7

ネットワークに接続されたアプライアンス (スモール フォーム ファクター PC) を現場に展開するとします。これらが電源投入後にコール ホームになり、エンド ユーザーが識別してアクティブ化できるようにします。

現在の計画では、ユーザーが Web サイトのアクティベーション ページに MAC アドレスを入力する必要があります。その後、ソフトウェア (ボックス上で実行) がインターフェイスからアドレスを読み取り、これを「call home」パケットで送信します。一致する場合は、顧客情報を含むサーバーの応答とボックスが有効になります。

アクセスが簡単で、通常は外部ラベルに印刷されているため、このアプローチが気に入っています (FCC 要件?)。

注意すべき問題はありますか?(使用しているハードウェアは小さなフォーム ファクタであるため、すべての NIC などは組み込まれており、変更するのは非常に困難です。通常、お客様が OS に直接アクセスすることはありません)。

Microsoft が PCI デバイス ID やメモリ サイズなどを使用して、Windows のアクティベーションにクレイジーなファジー ハッシュ関数を実行していることは知っています。

--

@Neall 基本的に、この議論の目的のために、私たちのサーバーを呼び出して、私たちをメーカーと呼ぶことができます。

Neall は正しいです。アドレスを定数として使用しているだけです。それを読み取り、別のパケット (HTTP POST としましょう) 内で送信しますが、イーサネット フレームから何らかの方法で取得するかどうかには依存しません。

4

4 に答える 4

3

この場合、よく知られている MAC アドレスのスプーフィング性が問題になるとは思いません。tweakt はそれらを最初の識別に使用したいだけだと思います。デバイスは自身の MAC アドレスを読み取ることができ、インストーラーは (ラベルに印刷されている限り) 同じ番号を読み取ることができ、「OK - これは場所 A に置いたボックスです」と認識できます。

微調整-これらのボックスは、製造元のサーバー、またはそれらを使用している会社/個人のサーバーを呼び出していますか(または、この場合は同じです)?

于 2008-08-27T14:06:38.967 に答える
2

あなたがここでやっていることについて何か魔法があるとは思いません - あなたがしていることは次のように説明できません:

「製造時に、エンドユーザーが読み取り可能 (ラベルに記載) であり、内部プロセッサがアクセスできるように、各デバイスに一意の番号を焼き付けます。ユーザーは、クレジットカードと共にこの番号を当社の Web サイトに入力する必要があります。詳細、およびボックスはその後、操作の許可を得るために Web サイトに連絡します。」

偶然にも、私たちはこの番号をネットワーク パケットの MAC アドレスとしても使用しています。これは、生産中に一意に割り当てる必要があるためです。そのため、この作業を重複させる必要がありませんでした」

2つの明らかな危険は次のとおりです。

  1. 人々はあなたのデバイスをハッキングし、このアドレスを他の誰かが既に有効化したアドレスに変更します。これが起こる可能性があるかどうかは、それがどれほど困難であるかと、彼らが盗むものがどれだけ高価であるかとの関係に依存します. ファームウェア アップグレード ファイルをいかに簡単に入手して、そこからコードを取得できるかを考えてみてください。

  2. 誰かが、ファイアウォール/ルーター ルールとカスタム ソフトウェアの組み合わせを使用して、認証サーバー」の動作を複製し、デバイスに続行する許可を与えるサーバーを生成します。プロトコルの一部としてハッシュ/PKE を組み合わせることで、これを難しくすることができます。

いつものように、退屈で高価な 1 回限りのハックはほとんど無関係です。あなたが望まないのは、インターネットを介してすべての盗賊に配布できるクラスブレイクです。

于 2008-08-27T14:10:52.827 に答える
1

MAC アドレスは、マニュアル/シールに印刷されたシリアル番号と同じくらい一意です。

Microsoft は、MAC アドレスのスプーフィングを防止し、プライバシーをもう少し高めるためにハッシュを行います。

唯一の MAC アプローチでは、同じサブネット内にいるだけで、デバイスを顧客に簡単に一致させることができます。ハッシュは、使用される基準を不透明にし、個々のパーツをリバース エンジニアリングする方法がないため、これを防ぎます。

(パスワードハッシュを参照)

于 2008-08-27T14:12:26.457 に答える
-1

セキュリティの観点から、MAC のスプーフィングが可能であることはわかっていますが、それがどれほど難しいか、またはそれが何を伴うのかは完全にはわかりません。

それ以外の場合、顧客がハードウェアや OS に簡単にアクセスできない場合は、これを行ってもかなり安全です...おそらく、何かをいじるとサーバーへの通信が中断されるという警告ステッカーを貼るのが最善です.

于 2008-08-27T13:51:38.147 に答える