web-dev-qa-db-ja.com

MACフィルタリングによるセキュリティ:有線ネットワークと無線ネットワーク

私の質問は、Wikipediaの次の記事を参照しています: MAC Filtering

記事は述べています:

攻撃者はワイヤレス送信を傍受できるため、MACフィルタリングはワイヤレスネットワークでは効果的な制御ではありません。ただし、MACフィルタリングは有線ネットワークでより効果的です。これは、攻撃者が許可されたMACを特定することがより困難になるためです。

問題は、MACフィルタリングadditionalセキュリティを提供する理由(= = --- ==)wiredネットワーク(ワイヤレスネットワークに対抗)?

私はこの手法の一般的な欠陥を認識しており、代替案について知っています。達成されたセキュリティで主張されている違いにのみ興味があります。

ありがとう!

networkaccess-controlmac-addressmac-spoofing
8
Karl Hardr

  • ワイヤレスネットワークでは、信号は空中を移動します。誰でもそれらを聞いて送信元MACアドレスをキャプチャできます。したがって、攻撃者がホワイトリストに登録されたMACアドレスを見つけて偽装するのは簡単です。

    このように考えてみてください。互いに話し合っている友人のグループであり、彼らは知っている人としか話しません。それらの1つが何かを言うとき、彼は常に最初に自分の名前を言います。したがって、たとえば、ジャックは「ねえ、私はジャックです。今日私は何とか何とか何とか」と言います。あなたが彼らを通り過ぎた場合、あなたは彼らの名前の一つを聞き、あなたの文の始めにそれを使うことができます。彼らはあなたがジャックだと思います。 (あなたを見る能力を無視してあなたの声を認識してください)

  • 有線ネットワーク(より具体的には、スイッチ有線ネットワーク)では、信号はホストからスイッチへのワイヤーを介して移動します。攻撃者がそれらを聞いて送信元MACアドレスをキャプチャすることははるかに困難です。

    このように考えてください。前の例と同じ状況ですが、話をする代わりに、友だちはお互いに直接、直接、ノートを書いています。あなたは部外者として、彼らが何について話しているのか、そして彼らの名前が何であるかを知らないので、理論的には、あなたは彼らの一人であるふりをすることはできません。

つまり、MACフィルタリングの効果がないのは、有効なMACアドレスを知っている攻撃者です。有効なMACアドレスを持つことにより、攻撃者はそのアドレスを偽装し、サーバー/ルーター/ APがホワイトリストに登録されているデバイスであることを「確信」させることができます。

ワイヤレスネットワークでは、有線ネットワークよりも有効なMACアドレスをキャプチャして取得する方が簡単です。そのため、有線ネットワークよりもワイヤレスネットワークではMACフィルタリングの効果が低くなります。

6
Adi

スイッチ、ハブ、およびブロードキャスト

ハブに接続された古いスタイルのイーサネットネットワークでは、すべてのパケットがネットワーク上のすべてのステーションにブロードキャストされました。これは、今日のワイヤレスネットワークの一般的な動作方法でもあります。

しかし、ネットワークパフォーマンスを向上させるために、接続ステーションのswitchesは主にhubsに置き換えられました。スイッチは、物理ポートの1つから発信されたパケットを検出すると、送信者のMACアドレスを書き留めます。その時点以降、そのMACアドレスに向けられたトラフィックはのみがその1本のワイヤを介して送信され、その他のトラフィックは送信されません。

この接続配置により、不正なリスナーに見えるトラフィックの量が劇的に減少します。ネットワーク上のallトラフィックを表示する代わりに、リスナーには、ブロードキャストトラフィックと、スイッチが認識しているMACに向けられていないトラフィックのみが表示されます。

回避策とその他の問題

これはMACスプーフィングを不可能にしません。ユーザーは、ブロードキャストフレーム(ARPパケットなど)を監視して、ネットワークで許可されているMACを確認できます。ただし、攻撃者が盗んだMACを使用し始めると、スイッチへの影響はやや予測不能になり、通常は非常に不安定になります。

スイッチのポリシーは、MACアドレスが最近確認された回線を介してトラフィックを送信するだけであり、2つのステーションが同じMACを要求しているため、スイッチの動作は未定義になります。異なるスイッチがこの状況を異なる方法で処理しますが、通常表示されるのはトラフィックの一部は1台のコンピューターに行き、一部は他のコンピューターに行きます、どちらのスポークが最後かによって異なります。これをTCPの継続性および確認の要件と組み合わせると、bothパーティのほとんどが使用できない接続になります。

さらなる緩和

攻撃者にとって問題をさらに困難にするために、ハイエンドのネットワークインストールで一般的に見られる「マネージドスイッチ」は、イーサネットトラフィックのルーティングに、上記の単純なアルゴリズム以上のものを使用できます。リスニングによってMACアドレスルーティングを決定する代わりに、これらは、特定のMACアドレスが存在することを予期していたことを知るために、管理者によって事前設定できます。つまり、攻撃者は有効なMACアドレスを見つける必要があるだけでなく、有効なデバイスが見つかったのと同じ物理プラグソケットにデバイスを接続する必要があります。デバイスを他のソケットに接続すると、機能しなくなります。

3
tylerl

有線ネットワークの最大のセキュリティ欠陥の1つはDHCPです。誰かソーシャルエンジニアがあなたの建物に向かい、空の会議室やオフィスに迷い込み、ラップトップを壁に差し込みます。彼らは自動的にIPを取得し、ローカルネットワーク上で保護されていない可能性のあるあらゆるものを悪用する可能性があります。

これに対処する最良の方法は、既知のシステムに基づいてアドレスを割り当てることであり、最も一般的に受け入れられている方法は、Macアドレスを使用することです。ネットワークから有効なMACアドレスを取得することは困難です。すでにネットワークに接続している場合は、NMAPでMACアドレスを探知できる可能性がありますが、そのアドレスはすでに要求されているため、行き詰まります。そのマシンを見つけるか、強制的にオフラインにしてMACを偽装し、IPアドレスを盗む必要があります。ネットワーク上でnotを使用している場合、ローカルマシンを悪用することを余儀なくされ、それを行った後、なぜそのマシンを使用しないのですか?

ワイヤレスを使用すると、完全にセキュリティで保護されていない接続を処理することになります。その場合、コンピュータやスイッチで何が行われているのかを気にしないか、暗号化された接続を処理します。 DHCP/MACのもの。どちらの場合でも、MACアドレスは重要ではありません。

0
Satanicpuppy