Pregunta:
Aleatorizar las direcciones MAC en el arranque
McEnroe
2011-09-06 08:04:46 UTC
view on stackexchange narkive permalink

Dado que es posible configurar direcciones MAC personalizadas, ¿no tendría sentido tener una nueva tan a menudo como sea posible / conveniente (es decir, en el arranque)?

Parece que es útil para tanto el atacante como la víctima (más difícil de registrar / menos problemas con ataques no dirigidos). ¿Es ese el caso? Si es así, ¿por qué no todos lo hacen?

Ocho respuestas:
Steve Dispensa
2011-09-06 08:29:56 UTC
view on stackexchange narkive permalink

Las direcciones MAC son solo de enlace local. La mayoría de los ataques no (tienen que) provenir de la misma subred, por lo que la mayoría dependen del direccionamiento de capa superior. Cambiar su dirección MAC hace poco por ocultarlo.

Hay una variedad de problemas al cambiar su dirección MAC con frecuencia. Una, fuera de mi mente, sería que las reservas DHCP no funcionarían. Podría ser ligeramente menos eficiente para los conmutadores. Además, hace que la resolución de problemas sea un poco más difícil; los primeros 24 bits de su dirección MAC identifican al proveedor de hardware, y programas como Wireshark decodifican esto en un nombre descriptivo. Eso sería una tontería para una dirección aleatoria.

Los atacantes pueden querer cambiar sus direcciones MAC, pero esa es una circunstancia muy diferente (y muy especializada).

Pero sobre todo, simplemente no creo que es tan útil.

Veo. Estoy en un entorno universitario y cada estudiante tiene una computadora portátil, por lo que hay bastantes clientes en la misma subred. Estaba pensando que los atacantes podrían crear bases de datos de estudiantes e identificarlos de forma única. ¿No harían esto más difícil los macs aleatorios?
El caso es que nadie te ataca por la dirección MAC; todos te están atacando por dirección IP o (probablemente) algo más. Tan pronto como su computadora arranque y arps gratuitos, sabrán que está allí.
Sí, puedo ver eso en un escenario de ataque. Todavía no lo entiendo del todo en una configuración de seguimiento / recopilación de información: si la computadora sigue cambiando su MAC, es probable que dhcp (digamos que emite IPs cuasi estáticas) siga proporcionando nuevas. Eso dificultaría la identificación única, ¿no?
Los atacantes locales hipotéticos probablemente estén escaneando puertos indiscriminadamente y tropezando con usted, o tal vez vigilando su tráfico. Otros atacantes, los más comunes, están utilizando su correo electrónico y navegación (cookies, etc.) para atacarlo. Pero, tiene razón en que puede haber algún beneficio al aleatorizar su dirección IP, y si aleatorizar su dirección MAC hace que los servidores DHCP le entreguen IP aleatorias, entonces puedo verlo. Sin embargo, todavía no creo que sea muy importante: si eres un objetivo, hay muchas otras formas de encontrarte, y si no lo eres, tu dirección no importa de todos modos.
-1. Lo que dijo Rory McCune a continuación. Algunos sistemas operativos que admiten (digamos, OpenBSD) IPv6 también tienen soporte para aleatorizar la dirección de hardware de las tarjetas de red.
Bien, justo, mis pensamientos aquí estaban realmente limitados a IPv4. Tenía la sensación de que eso era lo que el interlocutor tenía en mente, pero al releerlo, puede que no fuera así.
Thomas Pornin
2011-09-06 11:53:12 UTC
view on stackexchange narkive permalink

Se supone que las direcciones MAC son únicas en todo el mundo, por lo que no hay dos dispositivos que usen la misma dirección MAC. Esto es importante cuando varios dispositivos están en el mismo enlace: si dos dispositivos tienen la misma dirección MAC, las cosas no funcionan bien en absoluto, de una manera difícil de diagnosticar. Es posible forzar eso cambiando su dirección MAC, pero luego lo hizo a propósito; con una dirección MAC aleatoria, los "usuarios normales" pueden encontrar problemas.

Así que aleatorizar la MAC parece una mala idea, en el lado de la usabilidad de las cosas. Por otro lado, el beneficio de seguridad de una dirección MAC aleatoria parece leve, en el mejor de los casos. Puede haber un beneficio de privacidad muy pequeño, pero la mayoría de los problemas de seguridad no son problemas de privacidad, y su sistema operativo y navegador web transmiten una gran cantidad de datos que lo identifican de manera única además de la dirección MAC de todos modos.

Sí, como alguien que es DOS VECES ahora tuvo que lidiar con MAC duplicados en el mismo segmento de red (una vez duplicado del fabricante, la segunda vez que un usuario lo hizo él mismo), ¡POR FAVOR no cambie sus direcciones MAC!
Rory McCune
2011-09-06 14:14:19 UTC
view on stackexchange narkive permalink

Si bien en este momento (como se menciona en otras respuestas) las direcciones MAC son generalmente de enlace local (aunque hay algunos protocolos que filtran esa información a redes remotas), es interesante notar que cuando IPv6 se vuelve más frecuente, es probable que las direcciones MAC ser más importante.

Una forma común de construir una dirección de host IPv6 es incluir la dirección MAC de la tarjeta de red, por lo que en ese caso, cambiar su dirección MAC cambiaría su dirección IP.

No sabía que era una forma recomendada de crear la dirección; mi suposición era que cada organización simplemente elegiría un marco. Muy interesante.
sí, si termina siendo el método de facto, tendrá muchas implicaciones de seguridad potenciales. El que pensé es vincularlo a bases de datos geolocalizadas de puntos de acceso inalámbricos, podría revelar la ubicación física de alguien a partir de una ruta de seguimiento.
Rory Alsop
2011-09-06 12:53:41 UTC
view on stackexchange narkive permalink

Tiene una desventaja en los entornos empresariales: los conmutadores optimizan el flujo de tráfico mediante varios métodos, incluido el recordar qué tráfico de puerto de una dirección MAC en particular ingresa, de modo que el tráfico de regreso a esa MAC solo se envía a ese puerto.

Las tablas MAC se actualizan en los conmutadores a medida que ingresan nuevos datos, pero cambiar las direcciones MAC todo el tiempo agregaría una sobrecarga ... sin una ganancia real en seguridad. Su dirección MAC realmente no es tan importante para un atacante.

scottsh
2011-09-07 00:17:07 UTC
view on stackexchange narkive permalink

Supongo que depende del problema que estés intentando resolver. Si está tratando de maximizar su anonimato, entonces sí, podría ver la aleatorización de direcciones MAC como parte de una solución más grande enfocada en permanecer en el anonimato.

Podría imaginar un escenario en el que existiera una vulnerabilidad en la NIC de un proveedor determinado. firmware y al apuntar a las NIC de un proveedor por su dirección MAC, realizaría un ataque. Podría ser mejor no solo seleccionar aleatoriamente una MAC en este caso, sino asegurarse de que nunca eligió una MAC cuyo ID de proveedor coincida con el suyo.

Editar: Debería haber dicho firmware o controlador de NIC. Si quisiera atacar a un controlador porque sabía de la vulnerabilidad de un proveedor en particular, ir tras los MAC de ese proveedor sería su primer filtro.

Dog eat cat world
2011-09-07 00:50:09 UTC
view on stackexchange narkive permalink

Veo un buen valor defensivo de cambiar rutinariamente la dirección MAC de su tarjeta inalámbrica cuando usa una computadora portátil.

Incluso cuando se usa encriptación, la dirección mac de su cliente se filtra al aire cada vez que se enciende su computadora en. Cuando busca puntos de acceso conocidos o envía tráfico a puntos de acceso asociados.

Un atacante puede rastrear a una víctima configurando rastreadores inalámbricos en ubicaciones clave.

Conozco este sonido un poco paranoico, pero creo que sería fantástico tener un par de nodos inalámbricos repartidos por la ciudad. Entonces podría rastrear a todos los que conozco que viajan con computadoras portátiles.

y, también podrá rastrear teléfonos con wifi y / o bluetooth
psalomonsen
2011-09-06 17:21:24 UTC
view on stackexchange narkive permalink

Veo su solución como seguridad a través de la oscuridad, realmente no es tan importante cambiar su dirección mac después de cada arranque. Pero puedo verlo desde su perspectiva, las personas que mapean las redes y demás, tendrán una "lista enorme" de computadoras de repente, de todo tipo de proveedores (depende de la frecuencia con la que reinicie su PC). Y así, le resultará más difícil ver un objetivo legítimo. (O existente, porque ha cambiado la dirección mac desde el último arranque) ..

Por otro lado, no espero que los usuarios malintencionados identifiquen las PC por direcciones mac. Utilizarán escaneos de puertos / cookies / secuestro de sesión, etc.

null
2013-01-19 19:38:01 UTC
view on stackexchange narkive permalink

Si está buscando una herramienta para hacer eso en Windows, consulte esta: http://www.irongeek.com/i.php?page=security/madmacs-mac-spoofer



Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...