Contornar Filtragem de Endereço MAC com macchanger no Linux

Introdução

A filtragem de endereços MAC é um método de segurança de rede onde um roteador ou ponto de acesso é configurado para aceitar conexões apenas de dispositivos com endereços MAC específicos. Embora possa dissuadir intrusos casuais, não é uma medida de segurança robusta porque os endereços MAC podem ser facilmente alterados, ou "spoofed" (falsificados).

Neste laboratório, você aprenderá como contornar a filtragem de endereços MAC. Primeiro, você identificará o endereço MAC de um cliente já autorizado inspecionando uma varredura de rede e, em seguida, usará a ferramenta macchanger para alterar o endereço MAC da sua própria interface de rede para corresponder ao autorizado. Este processo demonstra uma técnica fundamental em testes de penetração de rede e destaca a importância de usar protocolos de segurança mais fortes como WPA2/WPA3.

Identificar o MAC de um Cliente Autorizado a partir de uma Varredura airodump-ng

Nesta etapa, seu objetivo é encontrar o endereço MAC de um dispositivo que já está autorizado a se conectar à rede alvo. Em um cenário do mundo real, você usaria uma ferramenta como airodump-ng para capturar o tráfego de rede ao vivo. Para este laboratório, fornecemos um arquivo de varredura pré-capturado que simula este processo.

Os resultados da varredura são salvos em um arquivo CSV (Comma-Separated Values - Valores Separados por Vírgula). Vamos examinar este arquivo para encontrar as informações necessárias. O arquivo está localizado em ~/project/scans/network-scan-01.csv.

Use o comando cat para exibir o conteúdo do arquivo:

cat ~/project/scans/network-scan-01.csv

Você verá uma saída semelhante a esta:

BSSID, First time seen, Last time seen, channel, Speed, Privacy, Cipher, Authentication, Power, ## beacons, ## IV, LAN IP, id-length, ESSID, Key,Station MAC, First time seen, Last time seen, Power, ## packets, BSSID, Probed ESSIDs
00:11:22:33:44:55, 2023-10-27 10:00:00, 2023-10-27 10:05:00, 6, 54, WPA2, CCMP, PSK, -50, 100, 50, 192.168.1.1, 10, FilteredNet,,AA:BB:CC:DD:EE:FF, 2023-10-27 10:01:00, 2023-10-27 10:04:50, -45, 1234, 00:11:22:33:44:55,

Nesta saída, procure pela coluna Station MAC. Esta coluna lista os endereços MAC dos dispositivos clientes conectados à rede. O endereço MAC que precisamos clonar é AA:BB:CC:DD:EE:FF. Anote este endereço para as próximas etapas.

Desativar sua Interface Wireless com ifconfig

Nesta etapa, você preparará sua interface de rede para a alteração do endereço MAC. Antes de poder modificar o endereço MAC, a interface deve ser temporariamente desativada. Usaremos o comando ifconfig para isso, que é uma ferramenta clássica para configuração de interfaces de rede.

Primeiro, vamos identificar sua interface de rede e visualizar seu endereço MAC atual. Neste ambiente de laboratório, usaremos a interface eth0.

Execute o seguinte comando para ver os detalhes do eth0:

ifconfig eth0

A saída será algo semelhante a isto. Observe o campo ether, que mostra o endereço MAC de hardware atual.

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)
        RX packets 8  bytes 696 (696.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Agora, desative a interface eth0 usando o argumento down. Você precisa de privilégios de sudo para modificar os estados das interfaces de rede.

sudo ifconfig eth0 down

Este comando não produzirá nenhuma saída se for bem-sucedido. Você pode verificar se a interface está desativada executando ifconfig eth0 novamente; você notará que a flag UP desapareceu da primeira linha.

Clonar o Endereço MAC Autorizado usando macchanger --mac

Nesta etapa, você usará a utilidade macchanger para alterar o endereço MAC da sua interface para aquele que você identificou anteriormente. Com a interface de rede desativada, você agora pode modificar suas propriedades com segurança.

A ferramenta macchanger permite visualizar e definir o endereço MAC de uma interface de rede. Usaremos a opção --mac para definir um endereço específico.

Use o seguinte comando para alterar o endereço MAC do eth0 para AA:BB:CC:DD:EE:FF. Lembre-se de usar sudo, pois esta é uma operação privilegiada.

sudo macchanger --mac AA:BB:CC:DD:EE:FF eth0

Após executar o comando, o macchanger relatará as alterações. A saída deve ser semelhante a esta:

Current MAC:   02:42:ac:11:00:02 (Unknown)
Permanent MAC: 02:42:ac:11:00:02 (Unknown)
New MAC:       aa:bb:cc:dd:ee:ff (UNKNOWN)

Esta saída confirma que seu endereço MAC foi falsificado com sucesso. O Permanent MAC é o endereço de hardware original, enquanto o New MAC é o que está atualmente ativo na interface.

Reativar sua Interface Wireless com ifconfig

Nesta etapa, você colocará a interface de rede online novamente com seu novo endereço MAC. Uma vez que o endereço MAC tenha sido alterado, a interface deve ser reativada para aplicar as alterações e permitir que ela se comunique na rede.

Use o comando ifconfig com o argumento up para reativar a interface eth0:

sudo ifconfig eth0 up

Este comando não deve produzir nenhuma saída. Para confirmar que a interface está ativa e possui o novo endereço MAC, execute ifconfig eth0 mais uma vez:

ifconfig eth0

Examine a saída. Você deverá ver que o campo ether agora exibe seu novo endereço MAC falsificado, e a flag UP retornou à primeira linha.

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether aa:bb:cc:dd:ee:ff  txqueuelen 0  (Ethernet)
        RX packets 8  bytes 696 (696.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Sua interface agora está ativa e se passando pelo dispositivo autorizado.

Verificar sua Capacidade de Conectar à Rede Filtrada

Nesta etapa final, você verificará se suas ações foram bem-sucedidas. Em um cenário do mundo real, você tentaria se conectar à rede sem fio com filtro MAC. Como o endereço MAC do seu dispositivo agora corresponde a um na lista de permissões da rede, a conexão seria aceita.

Como estamos em um ambiente simulado, não podemos nos conectar a uma rede Wi-Fi real. Em vez disso, executaremos um script local para verificar se o endereço MAC do eth0 está corretamente definido para o endereço de destino.

Primeiro, crie um pequeno script shell para realizar essa verificação. Use o editor nano para criar um arquivo chamado check_connection.sh:

nano check_connection.sh

Agora, copie e cole o seguinte conteúdo do script no editor nano:

#!/bin/bash
CURRENT_MAC=$(ip addr show eth0 | grep 'link/ether' | awk '{print $2}' | tr '[:lower:]' '[:upper:]')
TARGET_MAC="AA:BB:CC:DD:EE:FF"

if [ "$CURRENT_MAC" == "$TARGET_MAC" ]; then
  echo "Connection successful! Your device is now authorized on the network."
  echo "Current MAC: $CURRENT_MAC"
else
  echo "Connection failed. Your MAC address does not match an authorized device."
  echo "Current MAC: $CURRENT_MAC"
  echo "Expected MAC: $TARGET_MAC"
fi

Salve o arquivo e saia do nano pressionando Ctrl+X, depois Y e, em seguida, Enter.

Em seguida, torne o script executável:

chmod +x check_connection.sh

Finalmente, execute o script para verificar o status da sua conexão:

./check_connection.sh

Se você seguiu todos os passos corretamente, verá a mensagem de sucesso:

Connection successful! Your device is now authorized on the network.
Current MAC: AA:BB:CC:DD:EE:FF

Isso confirma que você falsificou o endereço MAC com sucesso.

Resumo

Neste laboratório, você demonstrou com sucesso como contornar a filtragem de endereço MAC em uma rede. Você aprendeu um processo completo, passo a passo, que é fundamental para testes de segurança de rede.

Você realizou isso através de:

Identificação do endereço MAC de um cliente autorizado a partir de uma varredura simulada de rede.
Desativação da sua interface de rede usando ifconfig.
Clonagem do endereço MAC autorizado para sua interface com macchanger.
Reativação da interface de rede para aplicar o novo endereço.
Verificação de que seu novo endereço MAC lhe concederia acesso.

A principal conclusão é que a filtragem de endereço MAC é uma forma de "segurança por obscuridade" e não deve ser a única linha de defesa para uma rede sem fio. Para uma segurança robusta, sempre use protocolos de criptografia fortes como WPA2 ou WPA3 com uma senha complexa e única.

Contornar Filtragem de Endereço MAC em uma Rede