Mengapa otentikasi berbasis MAC tidak aman?

12

Sebagian besar router nirkabel dapat menggunakan otentikasi berbasis MAC sebagai bagian dari keseluruhan skema keamanan mereka. Sepertinya ide yang bagus, tetapi saya pernah mendengar bahwa itu sangat tidak efektif, karena mudah untuk menipu alamat MAC.

Saya percaya bahwa itu mudah untuk menipu alamat ini, tetapi saya tidak melihat bagaimana itu menjadi masalah. Tidak akan hacker masih perlu tahu apa alamat MAC untuk berpura-pura untuk memiliki? Ada 16 ^ 16 kemungkinan alamat MAC, jadi sepertinya bukan masalah besar bagi saya. Adakah yang bisa menjelaskan?

security wireless-networking authentication mac-address stalepretzel
sumber

Jawaban:

7

Dalam jaringan ethernet alamat MAC digunakan untuk mengidentifikasi secara unik setiap node (komputer dll) pada jaringan. Setiap paket yang disiarkan melalui jaringan harus berisi alamat MAC dari penerima yang dituju untuk memastikan paket-paket mencapai tujuan mereka.

Oleh karena itu menggunakan alat sniffing paket, cukup mudah untuk mengekstrak alamat MAC yang valid "off the wire". Setelah Anda memiliki alamat MAC, seperti yang sudah Anda ketahui, menipu alamat MAC bahkan lebih mudah.

Juga, saya sepertinya ingat bahwa alamat MAC adalah bagian dari lapisan OSI Data Link (level 2) dan masih terlihat dalam paket bahkan jika enkripsi seperti WEP / WPA2 digunakan. Namun ini mungkin telah berubah baru-baru ini.

Abu
sumber
28

Bahkan dengan enkripsi nirkabel diaktifkan, alamat MAC dikirim tidak terenkripsi. Alasan untuk ini adalah bahwa jika Anda mengenkripsi alamat MAC, setiap klien di jaringan nirkabel perlu mendekripsi setiap paket tunggal, hanya untuk mengetahui apakah itu dikirim kepada mereka atau tidak.

Bayangkan menonton film Netflix di laptop Anda menggunakan koneksi nirkabel di rumah Anda, dengan smartphone di saku Anda juga terhubung ke wifi. Ponsel Anda perlu menerima setiap paket yang berisi film streaming, mendekripsi, lalu membuangnya. Ini akan menghabiskan banyak CPU dan baterai tanpa alasan yang jelas.

Karena alamat MAC di setiap paket selalu tidak terenkripsi, itu mudah bagi penyerang untuk menjalankan paket sniffer, dapatkan daftar semua alamat MAC yang berkomunikasi di jaringan, kemudian meniru salah satunya.

Podcast Security Now # 11 ( MP3 , transkrip ) mencakup pemfilteran MAC serta WEP, menonaktifkan siaran SSID, dan cara tidak aman lainnya untuk mengamankan jaringan nirkabel.

Zack Elan
sumber
Jika saya menggunakan WPA, apakah bagian MAC dari paket-paket itu masih tidak terenkripsi?
AaronLS
4
Iya. Bagian MAC selalu tidak terenkripsi.
Dana Robinson
Ini jelas merupakan jawaban yang jauh lebih baik daripada yang diterima saat ini.
cregox
4

Tidak aman jika Anda benar-benar memiliki sesuatu yang berharga untuk dilindungi. Jika Anda hanya berusaha mencegah pengguna yang tidak sah menggunakan koneksi nirkabel Anda, otentikasi berbasis MAC baik-baik saja.

Alamat MAC tidak dimaksudkan untuk dirahasiakan, sehingga sangat mudah bagi seseorang untuk mengkloningnya.

M. Dudley
sumber
Ini poin yang bagus. Untuk sebagian besar jaringan rumah, tujuan utamanya adalah menyulitkan orang untuk memasang bandwidth Anda. Penyaringan MAC melakukan ini. Apa pun yang membutuhkan keamanan nyata di komputer saya, saya menggunakan situs web HTTPS atau skema enkripsi lokal.
Ash
4

Ini buruk karena mereka yang menggunakannya, tampaknya berpikir itu membuat segalanya lebih aman. Dan perasaan aman yang salah itulah masalahnya.

(Jangan repot-repot memfilter pada alamat MAC, atau menyembunyikan SSID. Gunakan WPA atau WPA2 dengan frasa sandi yang baik sebagai gantinya.)

Arjan
sumber
Gunakan WPA2, tampaknya WPA juga rusak: networkworld.com/news/2009/...
CesarB
Nah, "rusak" dalam arti kriptografis yang ketat ( beberapa informasi dapat dipulihkan). Anda belum dapat mendekripsi semua lalu lintas. Namun, Anda harus beralih ke WPA2 ASAP.
sleske
2

Dalam keamanan komputer ada pernyataan "Pengguna adalah tautan terlemah dalam rantai keamanan" Jadi saya bisa membayangkan satu situasi.

Katakanlah pengguna internal ingin melakukan sesuatu yang "ilegal" .. Jadi dalam hal ini ia dapat menggunakan MAC dari mesinnya sendiri dan melakukan apa pun yang diinginkannya. Karena admin dapat melihatnya sebagai "peretasan", tidak ada tanggung jawab pengguna yang sebenarnya.

Dan sejauh yang saya tahu pengguna dapat memindai alamat MAC dalam LAN. Saya pikir alat packet sniffer dapat mengambilnya. Jadi dalam hal ini dia bisa mencuri MAC dari temannya juga.

Jangan mengira para peretas berasal dari luar. Mereka mungkin orang dalam juga.

Chathuranga Chandrasekara
sumber
0

Saya pikir itu akan cukup sepele untuk menemukan alamat MAC Anda jika Anda berada di jaringan lain selain milik Anda bersama dengan seorang peretas. Belum lagi, alamat MAC tidak acak. Digit X pertama mewakili merek router dan saya percaya digit lainnya mewakili hal-hal lain juga.

Joe Phillips
sumber
2
Bagian dari alamat adalah nomor yang dibeli oleh masing-masing produsen dari registrar. Sisanya adalah atas kehendak masing-masing produsen untuk menetapkan, selama mereka menjamin bahwa tidak ada dua perangkat yang pernah dikirimkan dengan alamat yang sama. Cara termudah untuk memenuhi jaminan itu adalah dengan membagikannya secara berurutan dari penyimpan rekaman tunggal di perusahaan.
RBerteig
0

Meskipun mereka mudah dipalsukan, lebih banyak pekerjaan bagi peretas untuk melakukannya. Saya tidak berpikir itu akan menyakitkan sebagai bagian dari keseluruhan skema keamanan Anda. Hanya saja, jangan mengandalkan itu sendirian.

Jeremy French
sumber
Tidak benar-benar menjawab pertanyaan ... Mungkin harus menjadi komentar.
stalepretzel
3
Ini menyakitkan, karena Anda menghabiskan waktu dan usaha untuk mengimplementasikan skema yang tidak menghalangi pengganggu (rasa aman palsu) dan biasanya mengganggu pengguna yang sah (misalnya ketika mereka ingin menggunakan perangkat baru atau mengganti kartu jaringan / motherboard).
Kornel