LabEx
EntrerRejoindre

Contourner le filtrage d'adresses MAC sur un réseau

Beginner
Pratiquer maintenant

Introduction

Le filtrage par adresse MAC est une méthode de sécurité réseau où un routeur ou un point d'accès est configuré pour n'accepter les connexions que des appareils possédant des adresses MAC spécifiques. Bien qu'il puisse dissuader les intrus occasionnels, ce n'est pas une mesure de sécurité robuste car les adresses MAC peuvent être facilement modifiées, ou "usurpées" (spoofed).

Dans ce laboratoire, vous apprendrez comment contourner le filtrage par adresse MAC. Vous identifierez d'abord l'adresse MAC d'un client déjà autorisé en inspectant un scan réseau, puis vous utiliserez l'outil macchanger pour modifier l'adresse MAC de votre propre interface réseau afin qu'elle corresponde à celle de l'appareil autorisé. Ce processus démontre une technique fondamentale en matière de tests d'intrusion réseau et souligne l'importance d'utiliser des protocoles de sécurité plus robustes tels que WPA2/WPA3.

Identifier l'adresse MAC d'un client autorisé à partir d'un scan airodump-ng

Dans cette étape, votre objectif est de trouver l'adresse MAC d'un appareil déjà autorisé à se connecter au réseau cible. Dans un scénario réel, vous utiliseriez un outil comme airodump-ng pour capturer le trafic réseau en direct. Pour ce laboratoire, nous avons fourni un fichier de scan pré-capturé qui simule ce processus.

Les résultats du scan sont enregistrés dans un fichier CSV (Comma-Separated Values). Examinons ce fichier pour trouver les informations nécessaires. Le fichier est situé dans ~/project/scans/network-scan-01.csv.

Utilisez la commande cat pour afficher le contenu du fichier :

cat ~/project/scans/network-scan-01.csv

Vous verrez une sortie similaire à celle-ci :

BSSID, First time seen, Last time seen, channel, Speed, Privacy, Cipher, Authentication, Power, ## beacons, ## IV, LAN IP, id-length, ESSID, Key,Station MAC, First time seen, Last time seen, Power, ## packets, BSSID, Probed ESSIDs
00:11:22:33:44:55, 2023-10-27 10:00:00, 2023-10-27 10:05:00, 6, 54, WPA2, CCMP, PSK, -50, 100, 50, 192.168.1.1, 10, FilteredNet,,AA:BB:CC:DD:EE:FF, 2023-10-27 10:01:00, 2023-10-27 10:04:50, -45, 1234, 00:11:22:33:44:55,

Dans cette sortie, recherchez la colonne Station MAC. Cette colonne liste les adresses MAC des appareils clients connectés au réseau. L'adresse MAC que nous devons cloner est AA:BB:CC:DD:EE:FF. Notez cette adresse pour les étapes suivantes.

Désactiver votre interface sans fil avec ifconfig

Dans cette étape, vous allez préparer votre interface réseau pour la modification de l'adresse MAC. Avant de pouvoir modifier l'adresse MAC, l'interface doit être temporairement désactivée. Nous utiliserons la commande ifconfig pour cela, qui est un outil classique pour la configuration des interfaces réseau.

Tout d'abord, identifions votre interface réseau et visualisons son adresse MAC actuelle. Dans cet environnement de laboratoire, nous utiliserons l'interface eth0.

Exécutez la commande suivante pour voir les détails de eth0 :

ifconfig eth0

La sortie ressemblera à ceci. Notez le champ ether, qui indique l'adresse MAC matérielle actuelle.

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)
        RX packets 8  bytes 696 (696.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Maintenant, désactivez l'interface eth0 en utilisant l'argument down. Vous avez besoin de privilèges sudo pour modifier l'état des interfaces réseau.

sudo ifconfig eth0 down

Cette commande ne produira aucune sortie en cas de succès. Vous pouvez vérifier que l'interface est désactivée en exécutant à nouveau ifconfig eth0 ; vous remarquerez que le drapeau UP a disparu de la première ligne.

Cloner l'adresse MAC autorisée à l'aide de macchanger --mac

Dans cette étape, vous utiliserez l'utilitaire macchanger pour modifier l'adresse MAC de votre interface à celle que vous avez identifiée précédemment. L'interface réseau étant désactivée, vous pouvez maintenant modifier ses propriétés en toute sécurité.

L'outil macchanger vous permet de visualiser et de définir l'adresse MAC d'une interface réseau. Nous utiliserons l'option --mac pour définir une adresse spécifique.

Utilisez la commande suivante pour changer l'adresse MAC de eth0 en AA:BB:CC:DD:EE:FF. N'oubliez pas d'utiliser sudo, car il s'agit d'une opération privilégiée.

sudo macchanger --mac AA:BB:CC:DD:EE:FF eth0

Après avoir exécuté la commande, macchanger rapportera les modifications. La sortie devrait ressembler à ceci :

Current MAC:   02:42:ac:11:00:02 (Unknown)
Permanent MAC: 02:42:ac:11:00:02 (Unknown)
New MAC:       aa:bb:cc:dd:ee:ff (UNKNOWN)

Cette sortie confirme que votre adresse MAC a été usurpée avec succès. L'Permanent MAC est l'adresse matérielle d'origine, tandis que le New MAC est celle actuellement active sur l'interface.

Réactiver votre interface sans fil avec ifconfig

Dans cette étape, vous allez remettre l'interface réseau en ligne avec sa nouvelle adresse MAC. Une fois l'adresse MAC modifiée, l'interface doit être réactivée pour appliquer les changements et lui permettre de communiquer sur le réseau.

Utilisez la commande ifconfig avec l'argument up pour réactiver l'interface eth0 :

sudo ifconfig eth0 up

Cette commande ne devrait produire aucune sortie. Pour confirmer que l'interface est active et possède la nouvelle adresse MAC, exécutez ifconfig eth0 une dernière fois :

ifconfig eth0

Examinez la sortie. Vous devriez voir que le champ ether affiche maintenant votre nouvelle adresse MAC usurpée, et que le drapeau UP est de retour sur la première ligne.

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether aa:bb:cc:dd:ee:ff  txqueuelen 0  (Ethernet)
        RX packets 8  bytes 696 (696.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Votre interface est maintenant active et usurpe l'identité de l'appareil autorisé.

Vérifier votre capacité à vous connecter au réseau filtré

Dans cette dernière étape, vous allez vérifier que vos actions ont été couronnées de succès. Dans un scénario réel, vous tenteriez maintenant de vous connecter au réseau sans fil filtré par adresse MAC. Comme l'adresse MAC de votre appareil correspond désormais à celle figurant sur la liste d'autorisation du réseau, la connexion serait acceptée.

Étant donné que nous sommes dans un environnement simulé, nous ne pouvons pas nous connecter à un véritable réseau Wi-Fi. Nous allons plutôt exécuter un script local pour vérifier si l'adresse MAC de eth0 est correctement définie sur l'adresse cible.

Tout d'abord, créez un petit script shell pour effectuer cette vérification. Utilisez l'éditeur nano pour créer un fichier nommé check_connection.sh :

nano check_connection.sh

Maintenant, copiez et collez le contenu du script suivant dans l'éditeur nano :

#!/bin/bash
CURRENT_MAC=$(ip addr show eth0 | grep 'link/ether' | awk '{print $2}' | tr '[:lower:]' '[:upper:]')
TARGET_MAC="AA:BB:CC:DD:EE:FF"

if [ "$CURRENT_MAC" == "$TARGET_MAC" ]; then
  echo "Connection successful! Your device is now authorized on the network."
  echo "Current MAC: $CURRENT_MAC"
else
  echo "Connection failed. Your MAC address does not match an authorized device."
  echo "Current MAC: $CURRENT_MAC"
  echo "Expected MAC: $TARGET_MAC"
fi

Enregistrez le fichier et quittez nano en appuyant sur Ctrl+X, puis Y, et enfin Entrée.

Ensuite, rendez le script exécutable :

chmod +x check_connection.sh

Enfin, exécutez le script pour vérifier l'état de votre connexion :

./check_connection.sh

Si vous avez suivi toutes les étapes correctement, vous verrez le message de succès :

Connection successful! Your device is now authorized on the network.
Current MAC: AA:BB:CC:DD:EE:FF

Cela confirme que vous avez usurpé l'adresse MAC avec succès.

Résumé

Dans ce laboratoire, vous avez démontré avec succès comment contourner le filtrage d'adresses MAC sur un réseau. Vous avez appris un processus complet, étape par étape, qui est fondamental pour les tests de sécurité réseau.

Vous y êtes parvenu en :

  1. Identifiant l'adresse MAC d'un client autorisé à partir d'un scan réseau simulé.
  2. Désactivant votre interface réseau à l'aide de ifconfig.
  3. Clonant l'adresse MAC autorisée sur votre interface avec macchanger.
  4. Réactivant l'interface réseau pour appliquer la nouvelle adresse.
  5. Vérifiant que votre nouvelle adresse MAC vous accorderait l'accès.

Le point essentiel à retenir est que le filtrage d'adresses MAC est une forme de "sécurité par obscurité" et ne devrait pas être la seule ligne de défense pour un réseau sans fil. Pour une sécurité robuste, utilisez toujours des protocoles de chiffrement forts comme WPA2 ou WPA3 avec un mot de passe complexe et unique.