¿Cuál es la mejor manera de proteger un portal cautivo contra la falsificación de MAC?
La dirección MAC aparece como una de las únicas maneras de distinguir a los clientes inalámbricos entre sí, cualquier cosa que un cliente autenticado envíe puede ser falsificada por un cliente no autorizado. La dirección IP, la dirección MAC y cualquier otra parte de una solicitud pueden ser falsificadas, así que, ¿cómo es la mejor manera de proteger un portal cautivo contra tales ataques?
No estoy seguro de ninguna implementación comercial, pero vi una idea interesante que puede rastrear la proximidad física utilizando la intensidad de la señal, qué AP, etc. y determine que si la ubicación es repentinamente muy diferente, es probable que sea un spoofer. También encontré un artículo interesante sobre detección de suplantación de identidad utilizando una técnica de toma de huellas dactilares .
El portal cautivo será una página web. Puede o no estar bloqueando todos los demás puertos antes de la autenticación, supongamos que solo puede llegar a 443 (80 redirecciones a 443) y solo permitir HTTPS. En este punto, solo pueden acceder a la página del portal cautivo. Una vez que acepten los términos, inicie sesión, etc., podrá abrir los otros puertos y permitir la navegación web en cualquier lugar donde deban ir.
Si se encuentra en un entorno corporativo, es probable que desee implementar 802.1x, certificados, VPN, etc., para dejarlos ir a cualquier lugar y mantener abiertos los puertos mínimos para usuarios autenticados. VPN, ya sea en la IPSec o en una capa superior, haría que el problema de la falsificación sea menos probable. Esto le permite restringir el acceso donde no importará si falsifican el mac, ya que aún pueden acceder a la VPN y necesitarían atacar la VPN.
Si usted es un hotel donde está rastreando personas por número de habitación, falsificar el MAC le daría a alguien un viaje gratis, pero finaliza después del período de tiempo que el usuario legítimo pagó. Puede implementar algo en el nivel de proxy web para verificar ciertas cookies, encabezados, etc. que serán más específicos para el cliente.
El principal desafío de seguridad de wifi es que estás en una red abierta a menos que estés realizando un cifrado de tipo host (por ejemplo, VPN). Una dirección MAC nunca debe considerarse suficiente para identificar a alguien.
Aquí hay algunos recursos relacionados con la seguridad y los portales cautivos:
Usted tiene razón al decir que las direcciones MAC son fáciles de falsificar, y nunca deben usarse como una fuerte medida de identidad. Supongo que IPsec o RADIUS sería su mejor apuesta aquí, pero cualquier tipo de autenticación sólida y verificación de integridad entre el cliente legítimo y el servidor funcionaría.
Lea otras preguntas en las etiquetas wifi man-in-the-middle mac-spoofing