Địa chỉ MAC Ethernet làm mã kích hoạt cho một thiết bị?

Question

Giả sử bạn triển khai một thiết bị gắn mạng (máy tính có định dạng nhỏ) trong trường. Bạn muốn cho phép chúng gọi về nhà sau khi được bật nguồn, sau đó được xác định và kích hoạt bởi người dùng cuối.

Gói hiện tại của chúng tôi liên quan đến việc người dùng nhập địa chỉ MAC vào trang kích hoạt trên trang web của chúng tôi. Sau đó phần mềm của chúng tôi (chạy trên hộp) sẽ đọc địa chỉ từ giao diện và truyền điều này trong gói "gọi về nhà". Nếu nó khớp, phản hồi của máy chủ với thông tin khách hàng và hộp được kích hoạt.

Chúng tôi thích phương pháp này vì dễ truy cập và thường được in trên nhãn bên ngoài (yêu cầu FCC?).

Có bất kỳ vấn đề nào cần xem không? (Phần cứng được sử dụng là yếu tố hình thức nhỏ để tất cả các NIC, vv được nhúng và sẽ rất khó thay đổi. Khách hàng thường không có quyền truy cập trực tiếp vào hệ điều hành theo bất kỳ cách nào).

Tôi biết Microsoft thực hiện một số chức năng băm mờ ảo để kích hoạt Windows bằng ID thiết bị PCI, kích thước bộ nhớ, v.v ... Nhưng dường như quá mức cần thiết cho nhu cầu của chúng tôi.

-

@Neall Về cơ bản, gọi vào máy chủ của chúng tôi, vì mục đích của cuộc thảo luận này, bạn có thể gọi cho chúng tôi nhà sản xuất.

Neall là chính xác, chúng tôi chỉ sử dụng địa chỉ dưới dạng hằng số. Chúng ta sẽ đọc nó và truyền nó trong một gói khác (giả sử HTTP POST), không phụ thuộc vào việc nhận nó bằng cách nào đó từ các khung Ethernet.

Answer 1

Tôi không nghĩ rằng có điều gì kỳ diệu về những gì bạn đang làm ở đây - có thể không phải những gì bạn đang làm được mô tả như:

"Tại sản xuất chúng tôi ghi một số duy nhất vào mỗi thiết bị của chúng tôi mà cả hai đều có thể đọc được bởi người dùng cuối (trên nhãn) và có thể truy cập vào bộ xử lý nội bộ.Người dùng của chúng tôi phải nhập số này vào trang web của chúng tôi cùng với chi tiết thẻ tín dụng của họ và hộp sau đó liên hệ với trang web để được phép hoạt động "

" Thật trùng hợp chúng tôi cũng sử dụng số này làm địa chỉ MAC cho mạng gói như chúng ta phải duy nhất gán rằng trong sản xuất anyway, do đó nó cứu chúng ta sao chép chút công việc này"

tôi có thể nói hai mối nguy hiểm rõ ràng là:

1. dân hack xung quanh với thiết bị và thay đổi của bạn địa chỉ này đến địa chỉ mà người khác có đã sẵn sàng kích hoạt. Cho dù điều này có khả năng xảy ra hay không phụ thuộc vào một số mối quan hệ giữa mức độ khó khăn của nó và mức độ đắt tiền của bất kỳ thứ gì họ có thể ăn cắp. Bạn có thể muốn suy nghĩ về cách dễ dàng họ có thể lấy một tập tin nâng cấp firmware và lấy mã ra khỏi nó.

2. Ai đó sử dụng kết hợp các quy tắc tường lửa/bộ định tuyến và một chút phần mềm tùy chỉnh để tạo máy chủ sao chép hoạt động của 'máy chủ xác thực' 'và cấp quyền cho thiết bị tiếp tục. Bạn có thể làm điều này khó hơn với một số kết hợp của băm/PKE như là một phần của giao thức.

Như bao giờ hết, một số tẻ nhạt, tốn kém một lần hack là hầu như không liên quan, những gì bạn không muốn là một lớp-break có thể được phân phối qua internet cho mọi dweep ăn trộm.

Answer 2

Từ quan điểm bảo mật, tôi biết rằng có thể giả mạo MAC, mặc dù tôi không hoàn toàn chắc chắn mức độ khó khăn của nó hoặc những gì nó đòi hỏi. Nếu không, nếu khách hàng không có quyền truy cập dễ dàng vào phần cứng hoặc hệ điều hành, bạn nên làm việc này khá an toàn ... có lẽ tốt nhất là đặt một nhãn dán cảnh báo khi nói rằng mọi thứ sẽ làm gián đoạn giao tiếp với máy chủ.

Answer 3

Tôi không nghĩ rằng tính giả mạo nổi tiếng của địa chỉ MAC là một vấn đề trong trường hợp này. Tôi nghĩ rằng tweakt chỉ muốn sử dụng chúng để nhận dạng ban đầu. Thiết bị có thể đọc địa chỉ MAC của chính nó và trình cài đặt có thể (miễn là nó được in trên nhãn) đọc cùng một số và biết, "OK - đây là hộp mà tôi đặt ở vị trí A."

tweakt - các hộp này sẽ gọi vào máy chủ của nhà sản xuất hay máy chủ của công ty/người đang sử dụng chúng (hoặc là những điều tương tự trong trường hợp này)?

Answer 4

Địa chỉ MAC là duy nhất như số sê-ri được in trên sổ tay/nhãn dán.

Microsoft không băm để ngăn chặn giả mạo địa chỉ MAC và để cho phép bảo mật hơn một chút.

Với cách tiếp cận MAC duy nhất, bạn có thể dễ dàng kết hợp thiết bị với khách hàng bằng cách chỉ ở cùng một mạng con. Hàm băm ngăn cản điều đó, bằng cách không rõ ràng về các tiêu chí nào được sử dụng và không có cách nào để đảo ngược các phần riêng lẻ.

(xem băm mật khẩu)