Una dirección MAC (Media Access Control) es un identificador único que se le asigna a la tarjeta de red del dispositivo que ha sido fabricado, desde routers hasta impresoras y otros dispositivos. Las direcciones MAC están compuestas por 48 bits que son representados en dígitos hexadecimales, cada hexadecimal equivale a 4 binarios (48:4 = 12). Por lo tanto, es formada por 12 dígitos agrupados en seis parejas separadas por dos puntos (:); por ejemplo: 0a:2b:c4:ee:a2:bc. Los primeros 24 bits (6 dígitos) son configurados por el fabricante de la tarjeta y los últimos 24 bits que restan identifican la tarjeta de ese fabricante.
Al ser identificadores únicos, un administrador de red puede crear listas para denegar o permitir el acceso a uno o varios clientes en la red.
Lista BLANCA: Identificadores que tienen permitido acceder a la red.
Lista NEGRA: Identificadores que tienen prohibido acceder a la red.
El filtrado por MAC es útil para expulsar intrusos de la red pero es fácil burlarse de su seguridad con un cambio de MAC. Primeramente, el atacante pone su tarjeta en modo monitor y luego captura los paquetes de la red objetivo (sin estar conectado a dicha red) con airodump, lo que le permitirá ver los clientes (STATIONS) conectados a la red y suplantar su dirección MAC aceptada.
Antes que nada, hay que identificar la dirección MAC de nuestra tarjeta de red. El comando "ifconfig" es muy útil ya que permite desplegar todas las interfaces de red conectadas a nuestro sistema, así como mostrar información de su IP y MAC, entre otras.
Para falsificar la dirección manualmente, en primer lugar hay que deshabilitar el adaptador de red:
sudo ifconfig <INTERFAZ> down
Asignamos la dirección MAC usando con la orden:
sudo ifconfig <INTERFAZ> hw ether <MAC>
Ej: sudo ifconfig wlan0 hw ether 08:00:46:ba:2b:1b
Activamos el adaptador de red:
sudo ifconfig <INTERFAZ> up
Ejecutamos ifconfig para comprobar el cambio:
ifconfig <INTERFAZ>
Al enviar paquetes desde Kali hacia Windows se puede observar como lo hace desde la MAC falsificada:
Lo mismo si hiciéramos un arp -a desde el CMD:
Existen herramientas gratuitas para automatizar la tarea, como lo es MACchanger que ya viene incorporada en Kali.
Instalar herramienta en Debian:
sudo apt-get install macchanger
Desplegar la dirección MAC actual con el parámetro "-s":
macchanger -s <INTERFAZ>
Cambiar la dirección MAC a una aleatoria con el parámetro "-A". Recuerden que primero deben deshabilitar la tarjeta de red y por último volver a activarla.
macchanger -A <INTERFAZ>
La herramienta contiene una lista de todas las direcciones MAC existentes según la empresa fabricante. Desplegar lista con el parámetro "-l":
macchanger -l
Volviendo al principio, los primeros 6 dígitos identifican al fabricante. Por ejemplo, d8:57:ef corresponde a Samsung Electronics y así sucesivamente. En caso de querer utilizar una dirección MAC en específico acompañamos el parámetro "-l" + "| grep "nombre-del-fabricante"".
Ej: macchanger -l | grep "NATIONAL SECURITY AGENCY"
00:20:91 son los 6 dígitos correspondientes a la Agencia de Seguridad Nacional de los Estados Unidos, pero bien podría ser Samsung, Xiaomi, etc.
Al tener ya los 6 dígitos principales, los otros que restan pueden ser inventados:
macchanger --mac=<MAC> <INTERFAZ>
Ej: macchanger --mac=00:20:91:01:02:03 wlan0
Para resetear los cambios y volver a la dirección MAC original, entonces utilizan el parámetro "-p":
macchanger -p <INTERFAZ>
La falsificación MAC es útil para saltarnos un filtrado de MAC o bien ya sean para realizar auditorías o pentesting Wi-Fi. Generalmente un atacante malicoso se aprovecha de esto para enmascarar su identidad y no ser localizado por medio de su MAC. Un administrador de redes puede lanzar un traceroute mac para rastrear los paquetes a través de la red local y obtener información detallada de la IP y MAC del dispositivo.