Adresse MAC Ethernet comme code d'activation pour un appareil ?
https://stackoverflow.com/questions/30145
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Supposons que vous déployiez des appareils connectés au réseau (PC de petite taille) sur le terrain.Vous souhaitez leur permettre d'appeler chez vous après avoir été allumés, puis d'être identifiés et activés par les utilisateurs finaux.
Notre plan actuel implique que l'utilisateur saisisse l'adresse MAC dans une page d'activation de notre site Web.Plus tard, notre logiciel (exécuté sur la box) lira l'adresse de l'interface et la transmettra dans un paquet "call home".Si cela correspond, la réponse du serveur avec les informations client et la box est activée.
Nous apprécions cette approche car elle est facile d'accès et est généralement imprimée sur des étiquettes externes (exigence FCC ?).
Des problèmes à surveiller ?(Le matériel utilisé est de petite taille, donc toutes les cartes réseau, etc. sont intégrées et seraient très difficiles à modifier.Les clients n'ont normalement aucun accès direct au système d'exploitation).
Je sais que Microsoft propose une fonction de hachage floue pour l'activation de Windows à l'aide des identifiants de périphérique PCI, de la taille de la mémoire, etc.Mais cela semble excessif pour nos besoins.
--
@Neall En gros, en appelant notre serveur, aux fins de cette discussion, vous pouvez nous appeler le fabricant.
Neall a raison, nous utilisons simplement l'adresse comme constante.Nous allons le lire et le transmettre dans un autre paquet (disons HTTP POST), sans dépendre de son obtention à partir de trames Ethernet.
La solution
Je ne pense pas qu'il y ait quelque chose de magique dans ce que vous faites ici - ce que vous faites ne pourrait-il pas être décrit comme :
"Lors de la production, nous gravons un numéro unique sur chacun de nos appareils, qui est à la fois lisible par l'utilisateur final (il figure sur l'étiquette) et accessible au processeur interne.Nos utilisateurs doivent saisir ce numéro sur notre site Web ainsi que les détails de leur carte de crédit, et la boîte contacte ensuite le site Web pour obtenir l'autorisation d'opérer.
"Par coïncidence nous utilisons également ce numéro comme adresse MAC pour les paquets réseau, car nous devons de toute façon l'attribuer de manière unique pendant la production, ce qui nous a évité de dupliquer ce travail.
Je dirais que les deux dangers évidents sont :
Les gens piratent votre appareil et remplacent cette adresse par une adresse déjà activée par quelqu'un d'autre.La probabilité que cela se produise dépend d’une relation entre la difficulté et le prix de tout ce qu’ils peuvent voler.Vous voudrez peut-être réfléchir à la facilité avec laquelle ils peuvent prendre un fichier de mise à niveau du micrologiciel et en extraire le code.
Quelqu'un utilise une combinaison de règles de pare-feu/routeur et un peu de logiciel personnalisé pour générer un serveur qui reproduit le fonctionnement de ton « serveur d'authentification » et autorise l'appareil à continuer.Vous pourriez rendre cela plus difficile avec une combinaison de hachage/PKE dans le cadre du protocole.
Comme toujours, un hack ponctuel fastidieux et coûteux n'est en grande partie pas pertinent, ce que vous ne voulez pas, c'est une interruption de classe qui peut être distribuée sur Internet à tous les voleurs.
Autres conseils
Je ne pense pas que la usurpation bien connue des adresses MAC soit un problème dans ce cas.Je pense que Tweak souhaite simplement les utiliser pour une identification initiale.L'appareil peut lire sa propre adresse MAC et l'installateur peut (à condition qu'il soit imprimé sur une étiquette) lire le même numéro et savoir : "OK, c'est la boîte que j'ai placée à l'emplacement A".
ajustement - ces boîtiers appelleraient-ils le serveur du fabricant ou le serveur de l'entreprise/personne qui les utilise (ou est-ce la même chose dans ce cas) ?
L'adresse MAC est aussi unique qu'un numéro de série imprimé sur un manuel/un autocollant.
Microsoft effectue un hachage pour empêcher l'usurpation d'adresse MAC et pour permettre un peu plus de confidentialité.
Avec la seule approche MAC, vous pouvez facilement associer un appareil à un client en étant uniquement dans le même sous-réseau.Le hachage empêche cela, en étant opaque quant aux critères utilisés et en aucun moyen de procéder à une ingénierie inverse de pièces individuelles.
(voir hachage de mot de passe)
Du point de vue de la sécurité, je sais qu'il est possible d'usurper un MAC, même si je ne suis pas entièrement sûr de la difficulté ni de ce que cela implique.
Sinon, si les clients n'ont pas un accès facile au matériel ou au système d'exploitation, vous devriez être assez sûr de le faire...Il est probablement préférable de mettre un autocollant d'avertissement indiquant que jouer avec quoi que ce soit perturbera la communication avec le serveur.
