Para conseguir uma segurança satisfatória…uma série de fatores isolados devem ser cuidadosamente analisados. Posteriormente, conforme cada situação, deve-se aplicar as medidas necessárias. O que pretendo dizer é: uma segurança respeitável é obtida através da solução de diversas “falhasâ€? separadas. Neste artigo tentarei expor a “fragilidadeâ€? e…ao mesmo tempo…a necessidade de fazermos uma filtragem de endereços MAC num AP. Porém, antes de abordar como adicionar MAC’s ao filtro…começaremos com um conceito trivial.

O que é um endereço MAC?

MAC significa Media Access Control. Armazenado na memória PROM (Programmable Read Only Memory) do dispositivo…este endereço é universalmente único. Ou seja, não há duas placas com o mesmo MAC. É composto por 48 bits…expressos em doze dígitos hexadecimais. Os primeiros seis dígitos são administrados pelo consórcio IEEE (Institute of Electrical and Electronics Engineers) e identificam o fabricante ou fornecedor da placa de rede. Já os três últimos são atribuídos pelo fabricante. Exemplo:

MAC address: 00-80-C7-E0-8E-B5;
Fabricante: 00-80-C7;
Número de série: E0-8E-B5.

Há diversas formas de saber o MAC de uma placa. Por exemplo: através do comando IPCONFIG /ALL em Windows ou IFCONFIG em Linux.

root@didi:/# ifconfig
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:0E:7B:A1:28:1C
inet end.: 10.1.1.3 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::20e:7bff:fea1:281c/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:2031 (1.9 KiB) TX bytes:2537 (2.4 KiB)

Agora que foi esclarecido o MAC…falaremos sobre o MAC filter. Basicamente…o filtro de endereços “amarraâ€? as estações ao access point (caso wireless). Ou seja, haverá conexão com o AP apenas se o MAC da estação estiver cadastrado no mesmo. Falando em cadastro…este poderá ser realizado através da interface gráfica. Veja os exemplos abaixo. A primeira imagem se trata do firmware OpenWRT e a segunda do Linksys padrão.

Assumindo como fator segurança apenas o MAC filter, conclui-se que um possível invasor conseguirá acesso à rede sem fio apenas se alterar seu próprio MAC por um válido nesta rede. Em outras palavras: modificar seu MAC por outro cadastrado no AP. Lembra-se que usei o termo “fragilidadeâ€? no primeiro parágrafo? Apesar de parecer uma tarefa de extrema dificuldade…alterar o MAC address no sistema operacional é muito fácil. No linux, após alguns simples comandos, teremos qualquer outro MAC. Exemplo:

root@didi:/# ifconfig eth0
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:0E:7B:A1:28:1C
inet end.: 10.1.1.3 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::20e:7bff:fea1:281c/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:2031 (1.9 KiB) TX bytes:2537 (2.4 KiB)

root@didi:/# ifconfig eth0 down

root@didi:/# ifconfig eth0 hw ether 00:05:7B:A3:23:12

root@didi:/# ifconfig eth0 up

root@didi:/# ifconfig eth0
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:05:7B:A3:23:12
inet end.: 10.1.1.3 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::205:7bff:fea3:2312/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:2031 (1.9 KiB) TX bytes:2915 (2.8 KiB)

O procedimento no Windows é ainda mais fácil. Pode-se modificar o MAC através das propriedades avançadas do seu adaptador. Exemplo:

Conforme o exposto, observamos o seguinte: considerando apenas o MAC filter como fator de segurança…um indivíduo mal intencionado, com o objetivo de derrubar uma estação, poderá lançar um ataque DoS (Denial of Service – Negação de Serviço) ao ambiente. Feito isso…ele usará o MAC da estação que caiu para acessar a rede.

Claro. Na prática realizar tal ataque não é tão simples, mas existe a possibilidade. E…se há formas…sempre haverá alguém para testar os métodos. Agora que abordamos uma “fragilidadeâ€? do MAC filter…é importante falar sobre a necessidade do mesmo. Alias, usei esta mesma palavra… “necessidadeâ€?….no primeiro parágrafo.

Uma segurança respeitável é construída por diversos degraus. Quanto mais “altaâ€? for a segurança…mais o atacante deverá subir. Ou seja…maiores serão as chances dele desistir. MAC filter, sem dúvidas, é um degrau.

Links interessantes:

Página do OpenWRT: AQUI;
MAC address no Wikipedia: AQUI.

É isso pessoal…Abraços…