¿Cómo puede un enrutador WiFi reconocer el cambio de dirección MAC de un dispositivo conectado?

tag-icon tag-icon networking security firewall mac-address spoofing
¿Cómo puede un enrutador WiFi reconocer el cambio de dirección MAC de un dispositivo conectado?

Mi hijo adolescente y yo estamos jugando a un juego de piratería. He instalado un enrutador WiFi con controles parentales, filtrado MAC, VPN, etc. Le bloqueo Internet, él intenta escapar de la jaula (por ahora solo estoy bloqueando de una manera que yo mismo sé cómo romper). ).

Finalmente llegó el momento de utilizar el filtrado MAC. Después de algunos días, descubrió cómo falsificar MAC. La cuestión es que mi enrutador tiene una página de "información del dispositivo" para cada dispositivo conectado, y de alguna manerasabeque esto sucediera. Muestra el dispositivo atacante bajo la misma entrada y todas las direcciones MAC conocidas de ese atacante. Aquí está el resultado (las direcciones son solo ejemplos):

Name:                           Attacker's Computer
Manufacturer:   
Model:  
OS:                             Windows

IP Address (Wireless)-1:        192.168.1.175
IPv6 Address (Wireless)-1:      --
MAC Address:                    00:11:22:33:44:55

IP Address (Offline)-2:         --
IPv6 Address (Offline)-2:       --
MAC Address:                    11:22:33:44:55:66

IP Address (Offline)-3:         --
IPv6 Address (Offline)-3:       --
MAC Address:                    22:33:44:55:66:77

Las direcciones 00:11:22:33:44:55 y 11:22:33:44:55:66 están falsificadas. La dirección del fabricante es 22:33:44:55:66:77.

¿Cómo puede saber esto mi enrutador? ¿Qué característica de protocolo utiliza para detectar que el tráfico proviene de la misma computadora que usaba la MAC anterior? Si te ayuda, el enrutador en cuestión es un Linksys WRT1200AC.

Respuesta1

Probablemente falsificó su MAC, pero no cambió su IP usando la nueva MAC, por lo que se muestran juntas en su pantalla de estado.

Es posible que necesites instalar un proxy si realmente deseas limitar el acceso. Si el proxy es la única máquina que puede acceder a Internet, entonces obliga a su uso. Luego, el proxy puede tener autenticación por usuario con listas blancas, listas negras y limitaciones de hora del día por usuario.

Su otra opción es incluir en la lista negra TODAS las direcciones MAC y luego incluir en la lista blanca las que desea que tengan acceso a Internet.

Respuesta2

Hay muchas formas de detectar una dirección MAC inalámbrica falsificada. Uno de los cuales es utilizar la intensidad de la señal del cliente. Esto funciona eficazmente para clientes estacionarios.

Otro método consiste en comparar las características físicas del transceptor del cliente.

... la información de la capa física es inherente a las características de la radio y al entorno físico, lo que la hace mucho más difícil de falsificar y puede usarse para diferenciar dispositivos. Hall y cols. utiliza los patrones en el dominio de la frecuencia de la porción transitoria de las señales de radiofrecuencia (RF), como una huella digital, para identificar de forma única un transceptor. Fuente

La fuente citada también contiene un poco más de información sobre la detección de suplantación de MAC.

información relacionada