web-dev-qa-db-ja.com

予測可能なMACアドレスはリスクですか?

パブリックインターネットから、特定のIPアドレスが特定のMACアドレスを持つマシンに属していることを知っている場合、それに関連するセキュリティ上の危険性を確認できますか?一部のソフトウェアがMACアドレスを識別子として使用することは知っていますが、関連するセキュリティリスクは考えられません。

コンテキスト:アドレス/ MACペアが事前に生成され、すべてのソフトウェアインストールで同じである仮想マシンの静的DHCP割り当て(たとえば、任意のVM割り当てられている192.168.1.1は同じMACアドレスを持ちます) 。

14
Jeff Ferland

MACは多くの既存の環境で予測可能です。たとえば、一般的なエンタープライズネットワークでは、同じ製造元からの同じ出荷の一部であり、したがって類似したMAC(同じOUIと連続した低位部分)を備えた多くの物理マシンを見つける可能性があります。セキュリティが予測不可能なMACに依存しているシステムは、一般的なエンタープライズ環境では失敗します。

IPアドレスをMACと結び付けると、製造元、デバイスのタイプ、または特定のアドレスの背後にあるデバイスの役割について何かが明らかになる可能性があります。それはnmapが明らかにしないものを明らかにする可能性は低く、仮想マシンの場合、これが何を明らかにするかはわかりません。逆に、ネットワークアーキテクチャが公開されるのではないかと心配している場合は、両方に同じ名前付けスキームを使用すると、公開する情報の量が減ります(とにかく、MACアドレスが外側に表示される可能性が非常に高いわけではありません)。

マシンが外部から識別可能なネットワークを介して移行する場合、MACアドレスは識別要素となり、プライバシーの問題になります。しかし、その場合、移行時にIPv4アドレスを変更する可能性があります。 MACを動的IPアドレスに関連付けると(何らかの方法で管理する場合—標準のDHCPは適用されません)、プライバシーが向上します。

MACアドレスは、範囲によってハードウェアベンダーに起因する48ビット値のみであるため、すでにかなり予測可能です(たとえば、 このファイル を参照)。ネットワークインターフェイスで使用されるMACアドレスを変更することは可能ですが、ほとんどの人は変更しません。また、特定のデバイスはそのMACアドレスを非常に自由にブロードキャストします(それは送信する各イーサネットフレームのヘッダーに含まれています)。

MACアドレスがフィルタリングされるサイトがいくつかあります。つまり、デバイスによって送信されたデータは、特定の登録済みMACアドレスから送信されたように見えない限り、ルーターによって自動的にドロップされます。多くのWiFiアクセスポイントはそのように構成でき、組織のLANでも一般的です( [〜#〜] byod [〜#〜] が良い考えかもしれないと思った人のための抑止力として) 。 「許可された」ホストのMACアドレスがわかっている場合は、自分のMACアドレスをその値に変更することで、このフィルターをバイパスできます。これは、マシンのMACアドレスを知ることに関連するセキュリティ上の問題ではありません。むしろ、問題は、MACアドレスを一種の秘密のパスワードとして使用できると考えるシステム管理者です。

理論的には、MACアドレスはローカルのみであり、LAN上のホスト間の規則の問題であり、最初のルーター以外では意味がありません。これにより、MACの知識に関連するセキュリティの問題が最初のルーターを越えて不可能になります。 IPv6 は少し変更します:特定のLANで次のことが発生した場合:

  • システム管理者は [〜#〜] nat [〜#〜] を使用してIPv4のすべてを構成しました。彼は、設定した特定の転送ルールを使用しない限り、外部から内部ホストにアクセスできないと確信しています出口ルーター;
  • ルーターと内部ホストのオペレーティングシステムは、実際にはIPv6対応です(すべての最新のOSがそうです)。
  • 実験として、ISPは「IPv6を有効にする」ことを決定し、出口点として使用されるケーブル/ DSLモデムはルーター通知パケットのブロードキャストを開始します。

その後、突然、そのネットワークの内部ホストにIPv6を使用して外部から接続できるようになります。 IPv6アドレスはMACアドレスから導出となりますので、すぐにトラブルは発生しません。しかし、攻撃者が一部の内部ホストのMACアドレスを推測すると、攻撃者はそれらに直接接続できるようになります。

ここでの問題は、NATはファイアウォールではないことです。その分離効果は副産物にすぎません。しかし、多くのシステム管理者がNATセキュリティ機能andは、MACアドレスのプライバシーを別のセキュリティ機能と見なします。

6
Thomas Pornin

個人的にはそうは思いません。覚えているMACアドレスの知識に関連する唯一の潜在的なセキュリティ問題は、インターネットを介したワイヤレスAP MACアドレスの公開に関するプライバシーの問題です。

3
Rory McCune