LabEx
LoginBeitreten

MAC-Adressfilterung in einem Netzwerk umgehen

Beginner
Jetzt üben

Einleitung

MAC-Adressfilterung ist eine Netzwerksicherheitsmethode, bei der ein Router oder Access Point so konfiguriert wird, dass er nur Verbindungen von Geräten mit spezifischen MAC-Adressen akzeptiert. Obwohl sie Gelegenheitsangreifer abschrecken kann, ist sie keine robuste Sicherheitsmaßnahme, da MAC-Adressen leicht geändert oder "gefälscht" werden können.

In diesem Lab lernen Sie, wie Sie die MAC-Adressfilterung umgehen können. Sie identifizieren zunächst die MAC-Adresse eines bereits autorisierten Clients, indem Sie einen Netzwerksuchlauf untersuchen, und verwenden dann das Tool macchanger, um die MAC-Adresse Ihrer eigenen Netzwerkschnittstelle an die autorisierte anzupassen. Dieser Prozess demonstriert eine grundlegende Technik im Network Penetration Testing und unterstreicht die Bedeutung der Verwendung stärkerer Sicherheitsprotokolle wie WPA2/WPA3.

Identifizieren der MAC-Adresse eines autorisierten Clients aus einem airodump-ng Scan

In diesem Schritt ist es Ihr Ziel, die MAC-Adresse eines Geräts zu finden, das bereits autorisiert ist, sich mit dem Zielnetzwerk zu verbinden. In einem realen Szenario würden Sie ein Tool wie airodump-ng verwenden, um Live-Netzwerkverkehr zu erfassen. Für dieses Lab haben wir eine vorab erfasste Scan-Datei bereitgestellt, die diesen Prozess simuliert.

Die Scan-Ergebnisse werden in einer CSV-Datei (Comma-Separated Values) gespeichert. Untersuchen wir diese Datei, um die notwendigen Informationen zu finden. Die Datei befindet sich unter ~/project/scans/network-scan-01.csv.

Verwenden Sie den Befehl cat, um den Inhalt der Datei anzuzeigen:

cat ~/project/scans/network-scan-01.csv

Sie sehen eine Ausgabe, die der folgenden ähnelt:

BSSID, First time seen, Last time seen, channel, Speed, Privacy, Cipher, Authentication, Power, ## beacons, ## IV, LAN IP, id-length, ESSID, Key,Station MAC, First time seen, Last time seen, Power, ## packets, BSSID, Probed ESSIDs
00:11:22:33:44:55, 2023-10-27 10:00:00, 2023-10-27 10:05:00, 6, 54, WPA2, CCMP, PSK, -50, 100, 50, 192.168.1.1, 10, FilteredNet,,AA:BB:CC:DD:EE:FF, 2023-10-27 10:01:00, 2023-10-27 10:04:50, -45, 1234, 00:11:22:33:44:55,

Suchen Sie in dieser Ausgabe nach der Spalte Station MAC. Diese Spalte listet die MAC-Adressen von Client-Geräten auf, die mit dem Netzwerk verbunden sind. Die MAC-Adresse, die wir klonen müssen, ist AA:BB:CC:DD:EE:FF. Notieren Sie sich diese Adresse für die nächsten Schritte.

Deaktivieren Ihrer drahtlosen Schnittstelle mit ifconfig

In diesem Schritt bereiten Sie Ihre Netzwerkschnittstelle auf die Änderung der MAC-Adresse vor. Bevor Sie die MAC-Adresse ändern können, muss die Schnittstelle vorübergehend deaktiviert werden. Wir verwenden dafür den Befehl ifconfig, ein klassisches Werkzeug zur Konfiguration von Netzwerkschnittstellen.

Zuerst identifizieren wir Ihre Netzwerkschnittstelle und zeigen ihre aktuelle MAC-Adresse an. In dieser Laborumgebung verwenden wir die Schnittstelle eth0.

Führen Sie den folgenden Befehl aus, um die Details von eth0 anzuzeigen:

ifconfig eth0

Die Ausgabe wird ungefähr so aussehen. Beachten Sie das Feld ether, das die aktuelle Hardware-MAC-Adresse anzeigt.

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)
        RX packets 8  bytes 696 (696.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Deaktivieren Sie nun die Schnittstelle eth0 mit dem Argument down. Sie benötigen sudo-Berechtigungen, um den Status von Netzwerkschnittstellen zu ändern.

sudo ifconfig eth0 down

Dieser Befehl erzeugt bei Erfolg keine Ausgabe. Sie können überprüfen, ob die Schnittstelle deaktiviert ist, indem Sie ifconfig eth0 erneut ausführen; Sie werden feststellen, dass das Flag UP in der ersten Zeile fehlt.

Klonen der autorisierten MAC-Adresse mit macchanger --mac

In diesem Schritt verwenden Sie das Dienstprogramm macchanger, um die MAC-Adresse Ihrer Schnittstelle auf die zuvor identifizierte zu ändern. Da die Netzwerkschnittstelle deaktiviert ist, können Sie nun sicher ihre Eigenschaften ändern.

Das Tool macchanger ermöglicht es Ihnen, die MAC-Adresse einer Netzwerkschnittstelle anzuzeigen und festzulegen. Wir werden die Option --mac verwenden, um eine bestimmte Adresse festzulegen.

Verwenden Sie den folgenden Befehl, um die MAC-Adresse von eth0 in AA:BB:CC:DD:EE:FF zu ändern. Denken Sie daran, sudo zu verwenden, da dies eine privilegierte Operation ist.

sudo macchanger --mac AA:BB:CC:DD:EE:FF eth0

Nachdem Sie den Befehl ausgeführt haben, meldet macchanger die Änderungen. Die Ausgabe sollte wie folgt aussehen:

Current MAC:   02:42:ac:11:00:02 (Unknown)
Permanent MAC: 02:42:ac:11:00:02 (Unknown)
New MAC:       aa:bb:cc:dd:ee:ff (UNKNOWN)

Diese Ausgabe bestätigt, dass Ihre MAC-Adresse erfolgreich gefälscht wurde. Die Permanent MAC ist die ursprüngliche Hardware-Adresse, während die New MAC diejenige ist, die derzeit auf der Schnittstelle aktiv ist.

Reaktivieren Ihrer drahtlosen Schnittstelle mit ifconfig

In diesem Schritt bringen Sie die Netzwerkschnittstelle mit ihrer neuen MAC-Adresse wieder online. Nachdem die MAC-Adresse geändert wurde, muss die Schnittstelle reaktiviert werden, um die Änderungen anzuwenden und die Kommunikation im Netzwerk zu ermöglichen.

Verwenden Sie den Befehl ifconfig mit dem Argument up, um die Schnittstelle eth0 zu reaktivieren:

sudo ifconfig eth0 up

Dieser Befehl sollte keine Ausgabe erzeugen. Um zu bestätigen, dass die Schnittstelle aktiv ist und die neue MAC-Adresse hat, führen Sie ifconfig eth0 noch einmal aus:

ifconfig eth0

Untersuchen Sie die Ausgabe. Sie sollten sehen, dass das Feld ether nun Ihre neue, gefälschte MAC-Adresse anzeigt und das Flag UP in der ersten Zeile zurückgekehrt ist.

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether aa:bb:cc:dd:ee:ff  txqueuelen 0  (Ethernet)
        RX packets 8  bytes 696 (696.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Ihre Schnittstelle ist nun aktiv und gibt sich als das autorisierte Gerät aus.

Überprüfen Ihrer Fähigkeit, eine Verbindung zum gefilterten Netzwerk herzustellen

In diesem letzten Schritt überprüfen Sie, ob Ihre Aktionen erfolgreich waren. In einem realen Szenario würden Sie nun versuchen, eine Verbindung zum MAC-gefilterten drahtlosen Netzwerk herzustellen. Da die MAC-Adresse Ihres Geräts nun mit einer auf der Zulassungsliste des Netzwerks übereinstimmt, würde die Verbindung akzeptiert werden.

Da wir uns in einer simulierten Umgebung befinden, können wir keine Verbindung zu einem echten Wi-Fi-Netzwerk herstellen. Stattdessen führen wir ein lokales Skript aus, um zu überprüfen, ob die MAC-Adresse von eth0 korrekt auf die Zieladresse gesetzt ist.

Erstellen Sie zunächst ein kleines Shell-Skript, um diese Überprüfung durchzuführen. Verwenden Sie den nano-Editor, um eine Datei namens check_connection.sh zu erstellen:

nano check_connection.sh

Kopieren Sie nun den folgenden Skriptinhalt und fügen Sie ihn in den nano-Editor ein:

#!/bin/bash
CURRENT_MAC=$(ip addr show eth0 | grep 'link/ether' | awk '{print $2}' | tr '[:lower:]' '[:upper:]')
TARGET_MAC="AA:BB:CC:DD:EE:FF"

if [ "$CURRENT_MAC" == "$TARGET_MAC" ]; then
  echo "Connection successful! Your device is now authorized on the network."
  echo "Current MAC: $CURRENT_MAC"
else
  echo "Connection failed. Your MAC address does not match an authorized device."
  echo "Current MAC: $CURRENT_MAC"
  echo "Expected MAC: $TARGET_MAC"
fi

Speichern Sie die Datei und beenden Sie nano, indem Sie Ctrl+X, dann Y und dann Enter drücken.

Machen Sie das Skript anschließend ausführbar:

chmod +x check_connection.sh

Führen Sie schließlich das Skript aus, um Ihren Verbindungsstatus zu überprüfen:

./check_connection.sh

Wenn Sie alle Schritte korrekt befolgt haben, sehen Sie die Erfolgsmeldung:

Connection successful! Your device is now authorized on the network.
Current MAC: AA:BB:CC:DD:EE:FF

Dies bestätigt, dass Sie die MAC-Adresse erfolgreich gefälscht haben.

Zusammenfassung

In diesem Lab haben Sie erfolgreich demonstriert, wie MAC-Adressfilterung in einem Netzwerk umgangen werden kann. Sie haben einen vollständigen, schrittweisen Prozess kennengelernt, der für Netzwerk-Sicherheitstests von grundlegender Bedeutung ist.

Sie haben dies erreicht durch:

  1. Identifizierung der MAC-Adresse eines autorisierten Clients aus einem simulierten Netzwerkscan.
  2. Deaktivierung Ihrer Netzwerkschnittstelle mit ifconfig.
  3. Klonen der autorisierten MAC-Adresse auf Ihre Schnittstelle mit macchanger.
  4. Reaktivierung der Netzwerkschnittstelle, um die neue Adresse anzuwenden.
  5. Überprüfung, ob Ihre neue MAC-Adresse Ihnen den Zugriff gewährt.

Die wichtigste Erkenntnis ist, dass MAC-Adressfilterung eine Form der "Security through Obscurity" (Sicherheit durch Verschleierung) ist und nicht die einzige Verteidigungslinie für ein drahtloses Netzwerk darstellen sollte. Für robuste Sicherheit verwenden Sie immer starke Verschlüsselungsprotokolle wie WPA2 oder WPA3 mit einem komplexen, eindeutigen Passwort.