Ethernet-MAC-Adresse als Aktivierungscode für eine Appliance?

Question

Angenommen, Sie stellen im Netzwerk eine Appliance mit Netzwerkanschluss (Small Form Factor PCs) bereit. Sie möchten, dass diese nach dem Einschalten zu Hause anrufen und dann von den Endbenutzern identifiziert und aktiviert werden.

Unser aktueller Plan beinhaltet, dass der Benutzer die MAC-Adresse in eine Aktivierungsseite auf unserer Website eingibt. Später wird unsere Software (die auf der Box läuft) die Adresse von der Schnittstelle lesen und diese in einem "Call Home" -Paket senden. Wenn es übereinstimmt, wird die Serverantwort mit Kundeninformationen und der Box aktiviert.

Wir mögen diesen Ansatz, weil er leicht zugänglich ist und normalerweise auf externe Etiketten gedruckt wird (FCC-Anforderung?).

Haben Sie Probleme, auf die Sie achten sollten? (Die verwendete Hardware ist ein kleiner Formfaktor, so dass alle NICs usw. eingebettet sind und sehr schwer zu ändern wären. Kunden haben normalerweise keinen direkten Zugriff auf das OS in irgendeiner Weise).

Ich weiß, Microsoft macht einige verrückte Fuzzy-Hash-Funktion für Windows-Aktivierung mit PCI-Geräte-IDs, Speichergröße, etc. Aber das scheint für unsere Bedürfnisse Overkill.

-

@Neall Grundsätzlich in unserem Server aufrufen, für die Zwecke dieser Diskussion können Sie uns der Hersteller nennen.

Neall ist richtig, wir verwenden nur die Adresse als Konstante. Wir werden es lesen und es in einem anderen Paket (sagen wir HTTP POST) übertragen, unabhängig davon, ob wir es irgendwie von Ethernet-Frames bekommen.

Answer 1

Ich glaube nicht, dass es etwas Magie über das, was Sie hier machen könnte nicht das, was Sie tun, wie beschrieben werden: eine eindeutige Nummer in jedem unserer Geräte, die wir verbrennen Bei Produktion

“, die ist sowohl für den Endbenutzer lesbar (auf dem Etikett) als auch für den internen Prozessor zugänglich.Unsere Benutzer haben diese Zahl in unsere Website für die Erlaubnis, zusammen mit ihren Kreditkartendaten, und die Box anschließend Kontakte auf die Website eingeben zu betreiben „

“ Einstimmend wir auch diese Zahl als die MAC-Adresse verwenden für Netzwerk Pakete, wie wir bei der Produktion, dass wie auch immer, eindeutig zuweisen, so dass es uns diese wenig Arbeit zu duplizieren gespeichert“

ich die beiden offensichtlichen Gefahren sind sagen würde:

1. Menschen hacken um mit dem Gerät und ändern Diese Adresse zu einer, die jemand anderes hat bereit aktiviert. Ob dies wahrscheinlich geschieht, hängt davon ab, wie schwer es ist und wie teuer es ist, zu stehlen. Vielleicht möchten Sie darüber nachdenken, wie einfach es ist, eine Firmware-Aktualisierungsdatei zu erstellen und den Code daraus zu entfernen.

2. Jemand verwendet eine Kombination von Firewall/Router Regeln und ein bisschen von kundenspezifischer Software, einen Server zu erzeugen, die den Betrieb von Ihren "Auth Server und die Erlaubnis zum Gerät gehen repliziert. Sie könnten dies mit einer Kombination aus Hashing und PKE als Teil des Protokolls erschweren.

Wie immer einige mühsam, teuer Einmal Hack ist weitgehend irrelevant, was Sie nicht wollen, eine Klasse-Pause ist, die über das Internet zu jedem diebischen dweep verteilt werden können.

Answer 2

Aus Sicherheitsgründen weiß ich, dass es möglich ist, einen MAC zu spoofen, obwohl ich nicht ganz sicher bin, wie schwer es ist oder was es beinhaltet.

Andernfalls, wenn die Kunden keinen einfachen Zugriff auf die Hardware oder das Betriebssystem haben, sollten Sie ziemlich sicher dabei sein ... wahrscheinlich am besten, einen Warnaufkleber auf die Aussage zu setzen, dass mit etwas zu stören die Kommunikation stören wird Server.

Answer 3

Ich denke nicht, dass die bekannte Spoofability von MAC-Adressen in diesem Fall ein Problem ist. Ich denke Tweakt will sie nur für die erste Identifizierung verwenden. Das Gerät kann seine eigene MAC-Adresse lesen, und der Installateur kann (solange es auf einem Etikett gedruckt ist) die gleiche Nummer lesen und wissen, "OK - das ist die Box, die ich an Stelle A ablege."

tweakt - würden diese Boxen in den Server des Herstellers oder den Server des Unternehmens/der Person, die sie verwendet, anrufen (oder sind das die gleichen in diesem Fall)? -

Answer 4

Die MAC-Adresse ist so einzigartig wie eine auf einem Handbuch/Aufkleber aufgedruckte Seriennummer.

Microsoft Hashing, um das Spoofing von MAC-Adressen zu verhindern und ein wenig mehr Privatsphäre zu ermöglichen.

Mit dem einzigen MAC-Ansatz können Sie ein Gerät einfach einem Kunden zuordnen, indem Sie sich nur im selben Subnetz befinden. Der Hash verhindert das, indem er nicht transparent ist, welche Kriterien verwendet werden, und keine Möglichkeit, einzelne Teile zurückzuentwickeln.

(siehe Passwort Hashing)