Bypass de Autenticação por MAC

Visão geral

Evasão de Autenticação por MAC (MAB) é um recurso que permite que dispositivos incapazes de realizar a autenticação empresarial padrão 802.1X (como impressoras antigas, sensores simples ou sistemas embarcados) se conectem a uma rede que, de outra forma, seria segura. O MAB concede acesso usando o endereço MAC único do dispositivo como seu único identificador contra uma lista autorizada mantida por um servidor RADIUS.

A implementação legada do MAB é vulnerável à falsificação de endereço MAC tanto na conexão entre o autenticador e o dispositivo de rede quanto na conexão entre o dispositivo de rede e o servidor RADIUS. Para eliminar o segundo vetor de ataque, uma implementação mais forte de MAB, chamada MAB-para-EAP, pode ser usada, o que efetivamente assegura a integridade do endereço MAC transmitido ao servidor RADIUS (o endereço MAC ainda pode ser falsificado no enlace entre o autenticador e o dispositivo de rede).

Este guia detalha as diferenças entre o método legado inseguro MAB Puro e a solução moderna com transporte seguro.

Terminologia e Implementações de MAB

MAB: Evasão de Autenticação por MAC

EAP: Protocolo Extensível de Autenticação

Supplicant: A entidade (como um laptop, telefone ou interface de rede) que inicia o processo de autenticação com um Autenticador para obter acesso a uma rede.

Autenticador: Uma entidade de rede (como um switch, ponto de acesso sem fio ou gateway VPN) que aplica autenticação antes de conceder a um Supplicant acesso à rede.

Servidor de Autenticação: Uma entidade de rede confiável (como um servidor RADIUS) responsável por verificar a identidade dos Supplicants verificando suas credenciais (como nomes de usuário, senhas ou certificados digitais) e determinando se estão autorizados a acessar a rede.

MAB Puro (Implementação Legada): Este método envolve o Autenticador enviando o endereço MAC do cliente para um servidor RADIUS, normalmente no Calling-Station-Id atributo RADIUS. O servidor RADIUS realiza uma busca simples e retorna um Access-Accept ou Access-Reject. O endereço MAC atua como identificador, não como uma credencial verdadeira.

MAB-para-EAP (Implementação Segura): Porque o MAB Puro carece de transporte criptograficamente seguro, muitos serviços modernos (como RADIUSaaS) exigem uma abordagem mais forte. Neste método, o Autenticador usa o endereço MAC do cliente tanto como nome de usuário quanto como senha e então tenta autenticar-se no servidor RADIUS usando um protocolo EAP seguro (por exemplo, EAP-TTLS-PAP, PEAP-MSCHAPv2). O dispositivo cliente permanece alheio ao fato de que qualquer autenticação ocorreu.

Como o MAB Puro Funciona (Base de Dados RADIUS Externa)

Quando o banco de dados de endereços MAC é mantido por um servidor RADIUS externo (a configuração empresarial comum), a seguinte sequência se aplica para o MAB Puro:

1. Um cliente não 802.1X se conecta e solicita acesso à rede.

2. O Autenticador detecta a conexão e, não detectando negociação 802.1X, inicia uma tentativa de MAB.

3. O Autenticador pega o endereço MAC do cliente (por exemplo, 00:11:22:33:44:55) e o encaminha ao servidor RADIUS em uma mensagem Access-Request mensagem. O endereço MAC é tipicamente analisado no Calling-Station-Id atributo RADIUS.

4. O servidor RADIUS verifica seu banco de dados configurado para a presença do endereço MAC.

5. Ele retorna uma Access-Accept mensagem se o MAC for encontrado (Correspondência) ou um Access-Reject se não for encontrado (Sem Correspondência).

6. Se Access-Accept for recebido, o Autenticador autoriza a porta e permite que o cliente entre na rede.

Considerações de Segurança

Em geral, o MAB oferece pouca ou nenhuma segurança e deve ser usado com extrema cautela.

• Falsificação de MAC: Endereços MAC são facilmente alterados (falsificados) na maioria dos computadores modernos e placas de rede. Um agente malicioso pode observar o endereço MAC de um dispositivo autorizado e configurar seu próprio dispositivo para usá-lo, obtendo assim acesso não autorizado.

• Identificação, Não Autenticação: O MAB é meramente uma forma de identificação do dispositivo. Ele apenas confirma qual dispositivo está se conectando, não quem o possui ou se é criptograficamente seguro.

Por causa dessas fraquezas, a maioria dos serviços modernos de autenticação baseados em nuvem (como RADIUSaaS) não suportam o MAB Puro ou protocolos legados como PAP ou CHAP. Em vez disso, eles exigem o método MAB-para-EAP onde o endereço MAC é usado como credenciais dentro de um túnel EAP criptograficamente forte.

Implementação de MAB com EAP (uma Abordagem RADIUSaaS para MAB)

Quando o MAB é configurado em um Autenticador e um dispositivo legado que não suporta 802.1X tenta solicitar acesso à rede, o switch ou ponto de acesso fingirá ser esse dispositivo e assume a autenticação em nome do cliente autenticando-se no RADIUSaaS usando um dos protocolos EAP: EAP-TTLS-PAP ou PEAP-MSCHAPv2. Como parte desse processo, o RADIUSaaS verificará se o endereço MAC está listado no banco de dados do RADIUSaaS na forma de um Usuário(nome de usuário = senha = endereço MAC). Se assim for, então uma Access-Accept mensagem é retornada, e a autenticação baseada em EAP se completa dando ao dispositivo legado acesso à rede. Como o Autenticador está estabelecendo uma conexão TLS com o RADIUSaaS, ele deve confiar no Certificado de servidor que o RADIUSaaS usa.

O uso do endereço MAC como nome de usuário/senha para acionar o EAP é uma solução específica implementada pelo Autenticador para simular o MAB enquanto utiliza protocolos EAP mais fortes.

O MAB funciona com o RADIUSaaS?

O MAB em sua implementação original usando PAP ou CHAP não funciona com o RADIUSaaS. Com as definições acima em mente, a implementação atual do RADIUSaaS pode suportar MAB desde que seu Autenticador possa autenticar-se via um dos protocolos mencionados. Tenha em mente que assim que esses protocolos suportados são usados na autenticação, nós não estamos mais contornando a autenticação, e é então que o termo mais específico MAB-para-EAP é usado.

Configuração

O MAB requer configuração tanto no Autenticador quanto no Servidor de Autenticação.

Autenticador:

• Habilite 802.1X e Evasão de Autenticação por MAC (MAB) nas portas de acesso/SSIDs específicos destinados a dispositivos não 802.1X.

• Confie no certificado do servidor RADIUS.

• Nota: As etapas de configuração são específicas do fornecedor; consulte a documentação do seu dispositivo.

Servidor de Autenticação:

• Ao implementar MAB-para-EAP, você deve criar uma regra de autorização explícita no RADIUSaaS para atribuir todos os dispositivos que se autenticam por esse método a uma VLAN de contingência com acesso de rede mínimo. Isso é essencial para aplicar o princípio do menor privilégio, impedindo que um invasor que falsificou um endereço MAC válido acesse recursos críticos da rede. A regra deve ser configurada com base nas políticas de autenticação do seu ambiente:

  • Se MAB-para-EAP for o único uso para autenticação baseada em nome de usuário/senha: Crie uma regra de autorização ampla (LAN/Wi‑Fi) que atribua qualquer dispositivo que use esse tipo de credencial à VLAN de contingência.

  • Se nome de usuário/senha for usado para outros clientes (por exemplo, usuários): Esta regra deve ser cuidadosamente ajustada usando expressões regulares para corresponder especificamente ao padrão de um endereço MAC no campo de nome de usuário (por exemplo, 00:11:22:33:44:55). Isso garante que apenas o tráfego MAB-para-EAP seja isolado para a VLAN de contingência.

• Para suportar MAB-para-EAP, você deve adicionar usuários formatados como: NomeDeUsuário = Senha = endereço MAC. Exemplo: 00:11:22:33:44:55 = 00:11:22:33:44:55.

• O formato do endereço MAC (dois pontos, hífen ou sem separador) deve coincidir exatamente com o formato que seu Autenticador envia nas credenciais EAP. Recomendamos usar a notação com dois pontos (por exemplo, 00:11:22:33:44:55) para consistência.

• Se você tiver vários usuários, você pode importá‑los em massa usando um arquivo CSV.