¿Dirección MAC Ethernet como código de activación para un dispositivo?

Question

Supongamos que despliega un dispositivo conectado a la red (PC de factor de forma pequeño) en el campo. Desea permitir que estos llamen a casa después de encenderlos, luego los usuarios finales los identificarán y activarán.

Nuestro plan actual implica que el usuario ingrese la dirección MAC en una página de activación en nuestro sitio web. Más tarde, nuestro software (que se ejecuta en la caja) leerá la dirección de la interfaz y la transmitirá en un paquete de "llamada a casa". Si coincide, la respuesta del servidor con la información del cliente y el cuadro están activados.

Nos gusta este enfoque porque es de fácil acceso, y por lo general se imprime en etiquetas externas (¿requisito de la FCC?).

¿Tienes problemas para tener en cuenta? (El hardware en uso es un factor de forma pequeño, por lo que todos los NIC, etc. están incrustados y serían muy difíciles de modificar. Los clientes normalmente no tienen acceso directo al sistema operativo de ninguna manera).

Sé que Microsoft hace una loca función de hash fuzzy para la activación de Windows usando ID de dispositivos PCI, tamaño de memoria, etc. Pero parece demasiado para nuestras necesidades.

-

@Neall Básicamente, poniendo en nuestro servidor, para los propósitos de esta discusión que nos puede llamar al fabricante.

Neall es correcto, solo estamos usando la dirección como una constante. Lo leeremos y lo transmitiremos dentro de otro paquete (digamos HTTP POST), sin depender de obtenerlo de alguna manera a partir de los marcos de Ethernet.

Answer 1

No creo que haya nada de mágico en lo que estás haciendo aquí - podría no lo que está haciendo puede describir como:

"En la producción quemamos un número único a cada uno de nuestros dispositivos que es legible por el usuario final (está en la etiqueta) y accesible para el procesador interno.Nuestros usuarios tienen que introducir este número en nuestro sitio web junto con sus datos de tarjetas de crédito, y la caja posteriormente contactos a la página web de la autorización para operar "

" Coincidentemente que también utilizan este número como la dirección MAC de la red los paquetes a medida que tenemos para asignar de forma única que durante la producción de todos modos, por lo que nos salvó la duplicación de este poco de trabajo"

yo diría que los dos peligros obvios son:

1. personas vaguear con el dispositivo y el cambio esta dirección a una que otra persona tiene al listo activado. Si esto es probable que suceda depende de alguna relación entre lo difícil que es y lo caro que sea lo que sea que roben. Es posible que desee pensar en cuán fácilmente pueden tomar un archivo de actualización de firmware y obtener el código.

2. Alguien utiliza una combinación de reglas de firewall/router y un poco de software a medida para generar un servidor que replica el funcionamiento de su 'Servidor de autenticación' y concede permiso al dispositivo para proceder. Podría hacer esto más difícil con alguna combinación de hash/PKE como parte del protocolo.

Como siempre, algunos tedioso, costoso corte de una sola vez es en gran medida irrelevante, lo que no quiere es una clase de ruptura que puede ser distribuido en internet a todos los dweep ladrones.

Answer 2

Desde una perspectiva de seguridad, sé que es posible falsificar un MAC, aunque no estoy del todo seguro de lo difícil que es o lo que conlleva.

De lo contrario, si los clientes no tienen fácil acceso al hardware o al sistema operativo, debería estar bastante seguro haciendo esto ... probablemente sea mejor colocar una pegatina de advertencia que diga que interferir con algo interrumpirá la comunicación con el servidor.

Answer 3

No creo que la conocida spoofability de direcciones MAC sea un problema en este caso. Creo que tweakt solo quiere usarlos para la identificación inicial. El dispositivo puede leer su propia dirección MAC, y el instalador puede (siempre que esté impreso en una etiqueta) leer el mismo número y saber, "OK, esta es la casilla que puse en la ubicación A".

tweakt - ¿Estarían llamando estas cajas al servidor del fabricante, o al servidor de la compañía/persona que las usa (o son las mismas en este caso)?

Answer 4

La dirección MAC es tan única como un número de serie impreso en un manual/etiqueta.

Microsoft hace hash para evitar la falsificación de direcciones MAC y para permitir un poco más de privacidad.

Con el único enfoque MAC, puede hacer coincidir fácilmente un dispositivo con un cliente solo estando en la misma subred. El hash lo impide, al ser opaco a los criterios que se utilizan y no hay forma de realizar ingeniería inversa de piezas individuales.

(ver contraseñas)