MACスプーフィングからキャプティブポータルを保護する最良の方法は何ですか?
MACアドレスは、ワイヤレスクライアントを互いに区別するための唯一の方法の1つであり、1つの認証済みクライアントが送信するものはすべて、不正なクライアントによって単純にスプーフィングされる可能性があります。 IPアドレス、MACアドレス、およびリクエストの他の部分は単純に偽造される可能性があるので、そのような攻撃からキャプティブポータルを保護する最善の方法は何ですか?
商用の実装は確かではありませんが、信号強度やAPなどを使用して物理的な近接度を追跡し、場所が突然大きく異なる場合は、その可能性が高いと判断する 興味深いアイデア を見ましたスプーファー。 指紋技術を使用したなりすまし検出 に関する興味深い論文も見つけました。
キャプティブポータルはWebページになります。認証前に他のすべてのポートをブロックしている場合とそうでない場合があります。443にしか到達できず(80が443にリダイレクト)、HTTPSのみを許可するとします。この時点では、キャプティブポータルページにしかアクセスできません。条件に同意した後、ログインなどを行うと、他のポートを開いて、必要な場所であればどこからでもWebを閲覧できるようになります。
企業環境にいる場合は、802.1x、証明書、VPNなどを実装して、どこにでも移動できるようにし、認証されたユーザーのために最小限のポートのみを開いたままにしておくことをお勧めします。 IPSec以上の層のVPNは、なりすましの問題の可能性を低くします。これにより、彼らがMacになりすましても問題にならない場所にアクセスを制限することができます。これは、彼らがまだVPNにしか出られず、VPNを攻撃する必要があるためです。
部屋番号で人を追跡しているホテルの場合、MACをスプーフィングすると無料で乗車できますが、正当なユーザーが支払った期間が過ぎると終了します。クライアント固有の特定のCookie、ヘッダーなどをチェックするために、Webプロキシレベルで何かを実装できます。
Wifiの主なセキュリティ上の課題は、ホストごとのタイプの暗号化(VPNなど)を行わない限り、オープンネットワーク上にあることです。 MACアドレスは、誰かを識別するのに十分であると決して考えられるべきではありません。
セキュリティとキャプティブポータルに関連するリソースは次のとおりです。
MACアドレスは簡単に偽装されるため、IDの強力な指標として使用しないでください。ここでは IPsec または [〜#〜] radius [〜#〜] が最善の策だと思いますが、正当なものの間のあらゆる種類の強力な認証と整合性チェッククライアントとサーバーは機能します。