN y no tienen ningún significado más allá del primer enrutador. Esto haría que los problemas de seguridad relacionados con el conocimiento de MAC sean imposibles más allá del primer enrutador. IPv6 cambia un poco: si, en una LAN determinada, sucede lo siguiente:
- el administrador del sistema lo ha configurado todo para IPv4, con NAT : confía en que los hosts internos no puedan ser contactados desde el exterior excepto mediante el uso de las reglas de reenvío específicas que establece en el enrutador de salida;
- los sistemas operativos del enrutador y los hosts internos son en realidad compatibles con IPv6 (todos los sistemas operativos modernos lo son);
- el ISP, como un experimento, decide "habilitar IPv6", y el módem de cable / DSL utilizado como punto de salida comienza a transmitir paquetes de anuncios de enrutadores;
luego, de repente, se puede contactar con los hosts internos de esa red desde el exterior, utilizando IPv6. Las direcciones IPv6 se derivarán de la dirección MAC , por lo que los problemas no sucederán de inmediato. Pero una vez que los atacantes adivinen la dirección MAC de algunos hosts internos, podrán conectarse a ellos directamente.
El problema aquí es que NAT no es un firewall; Su efecto de aislamiento es sólo un subproducto. Sin embargo, se puede predecir que muchos administradores de sistemas ven NAT como una función de seguridad, y considerarán la privacidad de la dirección MAC como otra función de seguridad.