Come proteggere il Mac Adress

Come proteggere il Mac Adress

Cambiando mac adress ad una scheda ethernet che si connette alla rete locale lan; che succede? che non si connette più o trova poi da sole le nuove impostazioni per collegarsi?



Lo chiedo perchè se questo viene fatto ad una scheda di rete ethernet di una wireless e nell'impostazioni del browser del router usa i i filtri sulla mac, questo poi non si connette più, e fino qui nulla di anormale.



ma la cosa che mi preoccupa e che c'è in giro "gente" che si diverte ad andare a caccia di pc che si connettono con wireless, in pratica vanno a caccia dei mac adress... ed una volta scoperti inseriscono il numero e si collegano loro, con le inevitabili conseguenze per il povero malcapitato.

Riescono a farlo anche se uno ha impostato i filtri sul mac adress.

Come è possibile una cosa del genere? Un router può trasmettere a due mac identici nonostante abbia impostato il filtro? Non dovrebbe accettare solo il primo quello originale?



Altra cosa... come scoprono il mac adress di una persona che si connette con wireless?

L'argomento è delicato e sicuramente per esperti del settore. Grazie a chi mi risponderà.

Domanda intelligente, sarà un piacere rispondere



Innanzitutto partiamo dal capire cosa è il Mac Address, ovvero l'indirizzo fisico della scheda di rete che essendo fisicamente scritto nell'hardware non varia anche se viene spostata la scheda da un pc all'altro.



Detto ciò partiam con le risposte alle domande:



[quote name='silver']Cambiando mac adress ad una scheda ethernet che si connette alla rete locale lan; che succede? che non si connette più o trova poi da sole le nuove impostazioni per collegarsi?

Lo chiedo perchè se questo viene fatto ad una scheda di rete ethernet di una wireless e nell'impostazioni del browser del router usa i i filtri sulla mac, questo poi non si connette più, e fino qui nulla di anormale.[/QUOTE]

Sebbene come detto poco fa il Mac address sia un valore fisicamente scritto (e trasmesso in rete incapsulato nel protocollo tcp/ip) esistono delle tecniche che permettono di falsificarlo (spoof) per poter far arrivare un mac differente all'apparato che riceve/trasmette. Ora, se sull'apparato ricevente (ad esempio un router, ma potrebbe anche essere un pc)è stata impostata la regola sui mac e questo non è incluso il router semplicemente ignorerà la richiesta mentre se sarà uno di quelli "validi" farà si comporterà come al solito (verifica chiave di rete se presente, connessione, assegnazione dell'ip tramite DHCP etcetc).



[quote name='silver']ma la cosa che mi preoccupa e che c'è in giro "gente" che si diverte ad andare a caccia di pc che si connettono con wireless, in pratica vanno a caccia dei mac adress... ed una volta scoperti inseriscono il numero e si collegano loro, con le inevitabili conseguenze per il povero malcapitato.

Riescono a farlo anche se uno ha impostato i filtri sul mac adress.

Come è possibile una cosa del genere? Un router può trasmettere a due mac identici nonostante abbia impostato il filtro? Non dovrebbe accettare solo il primo quello originale?

Altra cosa... come scoprono il mac adress di una persona che si connette con wireless?

L'argomento è delicato e sicuramente per esperti del settore. Grazie a chi mi risponderà.[/QUOTE]

In realtà la cosa è molto più semplice di quanto possa sembrare... Innanzitutto non è il router a trasmettere per primo il proprio MAC, ma bensì la scheda che cerca la connessione in wifi; per sua stessa natura a questo punto il segnale, essendo wireless, si propagherà in aria in base all'orientamento dell'antenna (questa normalmente essendo omnidirezionale manderà il segnale ovunque a meno di usare una direttiva...) e qui la gabola: nei pacchetti trasmessi inizialmente la scheda invia in chiaro il proprio MAC insieme ad alcune informazioni (tra cui la prima parte dell'handshake di cifratura) per farsi riconoscere. A questo punto un attaccante che resta "in ascolto" sulla comunicazione raccoglierà i pacchetti (sniffing) e vedrà il MAC address usato che successivamente andrà a clonare per validare la propria connessione sul router.



Il fatto che questo sia possibile è dovuta dal fatto che le reti wifi continuano a scambiare le chiavi di cifratura durante la navigazione e quindi non viene fatta distinzione alcuna tra 2 schede di rete differenti aventi un MAC identico perchè per il router stesso si tratta della stessa scheda (e c'è da dire che il MAC non è affatto un indirizzamento univoco diversamente dall'ip!), oltretutto la funzione di filtraggio del MAC confronta solo che quello in arrivo sia uguale a quello elencato (che se spooffato sarà sempre uguale)



Anche se può sembrare molto complicato come cosa in realtà si tratta di un'operazione che richiede veramente pochissimo tempo, ad esempio sugli apparati flashati con dd-wrt (un ambiente Linux Embedded per routers) la funzione di "spoof" del MAC è una delle opzioni utilizzabili direttamente dall'interfaccia di configurazione, nonchè dalla linea di comando (vedi la screenshot, i MAC li ho nascosti volontariamente...) ed il motivo della presenza di questa funzione è dovuta al fatto che particolari providers filtrano il Mac oltre che la login utente (come è ben descritto nell'help di dd-wrt che vedi screenshottato).







Per quanto riguarda la tecnica di sniffing del MAC invece si usa un semplice comando che mostra in tabella i pc ed i routers permettendone quindi la clonazione, come puoi vedere nella screenshot (si tratta della mia rete...):







Spero di esserti stato utile



Falko

Come proteggere il Mac Adress

Ok Falko bella trattazione. Quello che dici mi sta bene per la wireless, ma per una connessione che utilizza il collegamento via cavo, cavo ethernet, che quindi andrà a collegarsi alla scheda ethernet, non è mica facile clonarlo, se non impossibile...



Io mi chiedo questo: Se cambio il mac adress di una scheda ethernet che si collega normalmente via cavo, riesco poi a collegarmi ad internet con lo stesso pc, cioè le trova da sole le nuove impostazioni o non mi fa più collegare?



Impostare i filtri sui mac adress, riguarda il collegamento wireless, ma non quello diretto via cavo.



Mi chiedevo questo, perchè leggevo in rete, che alcuni cambiano ogni tanto il mac adress, per un discorso di sicurezza personale o perchè sono stati bannati da alcuni siti... un pò come chi ha le fisse che vuole cambiare indirizzo ip pubblico e quindi usa Thor, web proxy o altri software adatti allo scopo.

Chiaramente in questo caso del mac adress, verrà fatto giusto ogni tanto, ad esempio, 2 max. 3 volte l'anno.

Una cosa è certa, è sicuramente vietato! cambiando indirizzo fisico della scheda, è come se sto cambiando la targa o la matricola...

quindi vado a perdere la garanzia del rivenditore (se ancora in garanzia) di quella scheda ethernet.



Cosa ne pensi? ciao

[quote name='silver']Ok Falko bella trattazione. Quello che dici mi sta bene per la wireless, ma per una connessione che utilizza il collegamento via cavo, cavo ethernet, che quindi andrà a collegarsi alla scheda ethernet, non è mica facile clonarlo, se non impossibile...[/QUOTE]

Veramente è esattamente la stessa cosa... guardando l'immagine postata noterai che quel menu permette il cambio di 2 MAC, ovvero quello della scheda wifi e quello della scheda ethernet (che in quel routerino è unica, quindi usata sul lato WAN)



[quote name='silver']Io mi chiedo questo: Se cambio il mac adress di una scheda ethernet che si collega normalmente via cavo, riesco poi a collegarmi ad internet con lo stesso pc, cioè le trova da sole le nuove impostazioni o non mi fa più collegare? [/QUOTE]

Idem a prima, una scheda di rete è sempre una scheda di rete che sia wireless o meno quindi la risposta data sopra è esattamente la stessa



[quote name='silver']Impostare i filtri sui mac adress, riguarda il collegamento wireless, ma non quello diretto via cavo.[/QUOTE]

Non è detto, dipende dal router che hai in uso; Se per esempio hai un router con chipset conexant (molto probabile) o meglio ancora un cisco, la funzionalità è presente, ma si attiva connettendosi alla shell di comando del router via telnet dato che graficamente è normalmente occultata. Considera che si tratta di una delle funzioni principali per poter effettuare il routing in maniera corretta quando devi interconnettere più routers tra di loro 2



[quote name='silver']Mi chiedevo questo, perchè leggevo in rete, che alcuni cambiano ogni tanto il mac adress, per un discorso di sicurezza personale o perchè sono stati bannati da alcuni siti... un pò come chi ha le fisse che vuole cambiare indirizzo ip pubblico e quindi usa Thor, web proxy o altri software adatti allo scopo.

Chiaramente in questo caso del mac adress, verrà fatto giusto ogni tanto, ad esempio, 2 max. 3 volte l'anno.[/QUOTE]

L'unico caso in cui variando il MAC address si salta una protezione è nelle reti locali, in special modo quelle aziendali, su internet una procedura simili è perfettamente inutile a meno che sia il provider che chieda la variazione (come spiegato sopra), oppure nel cracking delle reti Wifi. Considera inoltre che questo indirizzamento fisico non arriva sul punto di destinazione (il sito che apri) sebbene resti incapsulato nel pacchetto dati che si va ad inviare (per esempio questo serve per dare modo al provider di risalire ad un potenziale attaccante che sfrutta la tecnica del DDoS (detto in altre parole "smurf") oppure per la configurazione di protezione di iptables, il firewall di Linux)



[quote name='silver']Una cosa è certa, è sicuramente vietato! cambiando indirizzo fisico della scheda, è come se sto cambiando la targa o la matricola...

quindi vado a perdere la garanzia del rivenditore (se ancora in garanzia) di quella scheda ethernet.



Cosa ne pensi? ciao[/QUOTE]

Nel dettaglio, un mac è composto da 6 gruppi di valori divisi dai due punti, i primi 3 gruppi servono ad identificare il produttore della scheda (ed in taluni casi il modello) mentre i restanti 3 gruppi sono il seriale della scheda che può arrivare a creare al massimo 16 milioni e rotti di indirizzi univoci (256 x 256 x 256, alias 256 ^3).



Ne consegue quindi che la variazione del MAC non è una procedura vietata, ma è semplicemente inutile nella stragrande maggioranza dei casi (oltre al fatto che difficilmente è un indirizzo univoco). Piuttosto è utilissimo se si ha a che fare con la configurazione di reti locali enormi (normalmente aziendali) dove può aiutare il sistemista di turno nell'implementazione della rete.



Per quanto riguarda la garanzia puoi andare tranquillo, per il semplice fatto che la modifica non viene fatta intervenendo sul 3° livello OSI (mi pare...) che è quello hardware, ma usando invece un sistema totalmente software. In pratica se sposti la scheda da un pc all'altro il MAC dovrebbe tornare quello originario. In ogni caso il MAC originario non è mai cancellato



RE: non ricordo se il mac è scritto su un particolare flash dato che ad esempio le schede eth (Edimax, Netgear, Linksys, etc) generalmente forniscono in dotazione alla scheda un floppy con le utility per la configurazione hardware della stessa, tipo cambio di modalità (10M, 100M, 10/100M, full duplex e non) ed altre cosette interessanti. In tal caso la modifica diventa parzialmente anche hardware



Falko

In giro si dice che a livello di sicurezza.. una connessione via cavo è di gran lunga superiore di una wireless, anche se quest'ultima settata con impostazioni alte.

è proprio vero... ma come si dice un pò in tutti i campi.. la pratica la fà da padrone..