Mengapa otentikasi berbasis MAC tidak aman?

Sebagian besar router nirkabel dapat menggunakan otentikasi berbasis MAC sebagai bagian dari keseluruhan skema keamanan mereka. Sepertinya ide yang bagus, tetapi saya pernah mendengar bahwa itu sangat tidak efektif, karena mudah untuk menipu alamat MAC.

Saya percaya bahwa itu mudah untuk menipu alamat ini, tetapi saya tidak melihat bagaimana itu menjadi masalah. Tidak akan hacker masih perlu tahu apa alamat MAC untuk berpura-pura untuk memiliki? Ada 16 ^ 16 kemungkinan alamat MAC, jadi sepertinya bukan masalah besar bagi saya. Adakah yang bisa menjelaskan?

Dalam jaringan ethernet alamat MAC digunakan untuk mengidentifikasi secara unik setiap node (komputer dll) pada jaringan. Setiap paket yang disiarkan melalui jaringan harus berisi alamat MAC dari penerima yang dituju untuk memastikan paket-paket mencapai tujuan mereka.

Oleh karena itu menggunakan alat sniffing paket, cukup mudah untuk mengekstrak alamat MAC yang valid "off the wire". Setelah Anda memiliki alamat MAC, seperti yang sudah Anda ketahui, menipu alamat MAC bahkan lebih mudah.

Juga, saya sepertinya ingat bahwa alamat MAC adalah bagian dari lapisan OSI Data Link (level 2) dan masih terlihat dalam paket bahkan jika enkripsi seperti WEP / WPA2 digunakan. Namun ini mungkin telah berubah baru-baru ini.

Bahkan dengan enkripsi nirkabel diaktifkan, alamat MAC dikirim tidak terenkripsi. Alasan untuk ini adalah bahwa jika Anda mengenkripsi alamat MAC, setiap klien di jaringan nirkabel perlu mendekripsi setiap paket tunggal, hanya untuk mengetahui apakah itu dikirim kepada mereka atau tidak.

Bayangkan menonton film Netflix di laptop Anda menggunakan koneksi nirkabel di rumah Anda, dengan smartphone di saku Anda juga terhubung ke wifi. Ponsel Anda perlu menerima setiap paket yang berisi film streaming, mendekripsi, lalu membuangnya. Ini akan menghabiskan banyak CPU dan baterai tanpa alasan yang jelas.

Karena alamat MAC di setiap paket selalu tidak terenkripsi, itu mudah bagi penyerang untuk menjalankan paket sniffer, dapatkan daftar semua alamat MAC yang berkomunikasi di jaringan, kemudian meniru salah satunya.

Podcast Security Now # 11 ( MP3 , transkrip ) mencakup pemfilteran MAC serta WEP, menonaktifkan siaran SSID, dan cara tidak aman lainnya untuk mengamankan jaringan nirkabel.

Tidak aman jika Anda benar-benar memiliki sesuatu yang berharga untuk dilindungi. Jika Anda hanya berusaha mencegah pengguna yang tidak sah menggunakan koneksi nirkabel Anda, otentikasi berbasis MAC baik-baik saja.

Alamat MAC tidak dimaksudkan untuk dirahasiakan, sehingga sangat mudah bagi seseorang untuk mengkloningnya.

Ini buruk karena mereka yang menggunakannya, tampaknya berpikir itu membuat segalanya lebih aman. Dan perasaan aman yang salah itulah masalahnya.

(Jangan repot-repot memfilter pada alamat MAC, atau menyembunyikan SSID. Gunakan WPA atau WPA2 dengan frasa sandi yang baik sebagai gantinya.)

Dalam keamanan komputer ada pernyataan "Pengguna adalah tautan terlemah dalam rantai keamanan" Jadi saya bisa membayangkan satu situasi.

Katakanlah pengguna internal ingin melakukan sesuatu yang "ilegal" .. Jadi dalam hal ini ia dapat menggunakan MAC dari mesinnya sendiri dan melakukan apa pun yang diinginkannya. Karena admin dapat melihatnya sebagai "peretasan", tidak ada tanggung jawab pengguna yang sebenarnya.

Dan sejauh yang saya tahu pengguna dapat memindai alamat MAC dalam LAN. Saya pikir alat packet sniffer dapat mengambilnya. Jadi dalam hal ini dia bisa mencuri MAC dari temannya juga.

Jangan mengira para peretas berasal dari luar. Mereka mungkin orang dalam juga.

Saya pikir itu akan cukup sepele untuk menemukan alamat MAC Anda jika Anda berada di jaringan lain selain milik Anda bersama dengan seorang peretas. Belum lagi, alamat MAC tidak acak. Digit X pertama mewakili merek router dan saya percaya digit lainnya mewakili hal-hal lain juga.

Meskipun mereka mudah dipalsukan, lebih banyak pekerjaan bagi peretas untuk melakukannya. Saya tidak berpikir itu akan menyakitkan sebagai bagian dari keseluruhan skema keamanan Anda. Hanya saja, jangan mengandalkan itu sendirian.