L'école nous a demandé de soumettre nos adresses MAC

Pour une école, disposer de toutes les adresses MAC des appareils des élèves (identifiant matériel unique) est un moyen de filtrer un grand nombre de trafic indésirable du LAN. Même si des périphériques externes de non-étudiants usurpent un MAC légitime enregistré par les étudiants, les paquets envoyés sur le réseau peuvent toujours être capturés, ouverts et les agents utilisateurs et autres identifiants du système peuvent être observés. Cela permet à l'administrateur du réseau de savoir si quelqu'un utilise un MAC usurpé, puis l'administrateur peut efficacement démarrer ce MAC à partir du point d'accès facilement sans filtrer le MAC spécifique, ce qui bloquerait l'étudiant légitime s'il le faisait, avec des blocs de filtrage de paquets.

L'utilisation des registres d'adresses MAC permet de vérifier qui est censé se connecter et qui ne l'est pas. Mais ce n'est qu'une seule méthode de sécurité. Il existe d'autres outils propriétaires ou open source tiers qui peuvent déterminer les agents utilisateurs et bien d'autres choses telles que les spécifications matérielles du système, le système d'exploitation utilisé, les plug-ins de navigateur, etc. Même si ces éléments sont eux-mêmes usurpés. Ceux-ci identifieront les utilisateurs du démon/navigateur TOR ainsi que les utilisateurs de Tails (OS Linux qui envoie tout le trafic système et Web via le réseau TOR).

Si vous souhaitez éviter d'être suivi, vous avez quelques méthodes:

1. N'utilisez pas le LAN de l'école.
2. Utilisez une clé USB bootable et un adaptateur wifi USB.
3. Créez une interface sans fil virtuelle et un profil d'interface personnalisé.
4. Utilisez une machine virtuelle avec une clé USB.
5. Tunnel via un périphérique étudiant légitime tel qu'un virtuel NIC créé à l'aide d'une interface virtuelle adhoc reliée à l'interface réelle. Usurpation des identifiants VNIC.

Ce n'est qu'un petit nombre de façons et ce n'est pas non plus la meilleure méthode. Vous pouvez en trouver plus en faisant des recherches.

Eh bien, l'école a déjà votre adresse MAC depuis que vous vous êtes connecté à leurs points d'accès dans le passé. Ce qu'ils ne savent pas (nécessairement), c'est l'association entre vos adresses MAC et votre vrai nom.
Si cela vous concerne, juste tilisez un autre MAC pendant que vous êtes à l'école:

ip link set dev wlp1 address XX:XX:XX:XX:XX:XX

Choisissez un MAC administré localement pour éviter les conflits avec les périphériques qui utilisent leur MAC attribué par le fabricant sur le même point d'accès.

Notez qu'un utilisateur malveillant exécuterait airodump-ng pour découvrir l'adresse MAC d'un autre élève, expulsez cet élève du réseau avec aireplay-ng -0, puis utilisez leur MAC pour usurper leur identité. Si votre école pense que le filtrage MAC est une bonne sécurité, ils sont pour une grande surprise!

Ils pourraient ne pas y penser en termes de mesure de suivi, mais comme une alternative à la divulgation du mot de passe WiFi. La liste blanche des adresses MAC est une alternative assez courante.

S'ils ont donné un mot de passe WiFi pour se connecter, rien n'empêchera un autre étudiant de donner ces détails. Tandis que la liste blanche par adresse MAC empêche que ces informations soient facilement transmises.

Bien sûr, il y a un problème d'usurpation d'adresse MAC. Mais pour vous connecter au réseau avec une adresse MAC usurpée, vous devrez connaître une adresse MAC qui a déjà accès. Et si l'adresse MAC peut vous être retracée, vous ne voudrez probablement pas partager ces informations avec un ami. Et enfin, si vous usurpez une fois que vous leur avez donné votre adresse MAC, cela vous empêchera seulement de vous connecter.

En ce qui concerne la confidentialité, s'ils ont les moyens techniques de récupérer votre adresse MAC envoyée depuis votre appareil pour la faire correspondre à leur liste blanche, rien n'empêche leur pare-feu de consigner des informations supplémentaires et de faire une correspondance avec votre adresse mac. Par exemple, nous obtenons une adresse IP renvoyée dans nos journaux de pare-feu. Nous pouvons simplement aller dans notre liste d'adresses MAC et rechercher les adresses MAC qui ont utilisé cette IP.

Puisqu'ils peuvent intercepter le trafic, ils peuvent également avoir une vue d'ensemble des applications connues que vous utilisez et des sites Web que vous consultez. D'un autre côté, il est peu probable que vous ayez une idée détaillée de votre activité en raison du travail impliqué. Ainsi, même s'ils ne connaissent pas le contenu du message X, ils peuvent vous savoir où sur le service Y ou le site Web Z pour l'envoyer. En fin de compte, si la confidentialité est une préoccupation, évitez de vous connecter à leur réseau. Ou du moins évitez de faire sur leur réseau des activités que vous souhaitez garder privées.

Je voudrais savoir quel type d'informations ils peuvent collecter à partir de cela?

Avoir votre adresse MAC facilite l'analyse des fichiers journaux.
Les fichiers journaux du réseau contiennent souvent une adresse IP et des informations sur la connexion.
Par exemple, l'entrée de journal fictive suivante indiquerait qu'un appareil avec l'adresse IP 10.10.100.123 connecté à un système avec l'adresse IP 216.58.210.46 (google.com) sur le port 443 (HTTPS).

TIMESTAMP        | SOURCE IP:PORT       | DEST IP:PORT
-----------------------------------------------------------
2016-08-05 12:11 | 10.10.100.123:123456 | 216.58.210.46:443

D'autres recherches dans d'autres fichiers journaux (par exemple, les baux DHCP) pourraient indiquer que l'adresse IP interne 10.10.100.123 a été transmise à l'adresse MAC 01: 23: 45: 67: 89 : 01.

IP ADDRESS    | MAC ADDRESS       | LEASE START      | LEASE END
-----------------------------------------------------------------------
10.10.100.123 | 01:23:45:67:89:01 | 2016-08-03 09:35 | 2016-08-10 09:35

Cette adresse MAC peut ensuite être associée à la carte réseau de l'appareil d'un certain étudiant.

Cela permet à l'école, ou à toute autorité qui est en mesure de demander les fichiers journaux de l'école (par exemple les agences d'application de la loi), de retracer certaines activités en ligne.
Si une enquête criminelle montre que l'adresse IP publique de l'école est liée à certaines activités illégales, l'école pourrait être invitée à remettre ses fichiers journaux et la liste des combinaisons "adresse MAC - élève".
Il se peut également que l'école veuille déterminer quel élève a dépensé 10% de sa bande passante pour naviguer sur plus de 18 sites Web.

L'utilisation de ces informations pour ces raisons dépend de la législation locale en matière de vie privée et de criminalité informatique.

Seraient-ils en mesure de suivre notre historique de navigation ou plus?

Ils ne peuvent pas détecter l'historique complet de votre navigateur à l'aide de ces informations. Cependant, comme je l'ai expliqué précédemment, l'adresse MAC peut être utilisée pour lier votre appareil à certaines activités sur le réseau.

Et si j'utilise le navigateur Tor? Cela aurait-il un effet?

L'utilisation de Tor ne change rien au fait que la carte réseau de votre appareil possède une certaine adresse MAC et que cette adresse MAC peut être liée à votre appareil et à vous.

S'ils peuvent me suivre, quelles mesures puis-je prendre pour les empêcher d'envahir ma vie privée?

Il est assez trivial de changer l'adresse MAC des adaptateurs réseau de votre appareil. Changer votre adresse MAC après leur avoir remis votre adresse d'origine (ou leur en avoir fourni une fausse), rend plus difficile pour les administrateurs informatiques de vous lier une adresse MAC/IP.
Cependant, si le réseau nécessite une identification via Active Directory (chaque élève ayant un nom d'utilisateur unique pour s'authentifier sur le réseau) ou une autre forme d'authentification (par exemple, basée sur un certificat), il pourra toujours vérifier les journaux. fichiers pour essayer de faire correspondre une IP à vous.
Si l'école utilise un proxy, elle pourrait également flairer le trafic Web à la recherche d'informations personnellement identifiables, telles que votre adresse e-mail ou votre nom d'utilisateur Facebook, ... Mais je suppose que ce serait une énorme violation des règles de confidentialité dans la plupart des pays.

Informations supplémentaires

Il se peut également que votre école souhaite mettre en œuvre un contrôle d'accès basé sur l'adresse MAC sur le réseau, permettant uniquement aux adresses MAC en liste blanche (autorisées) de se connecter au réseau.

Cependant, comme d'autres l'ont souligné (et comme je l'ai abordé légèrement), les adresses MAC peuvent être modifiées. Cela permet à quiconque de changer sa propre adresse MAC en celle d'un étudiant légitime, en lui accordant l'accès au réseau.
Les contrôles d'accès basés sur l'adresse MAC empêcheront certaines personnes d'accéder au réseau en utilisant le mot de passe qu'elles ont reçu d'un ami de votre école (car elles n'ont pas les connaissances/compétences pour contourner cette faible ligne de défense ), mais cela n'empêchera pas ceux qui sont déterminés à accéder au réseau.

Si l'école souhaite sérieusement suivre l'utilisation du réseau des élèves et/ou limiter l'accès aux élèves, il existe de bien meilleures alternatives.

Un exemple de ceci est RADIUS WiFi authentifié.
Extrait de: FreeRadius.org

IEEE 802.1X et RADIUS Authentification

Les normes IEEE pour le Wi-Fi (IEEE 802.11) prévoient un mode "Entreprise" qui est fondamentalement différent des réseaux PSK car les clés de chiffrement Wi-Fi sont provisionnées par utilisateur et par session. Chaque utilisateur doit s'authentifier avec ses informations d'identification personnelles; à ce moment, une clé est générée et communiquée à l'appareil de l'utilisateur et au NAS auquel il se connecte.

Avant que les utilisateurs envoient leurs informations d'authentification, l'utilisateur doit authentifier le réseau, prouvant qu'il est effectivement authentique; ce n'est qu'alors que les informations d'identification du client sont publiées. La norme IEEE IEEE 802.1X (en utilisant RADIUS et le protocole d'authentification extensible, EAP)) est utilisée pour l'authentification et la gestion des clés.

L'authentification Wi-Fi d'entreprise permet également des fonctionnalités avancées telles que en plaçant les utilisateurs de manière dynamique dans un VLAN spécifique (par exemple, des connexions distinctes pour les invités et le personnel sur différents réseaux IP, même si elles sont sur le même SSID), et ACL dynamiques

Le Wi-Fi d'entreprise nécessite:

1. Un serveur RADIUS qui peut faire l'authentification EAP.
2. Équipement Wi-Fi correctement configuré pour utiliser l'authentification RADIUS.
3. Appareils utilisateur configurés pour utiliser correctement le Wi-Fi d'entreprise.

Une adresse MAC représente simplement l'adresse physique d'un périphérique. L'adresse MAC d'un appareil est donnée la seconde où l'appareil se connecte au WIFI, sur la base du protocole ARP.

Demander votre adresse MAC pourrait leur permettre de filtrer plus facilement une liste de périphériques autorisés à accéder au réseau spécifique.

Je pense personnellement qu'ils demandent votre adresse MAC afin de permettre uniquement aux étudiants d'accéder à la connexion Internet de l'école. Une personne au hasard ne pourra pas accéder à son réseau si son adresse MAC n'est pas ajoutée (même si elle a le mot de passe).

Cependant, il est facile d'obtenir l'adresse MAC de quelqu'un et de changer la vôtre pour qu'elle corresponde à la leur (mais je parie qu'un nombre minimal de personnes prendraient ce chemin).

Pour répondre à vos questions maintenant, ils ne collecteront pas vraiment d'informations supplémentaires à votre sujet qu'ils ne possédaient pas déjà. Une fois connecté au WIFI, ils ont pu accéder immédiatement à votre adresse MAC. Mais maintenant, ils sont capables de vous trouver plus rapidement.

Ils pourraient être capables de suivre votre histoire, mais cela nécessitera beaucoup de travail que je doute qu'une école fera à moins d'y être obligé. Ils utilisent généralement des procurations (intermédiaires entre vous et la page Web) pour empêcher les étudiants de visiter certains sites Web ou pour ajouter de la confidentialité à leur serveur.

L'utilisation de Tor gardera votre historique anonyme mais ils seront conscients que vous avez utilisé un tel navigateur Internet.

Mesure que vous pouvez prendre pour les empêcher: - Utilisez une boîte virtuelle où vous pouvez modifier votre adresse MAC - Lorsque vous naviguez sur le Web, vous pouvez toujours modifier votre DSN et vos procurations (de la boîte virtuelle)

Il existe de nombreuses autres façons, mais d'une certaine manière, il est également difficile d'empêcher quelqu'un d'envahir votre vie privée si vous utilisez leur réseau.

Vous ne donnez à l'école aucune information supplémentaire.

Quand on se connecte au réseau Wifi, on montre déjà son adresse MAC. Tous les cadres entre son ordinateur et le point d'accès Wifi portent le MAC source et de destination. Sinon, il serait impossible d'émettre et de recevoir.

L'école vous demande donc ces informations pour des raisons de sécurité, afin de rendre plus difficile la connexion des autres. Il s'agit d'une demande de sécurité raisonnable.

Ce n'est pas très fort, cependant, car l'adresse MAC peut être facilement usurpée. Mais cela peut aider à corréler en cas de problème. Si quelqu'un utilise votre utilisateur avec une adresse MAC différente, l'école peut soupçonner que votre compte a été piraté.