Aleatorizar direcciones MAC en el arranque

13

Dado que es posible configurar direcciones MAC personalizadas, ¿no tendría sentido tener una nueva tan a menudo como sea posible / conveniente (es decir, en el arranque)?

Parece que es útil tanto para el atacante como para la víctima (más difícil de registrar / menos problemas con ataques no dirigidos). ¿Es ese el caso? Si lo es, ¿por qué no lo hacen todos?

    
pregunta McEnroe 06.09.2011 - 05:04
fuente

8 respuestas

18

Las direcciones MAC son solo de enlace local. La mayoría de los ataques no (tienen que) provenir de la misma subred, por lo que la mayoría confía en el direccionamiento de capa superior. Cambiar tu dirección mac hace poco para esconderte.

Hay una variedad de problemas al cambiar tu dirección MAC a menudo. Uno, fuera de mi cabeza, sería que las reservas DHCP no funcionaran. Podría ser un poco menos eficiente para los interruptores. Además, hace que la solución de problemas sea ligeramente más difícil; los primeros 24 bits de su dirección MAC identifican al proveedor de hardware, y los programas como Wireshark lo decodifican de manera útil en un nombre amigable. Eso sería una tontería para una dirección aleatoria.

Los atacantes pueden querer cambiar sus direcciones MAC, pero esa es una circunstancia muy diferente (y muy especializada).

Pero sobre todo, no creo que sea tan útil.

    
respondido por el Steve Dispensa 06.09.2011 - 05:29
fuente
15

Se supone que las direcciones MAC son únicas en todo el mundo, por lo que no hay dos dispositivos que utilicen la misma dirección MAC. Esto importa cuando varios dispositivos están en el mismo enlace: si dos dispositivos tienen la misma dirección MAC, las cosas no funcionan bien en absoluto, de una manera difícil de diagnosticar. Es posible forzar eso cambiando su dirección MAC, pero luego lo hizo a propósito; con una dirección MAC aleatoria, los "usuarios normales" pueden encontrar problemas.

Por lo tanto, aleatorizar el MAC parece una mala idea, en el lado de la usabilidad de las cosas. Por otro lado, el beneficio de seguridad de una dirección MAC al azar parece leve, en el mejor de los casos. Puede haber un beneficio de privacidad muy pequeño, pero la mayoría de los problemas de seguridad no son problemas de privacidad, y su sistema operativo y navegador web transmiten una gran cantidad de datos que lo identifican de manera única, además de la dirección MAC de todos modos.

    
respondido por el Thomas Pornin 06.09.2011 - 08:53
fuente
7

Aunque en este momento (como se mencionó en otras respuestas) las direcciones MAC generalmente son de enlace local (aunque hay algunos protocolos que filtran esa información a redes remotas), es interesante observar que cuando IPv6 se vuelve más frecuente es probable que las direcciones MAC Sé más importante.

Una forma común de construir una dirección de host IPv6 es incluir la dirección MAC de la tarjeta de red , por lo que en ese caso, el cambio de su dirección MAC cambiaría efectivamente su dirección IP.

    
respondido por el Rоry McCune 06.09.2011 - 11:14
fuente
6

Tiene un inconveniente en los entornos empresariales: los conmutadores optimizan el flujo de tráfico mediante varios métodos, incluido el recordar el tráfico de puerto de una dirección MAC en particular, por lo que el tráfico de esa MAC solo se envía a ese puerto.

Las tablas MAC se actualizan en los conmutadores a medida que ingresan nuevos datos, pero cambiar las direcciones MAC todo el tiempo agregaría una sobrecarga ... sin una ganancia real en la seguridad. Tu dirección MAC realmente no es tan importante para un atacante.

    
respondido por el Rory Alsop 06.09.2011 - 09:53
fuente
5

Supongo que depende de qué problema intentas resolver. Si está tratando de maximizar su anonimato, entonces sí, podría ver la asignación aleatoria de direcciones MAC como parte de una solución más grande centrada en permanecer en el anonimato.

Podría imaginar un escenario en el que existía una vulnerabilidad en el firmware de la NIC de un proveedor determinado y al dirigir las NIC de un proveedor por su dirección MAC, entonces se atacaría. Es posible que sea mejor no solo seleccionar aleatoriamente un MAC en este caso, sino asegurarse de que nunca elija un MAC cuyo ID de proveedor coincida con el suyo.

Editar: Debería haber dicho firmware o controlador de NIC. Si quisiera atacar a un controlador porque sabía que la vulnerabilidad de un proveedor en particular que persigue los MAC para ese proveedor sería su primer filtro.

    
respondido por el scottsh 06.09.2011 - 21:17
fuente
5

Veo un buen valor defensivo de cambiar rutinariamente la dirección MAC de su tarjeta inalámbrica cuando se usa una computadora portátil.

Incluso cuando se utiliza el cifrado, la dirección mac de su cliente se filtra en el aire cada vez que se enciende su computadora portátil. Cuando busca puntos de acceso conocidos o envía tráfico a puntos de acceso asociados.

Un atacante puede rastrear a una víctima configurando rastreadores inalámbricos en ubicaciones clave.

Sé que esto suena un poco paranoico, pero creo que sería increíble tener un par de nodos inalámbricos repartidos por toda la ciudad. Entonces podría rastrear a todos los que conozco que viajan con computadoras portátiles.

    
respondido por el Dog eat cat world 06.09.2011 - 21:50
fuente
4

Veo su solución como seguridad en la oscuridad, realmente no es tan importante cambiar su dirección mac después de cada arranque. Pero puedo verlo desde su perspectiva, la gente que mapea las redes y tal, tendrá una "lista enorme" de computadoras de repente, de todo tipo de proveedores (depende de la frecuencia con la que reinicie su PC). Y por lo tanto, le hará más difícil ver a un objetivo legítimo. (O existente, porque has cambiado la dirección mac desde el último arranque) ..

Por otro lado, no espero que los usuarios malintencionados identifiquen las PC por las direcciones MAC. Utilizarán escaneos de puertos / cookies / highjacking de sesión, etc.

    
respondido por el psalomonsen 06.09.2011 - 14:21
fuente
1

Si busca una herramienta para hacerlo en Windows, marque esta: enlace

    
respondido por el Techbrunch 19.01.2013 - 14:38
fuente

Lea otras preguntas en las etiquetas