sábado, 25 de julio de 2015

Filtro MAC como medida de seguridad WiFI ¿Es vulnerable?

Cada vez tenemos más dispositivos conectados de manera inalámbrica (smartphones, tablets, portátiles, etc) a nuestra red local, y esto a su vez nos obliga a mantener una red lo más protegida y segura posible. Los datos que pueden ser vulnerados si nuestra red no está bien protegida pueden ser ilimitados, desde cuentas bancarias, credenciales de registros, conversaciones, fotos, archivos, etc.

La gran mayoría de las redes inalámbricas, citando a Microsoft, tienen una seguridad limitada o nula. Normalmente es debido a dos causas. Por un lado, la falta de conocimiento para realizar una buena configuración de las mismas, lo cual suele ser lo más habitual. Por otro lado, la seguridad es algo que no se toma muy en serio a pesar de la dependencia que tenemos ( y cada vez más) de las redes WIFI. Teniendo en cuenta éste último punto es muy común el escuchar a mí ¿quén me va a robar el wifi? o a mí es imposible, yo con el filtro MAC es imposible que usen mi red, no uso ni clave de acceso, solo el filtro.

En este momento nos preguntamos, ¿es realmente imposible acceder a una red inalámbrica con filtro MAC? ¿Podemos estar tranquilos dependiendo solo del filtro MAC sin clave de acceso? Vamos a desglosar como funciona este filtro a fondo.

La dirección MAC es una dirección física única que corresponde a cada dispositivo o tarjeta de red. Con única quiere decir que no puede existir jamás dos dispositivos con la misma dirección MAC. La dirección física se determina parte (24 bits) por el Instituto de Ingeniería Electrica y Electrónica (IEEE) y otra parte (24 bits) por el fabricante. Las direcciones MAC están escritas directamente de forma binaria en el hardware en su momento de fabricación.

El filtro MAC es una medida de seguridad que nos proporcionan prácticamente todos los router del mercado
El filtrado MAC se puede configurar de dos maneras distintas:

  • Evitando que todos los equipos cuya tarjeta de red tenga la dirección MAC indicada en la lista puedan tener acceso a la red. Esto haría que los equipos cuyas direcciones MAC no añadidas puedan acceder.
  • Permitiendo que todos los equipos cuya tarjeta de red tenga la dirección MAC indicada en la lista tengan acceso a la red y denegando el acceso a todos los equipos que no estén añadidos en la lista.

Si nos basamos en la estricta teoría, y por lo explicado anteriormente, el filtrado MAC sería la medida infalible. Pero como todo en informática, tiene su lado oscuro, y en este caso se llama MAC Spoofing.

MAC Spoofing es una técnica que permite engañar al sistema operativo haciéndole creer que un dispositivo de red tiene una dirección física elegida por el usuario. Lo que se está realizando realmente es enmascarar la dirección física real. 

Dicho lo anterior, ¿Podemos saltar la barrera de protección de un filtrado MAC en una red?
Suponemos que estamos auditando una red inalámbrica con cifrado WPA2 junto con el filtrado MAC, y la configuración del router es excluir a todos los equipos excepto los que el administrador haya introducido en la lista.

Para realizar la auditoria vamos a usar Kali Linux junto con una tarjeta de red inalámbrica externa.

Primero ponemos la tarjeta de red en modo monitor y escaneamos la red inalámbrica que tiene el filtro MAC activado para analizar si la red tiene dispositivos conectados.
En este caso la red que estamos auditando tiene 2 dispositivos asociados.
Por último, copiamos la MAC de uno de los dispositivos conectados y cambiamos la MAC de nuestro adaptador por la del dispositivo conectado.
En este punto (si la red no tuviese cifrado de ningún tipo y solo dependiese del filtro MAC) ya podríamos tener acceso a la red. La pregunta ahora es, ¿que pasa con el otro cliente? ¿no hay conflictos al tener dos direcciones físicas iguales?.

El router le quita la conexión a Internet al cliente legítimo y nos la proporciona a nosotros, ya que entiende que ahora nosotros somos el cliente real. Esto indica que los dos equipos al mismo tiempo no pueden coexistir. Podemos realizar un ataque de De-autenticación para evitar que el cliente legitimo se vuelva a conectar.

Podemos deducir que el filtro MAC es una traba más y es importante implementarla como parte de un conjunto de medidas de seguridad de nuestra red Wlan, pero NUNCA como única medida de seguridad.

No hay comentarios: