MAC Filter « VIVASEMFIO

MAC Filter

terça-feira, 8 de maio de 2007

Para conseguir uma segurança satisfatória…uma série de fatores isolados devem ser cuidadosamente analisados. Posteriormente, conforme cada situação, deve-se aplicar as medidas necessárias. O que pretendo dizer é: uma segurança respeitável é obtida através da solução de diversas “falhas�? separadas. Neste artigo tentarei expor a “fragilidade�? e…ao mesmo tempo…a necessidade de fazermos uma filtragem de endereços MAC num AP. Porém, antes de abordar como adicionar MAC’s ao filtro…começaremos com um conceito trivial.

O que é um endereço MAC?

MAC significa Media Access Control. Armazenado na memória PROM (Programmable Read Only Memory) do dispositivo…este endereço é universalmente único. Ou seja, não há duas placas com o mesmo MAC. É composto por 48 bits…expressos em doze dígitos hexadecimais. Os primeiros seis dígitos são administrados pelo consórcio IEEE (Institute of Electrical and Electronics Engineers) e identificam o fabricante ou fornecedor da placa de rede. Já os três últimos são atribuídos pelo fabricante. Exemplo:

MAC address: 00-80-C7-E0-8E-B5;
Fabricante: 00-80-C7;
Número de série: E0-8E-B5.

Há diversas formas de saber o MAC de uma placa. Por exemplo: através do comando IPCONFIG /ALL em Windows ou IFCONFIG em Linux.

root@didi:/# ifconfig
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:0E:7B:A1:28:1C
inet end.: 10.1.1.3 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::20e:7bff:fea1:281c/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:2031 (1.9 KiB) TX bytes:2537 (2.4 KiB)

Agora que foi esclarecido o MAC…falaremos sobre o MAC filter. Basicamente…o filtro de endereços “amarra�? as estações ao access point (caso wireless). Ou seja, haverá conexão com o AP apenas se o MAC da estação estiver cadastrado no mesmo. Falando em cadastro…este poderá ser realizado através da interface gráfica. Veja os exemplos abaixo. A primeira imagem se trata do firmware OpenWRT e a segunda do Linksys padrão.

Assumindo como fator segurança apenas o MAC filter, conclui-se que um possível invasor conseguirá acesso à rede sem fio apenas se alterar seu próprio MAC por um válido nesta rede. Em outras palavras: modificar seu MAC por outro cadastrado no AP. Lembra-se que usei o termo “fragilidade�? no primeiro parágrafo? Apesar de parecer uma tarefa de extrema dificuldade…alterar o MAC address no sistema operacional é muito fácil. No linux, após alguns simples comandos, teremos qualquer outro MAC. Exemplo:

root@didi:/# ifconfig eth0
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:0E:7B:A1:28:1C
inet end.: 10.1.1.3 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::20e:7bff:fea1:281c/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:2031 (1.9 KiB) TX bytes:2537 (2.4 KiB)

root@didi:/# ifconfig eth0 down

root@didi:/# ifconfig eth0 hw ether 00:05:7B:A3:23:12

root@didi:/# ifconfig eth0 up

root@didi:/# ifconfig eth0
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:05:7B:A3:23:12
inet end.: 10.1.1.3 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::205:7bff:fea3:2312/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:2031 (1.9 KiB) TX bytes:2915 (2.8 KiB)

O procedimento no Windows é ainda mais fácil. Pode-se modificar o MAC através das propriedades avançadas do seu adaptador. Exemplo:

Conforme o exposto, observamos o seguinte: considerando apenas o MAC filter como fator de segurança…um indivíduo mal intencionado, com o objetivo de derrubar uma estação, poderá lançar um ataque DoS (Denial of Service – Negação de Serviço) ao ambiente. Feito isso…ele usará o MAC da estação que caiu para acessar a rede.

Claro. Na prática realizar tal ataque não é tão simples, mas existe a possibilidade. E…se há formas…sempre haverá alguém para testar os métodos. Agora que abordamos uma “fragilidade�? do MAC filter…é importante falar sobre a necessidade do mesmo. Alias, usei esta mesma palavra… “necessidade�?….no primeiro parágrafo.

Uma segurança respeitável é construída por diversos degraus. Quanto mais “alta�? for a segurança…mais o atacante deverá subir. Ou seja…maiores serão as chances dele desistir. MAC filter, sem dúvidas, é um degrau.

Links interessantes:

Página do OpenWRT: AQUI;
MAC address no Wikipedia: AQUI.

É isso pessoal…Abraços…

Publicado em MAC Filter | Nenhum comentário »

Esse post foi publicado de terça-feira, 8 de maio de 2007 às 9:51 am, e arquivado em MAC Filter. Você pode acompanhar os comentários desse post através do feed RSS 2.0. Você pode comentar ou mandar um trackback do seu site pra cá.

Antes de comentar por favor leia as instrucoes abaixo:

- Escreva sem erros de portugues;
- Seja culto e agregue valor ao post com seu comentario;
- Nao escreva totalmente com letras MAIUSCULAS;
- Para sua seguranca NUNCA escreva seu e-mail no corpo do comentario. Utilize somente o campo e-mail para tal;
- NUNCA divulgue seu endereco ou telefone fixo/celular;
- A VIVASEMFIO.com e democratica, porem voce e responsavel pelo que escreve/comenta.

VIVASEMFIO

MAC Filter

Deixe um comentário

Páginas

Categorias