web-dev-qa-db-ja.com

学校からMACアドレスの提出を求められました

私の学校は最近、Wi-Fiへの接続に使用するために指定された名前とともにMACアドレスを学校に提出するように私たちに要求しました。以前は、これは必要ありませんでした。

これから彼らがどのような情報を収集できるのか尋ねたいのですが。彼らは私たちの閲覧履歴などを追跡できますか? Torブラウザを使用するとどうなりますか?効果はありますか?

彼らが私を追跡できる場合、彼らが私のプライバシーを侵害するのを防ぐためにどのような措置をとることができますか?

74
cyanide

必ずしもプライバシー上の理由からではなく、なぜMACアドレスを使用するのかを尋ねるべきだと思います。 「なぜMACアドレスが必要なのですか?」それらを尋ねることは合理的な質問だと思います。

まず、彼らはWiFiに接続するすべての個人のMACアドレスを持っています。 WiFiに接続しているデバイスは、ARPプロトコルに基づいてMACアドレスを公開します。

彼らはWiFiを既知のMACアドレスにロックすることは良いセキュリティ対策だと考えるかもしれません。私たち2人が同じスターバックスと同じWiFiを使用している場合、私はあなたのMACアドレスを取得できるからではありません。その後、MACアドレスを簡単に偽装できます。したがって、セキュリティ対策から、これは素晴らしいことではありません。

彼らはあなたの活動を追跡したいと思うかもしれません。彼らはあなたのMACを要求することなくすでにこれを行うことができます、彼らにMACアドレスを与えるだけで彼らはそれを個人に簡単にマッピングすることができます。ログからMACとIPアドレスの履歴を取得でき、NATはIPアドレスとポートの履歴を保持し、MACアドレスにマップできます。

Torを使用する場合、Torを使用したと言うことができますが、コンテンツは使用できません。

それで、なぜMACアドレスが必要なのかと尋ねます。MACアドレスを公開しても、実際には影響はありません。もちろんあなたの家のWiFiやその他のものを除いて、あなたはMACアドレスを自分自身を識別する方法として使用しています。 MACアドレスは簡単に偽装できるためです。

79
Darragh

学校では、すべての生徒のデバイスのMACアドレス(一意のハードウェア識別子)を用意することで、LANからの多くの不要なトラフィックを除外できます。学生以外の外部デバイスが正規の学生登録MACを偽装した場合でも、ネットワーク経由で送信されるパケットは引き続きキャプチャされ、開かれ、ユーザーエージェントやその他のシステム識別子が監視されます。これにより、ネットワーク管理者はスプーフィングされたMACを誰かが使用しているかどうかを知ることができ、管理者は特定のMACをフィルタリングせずにそのMACをアクセスポイントから簡単に効果的に起動できます。

MACアドレスレジスタを使用すると、接続しているはずの人と接続していない人をチェックするのに役立ちます。ただし、これは単一のセキュリティ方式にすぎません。ユーザーエージェントを特定できるサードパーティの専用ツールやオープンソースツールなどの他にも、システムハードウェアの仕様、使用中のOS、ブラウザプラグインなど、さまざまなものがあります。これらが偽装されていても。これらは、TORデーモン/ブラウザーのユーザーとTailsユーザー(すべてのシステムおよびWebトラフィックをTORネットワーク経由で送信するLinux OS)を識別します。

追跡されたくない場合は、いくつかの方法があります。

  1. 学校のLANは使用しないでください。
  2. 起動可能なサムドライブとUSB wifiアダプターを使用します。
  3. 仮想ワイヤレスインターフェイスとカスタムインターフェイスプロファイルを作成します。
  4. サムドライブを備えた仮想マシンを使用します。
  5. 実際のインターフェースにブリッジされたアドホック仮想インターフェースを使用して作成された仮想NICのような正当な学生のデバイスを介してトンネルします。VNIC識別子を偽装します。

これはほんの少数の方法であり、最良の方法でもありません。あなたはいくつかの研究を行うことでもっと見つけるかもしれません。

33
Yokai

まあ、あなたは過去にアクセスポイントに接続したことがあるので、学校にはすでにMACアドレスがあります。彼らが(必ずしも)知らないのは、あなたのMACアドレスとあなたの本名の間の関連です。
それが気になる場合は、学校にいる間に 別のMACを使用 を使用してください。

ip link set dev wlp1 address XX:XX:XX:XX:XX:XX

同じAPで製造元が割り当てたMACを使用しているデバイスとの競合を回避するには、 Locally Administered MAC を選択します。

悪意のあるユーザーがairodump-ng他の生徒のMACアドレスを見つけるには、その生徒をaireplay-ng -0を使用し、MACを使用して偽装します。 MACフィルタリングが優れたセキュリティであると学校が考える場合、彼らは大きな驚きに直面しています!

26
Navin

彼らはそれを追跡手段の観点から考えているのではなく、WiFiパスワードを与える代わりに考えているのかもしれません。 MACアドレスのホワイトリストは、かなり一般的な代替手段です。

彼らが何もログインするためにWiFiパスワードを与えなかった場合、他の学生がそれらの詳細を提供するのを止めることになります。一方、MACアドレスごとにホワイトリストを作成すると、この情報が簡単に渡されなくなります。

もちろん、MACアドレスのなりすましの心配があります。ただし、スプーフィングされたMACアドレスを使用してネットワークに接続するには、すでにアクセスできるMACアドレスを知っている必要があります。また、MACアドレスを追跡できる場合は、この情報を友達と共有したくないでしょう。最後に、MACアドレスを渡した後にスプーフィングを行った場合、接続を阻止するだけです。

プライバシーに関する限り、デバイスから送信されたMACアドレスを取得してホワイトリストと照合する技術的手段を持っている場合、ファイアウォールが追加情報をログに記録してMACアドレスと照合することを妨げるものはありません。たとえば、ファイアウォールログでIPが返されます。 MACアドレスリストに移動して、そのIPを使用したMACアドレスを検索できます。

トラフィックを傍受できるため、使用している可能性のある既知のアプリケーションや閲覧しているWebサイトを俯瞰することもできます。一方、あなたの活動の詳細なアイデアを得ることは、可能ではありますが、関与する作業が原因で起こりそうにありません。そのため、彼らはメッセージXの内容を知らないかもしれませんが、サービスYまたはWebサイトZでそれを送信する場所を知っている可能性があります。プライバシーが懸念される場合の結論は、ネットワークへの接続をまったく回避することです。または、少なくとも非公開にしたいネットワーク上での活動は避けてください。

3
Bacon Brad

これから彼らがどのような情報を収集できるのか尋ねたいのですが?

MACアドレスがあると、ログファイルの分析が容易になります。
ネットワークログファイルには、IPアドレスと接続に関する情報が含まれていることがよくあります。
たとえば、次の架空のログエントリは、IPアドレス10.10.100.12のデバイスがIPアドレス216.58.210.46のシステムに接続されていることを示します(google.com)ポート443(HTTPS)。

TIMESTAMP        | SOURCE IP:PORT       | DEST IP:PORT
-----------------------------------------------------------
2016-08-05 12:11 | 10.10.100.123:123456 | 216.58.210.46:443

他のログファイル(DHCPリースなど)をさらに調査すると、内部IPアドレス10.10.100.12がMACアドレスに渡されたことが示される可能性があります1:23:45:67:89:01

IP ADDRESS    | MAC ADDRESS       | LEASE START      | LEASE END
-----------------------------------------------------------------------
10.10.100.123 | 01:23:45:67:89:01 | 2016-08-03 09:35 | 2016-08-10 09:35

そのMACアドレスは、特定の生徒のデバイスのネットワークアダプターと照合できます。

これにより、学校、または学校のログファイルを要求できる機関(法執行機関など)が特定のオンライン活動を追跡できるようになります。
犯罪捜査の結果、学校のパブリックIPアドレスが特定の違法行為に関連していることが判明した場合、学校にログファイルと「MACアドレス-学生」の組み合わせのリストの提出を依頼することができます。
また、学校が18以上のWebサイトの閲覧に帯域幅の10%を費やした生徒を追跡したい場合もあります。

この情報がこれらの理由で使用できるかどうかは、プライバシーとコンピュータ犯罪に関する現地の法律に依存します。

彼らは私たちの閲覧履歴などを追跡できますか?

この情報を使用して、ブラウザの完全な履歴を検出することはできません。ただし、前に説明したように、MACアドレスは、デバイスをネットワーク上の特定のアクティビティにリンクするために使用できます。

Torブラウザを使用するとどうなりますか?効果はありますか?

Torを使用しても、デバイスのネットワークアダプターに特定のMACアドレスがあり、このMACアドレスがデバイスおよびユーザーにリンクされている可能性があるという事実は変わりません。

彼らが私を追跡できる場合、彼らが私のプライバシーを侵害するのを防ぐためにどのような措置をとることができますか?

デバイスのネットワークアダプターのMACアドレスを変更することは、かなり簡単です。元のアドレスを渡した(または偽のアドレスを提供した)後にMACアドレスを変更すると、IT管理者がMAC/IPアドレスをリンクすることが難しくなります。
ただし、ネットワークでActive Directoryによる識別が必要な場合(各学生はネットワークに対して認証するための一意のユーザー名を持っています)または他の認証形式(証明書ベースなど)でも、ログを確認できますあなたにIPを一致させることを試みるファイル。
学校がプロキシを使用している場合、メールアドレスやFacebookユーザー名などの個人を特定できる情報を検索するためにWebトラフィックを傍受することもできます...しかし、これはプライバシーに関する重大な違反になると思いますほとんどの国。

追加情報

また、学校がネットワークにMACアドレスベースのアクセス制御を実装して、ホワイトリストに登録された(許可された)MACアドレスのみがネットワークに接続できるようにする場合もあります。

しかし、他の人が指摘したように(そして少し触れたように)、MACアドレスは編集できます。これにより、誰でも自分のMACアドレスを正規の学生のMACアドレスに変更して、ネットワークへのアクセスを許可することができます。
MACアドレスベースのアクセス制御により、学校の友達から受け取ったパスワードを使用して一部のユーザーがネットワークにアクセスできなくなります(この弱い防御ラインを回避するための知識/スキルがないため) )、しかしそれはネットワークにアクセスすることに決めた人々を止めません。

学校が学生のネットワーク使用状況を追跡することを真剣に考えている場合、および/または学生のみへのアクセスを制限したい場合は、より優れた代替案があります。

この一例は、RADIUS認証済みWiFiです。
抽出元: FreeRadius.org

IEEE 802.1XおよびRADIUS Authentication

Wi-FiのIEEE標準(IEEE 802.11)では、Wi-Fi暗号化キーがプロビジョニングされるため、PSKネットワークとは根本的に異なる「エンタープライズ」モードが予測されますユーザーごとおよびセッションごと。すべてのユーザーは個人の認証情報;で認証する必要があります。その瞬間にキーが生成され、ユーザーのデバイスとNASが接続するデバイスに)通信されます。

ユーザーが認証資格情報を送信する前に、ユーザーはネットワークを認証して、本当に本物であることを証明する必要があります。その後、クライアントの資格情報が解放されます。 IEEE標準のIEEE 802.1X(RADIUSおよび拡張認証プロトコル、EAPを使用)は、認証とキー管理に使用されます。

エンタープライズWi-Fi認証は高度な機能ユーザーを特定のVLANに動的に入れる(たとえば、同じSSIDにある場合でも、別々のゲストとスタッフのログインを異なるIPネットワークに入れる)も有効にします)、および動的ACL

エンタープライズWi-Fiには以下が必要です。

  1. A RADIUS EAP認証を実行できるサーバー。
  2. RADIUS認証を使用するように正しく構成されているWi-Fi機器。
  3. エンタープライズWi-Fiを正しく実行するように構成されたユーザーデバイス。
3
BlueCacti

MACアドレスは、デバイスの物理アドレスを表すだけです。デバイスのMACアドレスは、デバイスがWIFIに接続する2番目に、ARPプロトコルに基づいて提供されます。

MACアドレスを尋ねると、特定のネットワークへのアクセスが許可されるデバイスのリストをフィルタリングしやすくなります。

私は個人的に、学生が学校のインターネット接続のみにアクセスできるようにするために、MACアドレスを要求していると思います。 MACアドレスが追加されていないと、ランダムな人物がネットワークにアクセスできません(たとえパスワードがあっても)。

ただし、誰かのMACアドレスを取得して、自分のMACアドレスに一致するように変更するのは簡単です(ただし、この方法をとる人はごくわずかです)。

今あなたの質問に答えるために、彼らはあなたがまだ持っていなかったあなたに関する追加情報を実際に収集することはありません。 WIFIに接続すると、すぐにMACアドレスにアクセスできるようになりました。しかし、今では彼らはあなたをより早く見つけることができます。

彼らはあなたの歴史を追跡するのにエールかもしれませんが、彼らが必要とされない限り、学校が行うことを疑う多くの仕事が必要になります。彼らは通常、学生(特定のWebサイトにアクセスできないようにするため、またはサーバーにプライバシーを追加するために、プロキシ(あなたとWebページの間の仲介者)を使用します。

Torを使用すると、履歴が匿名になりますが、そのようなインターネットブラウザを使用したことが認識されます。

それらを防ぐために取ることができる測定:-MACアドレスを編集できる仮想ボックスを使用します-Webを閲覧するときはいつでも(仮想ボックスの)DSNとプロキシを変更できます

他にも多くの方法がありますが、ネットワークを使用している場合、誰かがプライバシーを侵害するのを防ぐことも静かです。

2
Cedric F.

あなたは学校に追加情報を与えていません。

Wifiネットワークに接続すると、すでにMACアドレスが表示されています。自分のコンピューターとWifiアクセスポイント間のすべてのフレームは、送信元と宛先のMACを伝送します。そうしないと、送受信できなくなります。

したがって、学校は他の人が接続するのをより困難にするために、セキュリティのためにこの情報を要求します。これは妥当なセキュリティ要求です。

ただし、MACアドレスは簡単に偽装される可能性があるため、それほど強力ではありません。ただし、問題が発生した場合に関連付けると役立ちます。誰かが別のMACアドレスを持つユーザーを使用している場合、学校はあなたのアカウントがハッキングされていると疑うことができます。

2
Ramón García