عنوان Ethernet MAC كرمز تفعيل للجهاز؟
https://stackoverflow.com/questions/30145
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لنفترض أنك قمت بنشر أجهزة متصلة بالشبكة (أجهزة كمبيوتر صغيرة الحجم) في الميدان.أنت تريد السماح لهذه الأجهزة بالاتصال بالمنزل بعد تشغيلها، ثم يتم التعرف عليها وتنشيطها بواسطة المستخدمين النهائيين.
تتضمن خطتنا الحالية قيام المستخدم بإدخال عنوان MAC في صفحة التنشيط على موقع الويب الخاص بنا.لاحقًا، سيقوم برنامجنا (الذي يعمل على الصندوق) بقراءة العنوان من الواجهة وإرساله في حزمة "الاتصال بالمنزل".إذا تطابقت، يتم تفعيل استجابة الخادم مع معلومات العميل والمربع.
نحن نحب هذا الأسلوب لأنه من السهل الوصول إليه، وعادةً ما تتم طباعته على ملصقات خارجية (متطلبات لجنة الاتصالات الفيدرالية؟).
أي مشاكل يجب الحذر منها؟(الجهاز المستخدم صغير الحجم لذا فإن جميع بطاقات NIC وما إلى ذلك مدمجة وسيكون من الصعب جدًا تغييرها.لا يتمتع العملاء عادةً بإمكانية الوصول المباشر إلى نظام التشغيل بأي شكل من الأشكال).
أعلم أن Microsoft تقوم ببعض وظائف التجزئة الغامضة المجنونة لتنشيط Windows باستخدام معرفات جهاز PCI وحجم الذاكرة وما إلى ذلك.لكن هذا يبدو مبالغة بالنسبة لاحتياجاتنا.
--
@Neall بشكل أساسي، من خلال الاتصال بخادمنا، ولأغراض هذه المناقشة، يمكنك الاتصال بنا بالشركة المصنعة.
نيل على حق، نحن فقط نستخدم العنوان كقيمة ثابتة.سنقرأها ونرسلها ضمن حزمة أخرى (على سبيل المثال HTTP POST)، دون الاعتماد على الحصول عليها بطريقة أو بأخرى من إطارات Ethernet.
المحلول
لا أعتقد أن هناك أي شيء سحري فيما تفعله هنا - ألا يمكن وصف ما تفعله بأنه:
"في مرحلة الإنتاج، نقوم بنسخ رقم فريد في كل جهاز من أجهزتنا والذي يمكن للمستخدم النهائي قراءته (موجود على الملصق) ويمكن للمعالج الداخلي الوصول إليه.يتعين على مستخدمينا إدخال هذا الرقم في موقعنا على الويب مع تفاصيل بطاقة الائتمان الخاصة بهم، ثم يتصل المربع بعد ذلك بالموقع للحصول على إذن للعمل"
"من قبيل الصدفة نستخدم أيضًا هذا الرقم كعنوان MAC لحزم الشبكة حيث يتعين علينا تعيين ذلك بشكل فريد أثناء الإنتاج على أي حال، لذلك وفر علينا تكرار هذا الجزء من العمل"
أود أن أقول أن الخطرين الواضحين هما:
يقوم الأشخاص باختراق جهازك وتغيير هذا العنوان إلى عنوان قام شخص آخر بتنشيطه بالفعل.يعتمد احتمال حدوث ذلك على العلاقة بين مدى صعوبة الأمر ومدى تكلفة سرقته.قد ترغب في التفكير في مدى سهولة الحصول على ملف ترقية البرنامج الثابت وإخراج الكود منه.
يستخدم شخص ما مجموعة من قواعد جدار الحماية/جهاز التوجيه وقليلًا من البرامج المخصصة لإنشاء خادم يكرر عملية التشغيل لك "خادم المصادقة" ويمنح الإذن للجهاز للمتابعة.يمكنك جعل هذا الأمر أكثر صعوبة من خلال مزيج من التجزئة/PKE كجزء من البروتوكول.
كما هو الحال دائمًا، فإن بعض الاختراقات المملة والمكلفة لمرة واحدة ليست ذات صلة إلى حد كبير، ما لا تريده هو فصل دراسي يمكن توزيعه عبر الإنترنت على كل سارق.
نصائح أخرى
لا أعتقد أن قابلية الانتحال المعروفة لعناوين MAC تمثل مشكلة في هذه الحالة.أعتقد أن القرص يريد فقط استخدامها لتحديد الهوية الأولية.يمكن للجهاز قراءة عنوان MAC الخاص به، ويمكن للمثبت (طالما أنه مطبوع على الملصق) قراءة نفس الرقم ومعرفة، "حسنًا - هذا هو المربع الذي وضعته في الموقع أ."
تعديل - هل سيتم استدعاء هذه المربعات إلى خادم الشركة المصنعة، أو خادم الشركة/الشخص الذي يستخدمها (أم أنها نفس الشيء في هذه الحالة)؟
يعد عنوان MAC فريدًا مثل الرقم التسلسلي المطبوع على دليل/ملصق.
تقوم Microsoft بإجراء التجزئة لمنع انتحال عنوان MAC، وللسماح بمزيد من الخصوصية.
باستخدام نهج MAC الوحيد، يمكنك بسهولة مطابقة الجهاز مع العميل من خلال التواجد في نفس الشبكة الفرعية فقط.يمنع التجزئة ذلك، من خلال عدم شفافية المعايير المستخدمة وعدم وجود طريقة لإجراء هندسة عكسية للأجزاء الفردية.
(راجع تجزئة كلمة المرور)
من منظور أمني، أعلم أنه من الممكن انتحال جهاز MAC، على الرغم من أنني لست متأكدًا تمامًا من مدى صعوبة ذلك أو ما ينطوي عليه.
بخلاف ذلك، إذا لم يكن لدى العملاء إمكانية الوصول بسهولة إلى الأجهزة أو نظام التشغيل، فيجب أن تكون آمنًا إلى حد ما عند القيام بذلك...ربما يكون من الأفضل وضع ملصق تحذيري يفيد بأن العبث بأي شيء سيؤدي إلى تعطيل الاتصال بالخادم.
