Seguridad proporcionada a través del filtrado de MAC: redes cableadas vs. inalámbricas

• En redes inalámbricas , las señales viajan por el aire; cualquiera puede escucharlos y capturar la dirección MAC de origen. Por lo tanto, es fácil para un atacante averiguar las direcciones MAC de la lista blanca y suplantarlas.

  Piénsalo de esta manera: un grupo de amigos que hablan entre sí, y solo hablan con las personas que conocen. Cuando uno de ellos dice algo, siempre dice su nombre al principio. Entonces, por ejemplo, Jack dice "Hola, soy Jack. Hoy bla bla bla". Si pasa junto a ellos, puede escuchar uno de sus nombres y usarlo al principio de su oración. Pensarían que eres Jack. (Ignore su capacidad de ver a usted y reconocer su voz)

• En redes cableadas (más específicamente, redes cableadas de conmutador), las señales viajan a través de los cables desde los hosts al conmutador; es mucho más difícil para un atacante escucharlos y capturar la dirección MAC de origen.

  Piénselo de esta manera: la misma situación en el ejemplo anterior, pero en lugar de hablar, los amigos están enviando notas post-it directamente, mano a mano. Usted, como forastero, no tiene idea de qué están hablando y sus nombres son, por lo que, teóricamente, no puede pretender ser uno de ellos.

En resumen, lo que hace que el filtrado de MAC sea ineficaz es un atacante que conoce una dirección MAC válida. Al tener una dirección MAC válida, el atacante puede suplantarla y "convencer" al servidor / enrutador / AP de que es el dispositivo de la lista blanca.

En la red inalámbrica es más fácil capturar y adquirir una dirección MAC válida que en redes cableadas. Es por eso que el filtrado de MAC es menos efectivo en redes inalámbricas que en redes cableadas.

Conmutadores, concentradores y difusión

En las redes Ethernet de estilo antiguo conectadas con un hub, todos los paquetes se transmitían a todas las estaciones de la red. Esta es también la forma en que las redes inalámbricas suelen actuar en la actualidad.

Pero para mejorar el rendimiento de la red, los switches han reemplazado en gran medida a hubs en las estaciones de conexión. Una vez que un conmutador ve un paquete que se origina en uno de sus puertos físicos, toma nota de la dirección MAC del remitente. A partir de ese momento, el tráfico dirigido a esa dirección MAC solo se enviará por ese único cable, y ninguno de los otros.

Esta disposición de conexión reduce drásticamente la cantidad de tráfico visible para un oyente subrepticio. En lugar de ver el tráfico todo en la red, el oyente solo verá el tráfico de difusión y el tráfico que no está dirigido hacia un MAC que el conmutador conoce.

Solución alternativa y problemas adicionales

Esto no hace imposible la falsificación de MAC; un usuario puede ver las tramas de transmisión (como los paquetes ARP) para ver qué MAC están permitidos en la red. Pero una vez que el atacante comienza a usar un MAC robado, el efecto sobre el interruptor se vuelve algo impredecible y, por lo general, muy inestable.

Dado que la política en el conmutador solo es enviar tráfico por el cable desde el cual se vio la dirección MAC recientemente, y dado que dos estaciones reclaman el mismo MAC, el comportamiento del conmutador se vuelve indefinido. Si bien los diferentes interruptores manejan esta situación de manera diferente, normalmente lo que verá es parte del tráfico va a una computadora y parte de la otra , dependiendo de cuál habló por última vez. Combine esto con los requisitos de continuidad y acuse de recibo de TCP, y esto se traduce en una conexión prácticamente inutilizable para las partes ambas .

Mitigación adicional

Para hacer las cosas aún más difíciles para un atacante, los "Switches administrados", que generalmente se encuentran en las instalaciones de redes de alto nivel, pueden usar más que el algoritmo ingenuo mencionado anteriormente para enrutar el tráfico de Ethernet. En lugar de determinar el enrutamiento de la dirección MAC a través de la escucha, un administrador puede preconfigurarlo para que sepa que una dirección MAC determinada debe residir. Esto significa que un atacante no solo tendrá que encontrar una dirección MAC válida, sino que también tendrá que enchufar su dispositivo en el mismo enchufe físico donde se encontró el dispositivo válido. Conecte su dispositivo a cualquier otro zócalo y simplemente no funcionará.

Una de las fallas de seguridad más grandes en una red cableada es DHCP. Alguien ingresa a los ingenieros sociales en su edificio, se pasea por una sala de conferencias u oficina vacía y conecta su computadora portátil a la pared. Reciben una IP automáticamente, y pueden explotar cualquier cosa que pueda resultar no segura en su red local.

La mejor manera de combatir esto es asignar solo direcciones basadas en sistemas conocidos, y la forma más aceptada de hacerlo es a través de la dirección Mac. Obtener una dirección MAC válida fuera de la red es un desafío: si ya está en la red, es posible que pueda rastrear una con NMAP, pero luego está atascado, ya que esa dirección ya está reclamada. Tendrías que encontrar esa máquina o forzarla sin conexión para falsificar su MAC y robar la dirección IP. Si no está no en la red, entonces se ve obligado a intentar explotar una máquina local y, una vez hecho esto, ¿por qué no usaría esa máquina?

Con la conexión inalámbrica, o bien estás tratando con una conexión completamente no segura, en cuyo caso no te importa lo que está pasando con la computadora o el interruptor, o estás tratando con una conexión cifrada que es mucho más Seguro que lo de DHCP / MAC. En cualquier caso, la dirección MAC no es importante.

No es cierto que no puedas escuchar MACs en redes cableadas. ARP quien tiene mensajes son mensajes transmitidos. El filtrado de MAC no proporciona ninguna seguridad.