Meu filho adolescente e eu estamos jogando um jogo de hacking. Instalei um roteador WiFi com controle dos pais, filtragem MAC, VPN, etc. Bloqueio a Internet para ele, ele tenta sair da gaiola (por enquanto só estou bloqueando de uma forma que eu mesmo sei quebrar ).
Eventualmente chegou a hora de usar a filtragem MAC. Depois de alguns dias ele descobriu como fazer falsificação de MAC. O problema é que meu roteador tem uma página de “informações do dispositivo” para cada dispositivo conectado e, de alguma forma,sabeque isso aconteceu. Ele mostra o dispositivo invasor na mesma entrada e todos os endereços MAC conhecidos desse invasor. Aqui está o resultado (os endereços são apenas exemplos):
Name: Attacker's Computer
Manufacturer:
Model:
OS: Windows
IP Address (Wireless)-1: 192.168.1.175
IPv6 Address (Wireless)-1: --
MAC Address: 00:11:22:33:44:55
IP Address (Offline)-2: --
IPv6 Address (Offline)-2: --
MAC Address: 11:22:33:44:55:66
IP Address (Offline)-3: --
IPv6 Address (Offline)-3: --
MAC Address: 22:33:44:55:66:77
Os endereços 00:11:22:33:44:55 e 11:22:33:44:55:66 são falsificados. O endereço do fabricante é 22:33:44:55:66:77.
Como meu roteador pode saber disso? Qual recurso de protocolo ele está usando para detectar que o tráfego vem do mesmo computador que estava usando o MAC antigo? Se ajudar, o roteador em questão é um Linksys WRT1200AC.
Responder1
Ele provavelmente falsificou seu MAC, mas não alterou seu IP usando o novo MAC, então eles aparecem juntos na sua tela de status.
Pode ser necessário instalar um proxy se realmente quiser limitar o acesso. Se o proxy for a única máquina que pode acessar a Internet, você força seu uso. O proxy pode então ter autenticação por usuário com listas de permissões, listas negras e limitações de horário por usuário.
Sua outra opção é colocar TODOS os endereços MAC na lista negra e, em seguida, colocar na lista branca aqueles que você deseja que tenham acesso à Internet.
Responder2
Há muitas maneiras de detectar um endereço MAC sem fio falsificado. Uma delas é usar a intensidade do sinal do cliente. Isso funciona de forma eficaz para clientes estacionários.
Outro método é comparar as características físicas do transceptor do cliente.
... as informações da camada física são inerentes às características do rádio e ao ambiente físico, tornando-as muito mais difíceis de falsificar e podem ser usadas para diferenciar dispositivos. Hall et al. usa os padrões no domínio da frequência da porção transitória dos sinais de radiofrequência (RF), como uma impressão digital, para identificar exclusivamente um transceptor. Fonte
A fonte citada também contém um pouco mais de informações sobre a detecção de falsificação de MAC.