Possibile Falla di sicurezza nella gestione di un Router



Creato da Russo (LordTzeentch) Alessandro per Mentedigitale.org
Concesso a “Il Connettivista” – 28/03/2010

Vorrei spiegarvi una cosa interessante, su come si potrebbe attaccare un router configurato per riconoscere un pc tramite indirizzo MAC (indirizzo di rete), e capire come potersi difendere da tali attacchi. Ma prima voglio fare una breve (si fa per dire) premessa sugli indirizzi MAC.
L’acronimo MAC, significa Media Access Control e viene utilizzato per l’accesso al mezzo fisico dal livello datalink secondo lo standard ISO/OSI.
Come a tutti è noto, ogni scheda di rete in commercio ha assegnato un identificativo univoco ad ogni scheda di rete ethernet prodotta al mondo, denominato ‘MAC Address’ (Indirizzo MAC).
L’indirizzo MAC si può trovare in qualsiasi interfaccia, sia Ethernet che Wi-Fi, pertanto viene chiamato anche indirizzo fisico, indirizzo ethernet o indirizzo LAN.
L’indirizzo MAC ha una lunghezza pari a 48 bit, pari a 6 byte (12 numeri in esadecimale).
L’indirizzo MAC, in pratica, rappresenta un nome per un particolare dispositivo di rete:
per esempio, avendo due schede di rete in due diversi computer, avranno due diversi nomi (e quindi diversi indirizzi MAC), così come avranno nomi diversi una scheda Ethernet ed una scheda wireless posizionate nel medesimo computer.
Nel modello ISO/OSI, che è uno standard definito nel 1978 che definisce una pila di protocolli di comunicazione, distribuiti in sette livelli, l’indirizzo MAC viene inserito tra i protocolli di rete che operano al livello 2;
la maggior parte dei protocolli di livello 2 usa uno dei tre spazi di numerazione regolati dall’IEEE: MAC-48, EUI-48, e EUI-64. Nelle reti di oggi, l’indirizzo MAC viene convertito in un indirizzo di protocollo di livello 3, il conosciuto indirizzo IP.
Nei sette Livelli del modello ISO/OSI troviamo il primo livello, che è quello ‘fisico’, mentre il settimo, quello più ‘in alto’, è quello ‘applicativo’,
Il compito della conversione dagli indirizzi di livello 3 come l’Internet Protocol agli indirizzi MAC di livello 2 è comunemente demandato all’ARP.
Nelle reti broadcast come l’Ethernet, il MAC address permette di identificare univocamente ciascun host e permette di contrassegnare i frame come destinati a specifici host. Esso costituisce perciò, all’interno del Livello datalink, la base su cui poggiano i protocolli superiori del modello OSI.
In origine, l’indirizzo MAC (adesso chiamato ufficialmente MAC-48), era chiamato Indirizzo MAC IEEE 802, quindi l’attuale MAC-48 deriva dalla specifica dell’Ethernet, in quanto, chi progettò inizialmente l’Ethernet, ebbe la previdenza di utilizzare uno spazio per gli indirizzi di 48 bit, quindi oggi è possibile disporre di ben 248 possibili indirizzi MAC, il che non è poco, considerando che i 48 bit sono suddivisi in 12 cifre esadecimali, un esempio di indirizzo MAC può essere 4C-6F-72-64-54-7A, quindi, 248 indirizzi MAC, sarebbero 281.474.976.710.656 combinazioni, quindi altrettante schede ethernet, un numero che è praticamente impossibile raggiungere prima che le schede ethernet cambino standard.
Vediamo in dettaglio che cosa sono quei numeri:
le prime 6 cifre individuano il produttore dell’interfaccia di rete, mentre le successive corrispondono al numero di serie della scheda stessa.
L’indirizzo MAC si scrive normalmente in 6 ottetti separati da un trattino, come abbiamo visto nel precedente esempio (4C-6F-72-64-54-7A) ed i primi 3 ottetti sono detti OUI (Organizationally Unique Identifier).
Questo tipo di indirizzi, solitamente, si preferisce identificarli in esadecimale per differenziarli dagli indirizzi IP che usano la notazione decimale.
Ogni scheda ha, quindi, un indirizzo unico perché i primi 24 bit sono identificativi della casa produttrice e i successivi della scheda.
In questo modo ogni casa produttrice ha a disposizione 224 indirizzi, quindi può produrre più di 16 milioni di schede;
se un produttore ne produce meno, gli indirizzi (a 48 bit) non assegnati vengono persi, non potendo essere utilizzati da altri costruttori.
Quindi, si comprende facilmente, come l’indirizzo MAC non cambi se si sposta una scheda di rete da una LAN ad un’altra, a differenza dell’indirizzo IP, che invece può cambiare nel caso che venga assegnato dal DHCP.
Bene, adesso, dopo aver scritto un mezzo romanzo sulle schede Ethernet, volevo farvi notare, come un computer, connesso ad un router, sia tramite cavi di rete, che con Wi-Fi, venga riconosciuto dal router, che è stato configurato per gestire l’indirizzo MAC, e come il router possa essere attaccato, facendogli credere che la connessione avvenga dal computer dell’amministratore…
In poche e semplici parole, supponiamo di conoscere o poter reperire l’indirizzo MAC della macchina administrator, (che non sto qui a spiegarvi come si fa perché esula dal contesto dell’articolo) possiamo modificare l’indirizzo MAC della nostra scheda Ethernet in modo che il router, dopo la nostra connessione, possa riconoscere la nostra macchina come macchina con permessi privilegiati, assegnare l’ip corretto tramite il DHCP e quindi darci accesso alla rete o a Internet!
In realtà, dopo la connessione ad un router, avendo un MAC Address uguale per entrambe le macchine, e supponendo che le politiche di gestione MAC del router, abbiano qualche falla, in quanto, generalmente i router non gestiscono i doppi MAC o l’amministratore non fa caso ad una possibilità di avere un doppio MAC Address, appunto per l’improbabilità di trovarne due uguali, la macchina che è già connessa al router, “cade”, cedendo la rete alla macchina che ha causato il conflitto di indirizzo MAC sulla macchina connessa in precedenza…
L’operazione su linux è possibile tramite il comando ifconfig …
praticamente il comando si utilizza nel seguente modo:

sudo ifconfig hw

es. sudo ifconfig eth0 hw ether 4C:6F:72:64:54:7A
MAC che si vuole assegnare con forma XX:XX:XX:XX:XX:XX
dove è eth0, è ether ed è l’indirizzo

oppure utilizzando un software: GNU MAC Changer (se cercate su google trovate altre informazioni su tale software)

su Windows XP, invece, si può cambiare MAC Address, ricercando e modificando una chiave nel registro di sistema, che comunque non si trova sempre nello stesso posto, per ovvie ragioni. per essere però sicuri di cambiare il MAC Address possiamo farlo tramite software, in questo caso, servendosi di una semplice utility freeware chiamata Macshift, basata su riga di comando. (http://devices.natetrue.com/macshift/macshift.zip)

Spero di non essere stato troppo noioso e di aver spiegato abbastanza bene il concetto sulla sicurezza…

che non è mai troppa😛

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: