Mac OS X: Acceso de invitado a un red inalámbrica filtrada por MAC

Felipe nos pregunta: «Buenas:

En casa tengo una red inalámbrica filtrada por MAC como una de las medidas de seguridad adicionales para proteger varios dispositivos que tengo conectados a la red (un PC, un par de Macs, iPod Touch, iPhone, etc …).

El caso es que ocasionalmente viene gente a casa con un Mac y para darles internet, tengo que añadir su dirección MAC a la red – me niego a abrir una red invitado por seguridad – con lo que tengo que reiniciar la estación base … y no siempre puedo hacerlo.

¿Hay alguna forma de solucionar esto?: si lo conseguís, os invito a mil cervezas.

Un saludo«

Ve preparando la cartera porque este truco te va a costar una pasta.

Un poco de background técnico antes de empezar

En redes de ordenadores, la dirección MAC (siglas en inglés de Media Access Control o control de acceso al medio) es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma única a una tarjeta o dispositivo de red. Se conoce también como la dirección física. Es única para cada dispositivo. Está determinada y configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24 bits) utilizando el OUI. La mayoría de los protocolos que trabajan en la capa 2 del modelo OSI usan una de las tres numeraciones manejadas por el IEEE: MAC-48, EUI-48, y EUI-64 las cuales han sido diseñadas para ser identificadores globalmente únicos. No todos los protocolos de comunicación usan direcciones MAC, y no todos los protocolos requieren identificadores globalmente únicos.

Las direcciones MAC son únicas a nivel mundial, puesto que son escritas directamente, en forma binaria, en el hardware en su momento de fabricación. Debido a esto, las direcciones MAC son a veces llamadas «Direcciones Quemadas Dentro» (BIA, por las siglas de Burned-in Address). [WIkipedia]

Paso a paso

  • Primero necesitamos crear una Mac «falsa» y darla de alta en la estación base / router inalámbrico que tengas. Una buena sugerencia para no olvidarla es usar, por ejemplo 00:e2:e3:e4:e5:e6.
  • Una vez la hayas dado de alta (ponle un nombre como «Acceso MAC para invitados»), reinicia la estación/router para que esta entrada en el filtrado de MAC esté disponible.
  • Ahora vamos a por el Mac de turno. Lo que vamos a hacer es un Spoofing de la dirección MAC de la tarjeta Airport para que se adapte a esa dirección MAC falsa vía software.

    Para ellos seguiremos los siguientes pasos:

  • Ejecutamos el siguiente comando en el Terminal:

    /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport /usr/sbin/airport -z

    Con este comando «sacamos» al ordenador de cualquier red inalámbrica que esté conectada (y la mantenemos así hasta que hayamos spoofeado la MAC)

  • Ahora Spoofeamos la dirección Mac con el siguiente comando:

    sudo ifconfig en1 ether 00:e2:e3:e4:e5:e6

    • Necesitaremos la contraseña del administrador
    • en1 corresponde generalmente al interfaz de Airport, pero es posible que tengas que consultar en Perfil del sistema cual es el identificativo que corresponde a Airport pinchando en Red
  • Para comprobar que el truco funciona, utiliza el siguiente comando:

    ifconfig en1 | grep ether

    que te debería devolver 00:e2:e3:e4:e5:e6

  • Ahora solo tienes que conectarte a tu red inalámbrica y listo.
  • Para recuperar la MAC original, solo necesitas reiniciar el ordenador y listo.

    En el caso de que esta tarea la realices con cierta frecuencia, siempre puedes crear un pequeño programa con Automator que ejecute los scripts de Shell de forma automática y que conecte a la red inalámbrica. Así no tendrás que ejecutar los comandos uno a uno y simplemente copiando y ejecutando el programita conseguirás paso franco a tus usuarios a la red con la MAC de invitado. Recuerda que esto sirve para 1 solo invitado, ya que que no es conveniente que haya MACS concurrentes en la misma red.

    12 Comments

    1. Anónimo

      Me va a salir cara la pregunta, si … 1000 cervezas … a 2 euros … ai que daño.

      Muchas gracias de verdad. Lo acabo de probar y funciona de perlas. A casa viene un lunixero que supongo que podrá hacer algo parecido. Lo que me temo es que los iPhones y compañía no podrán.

    2. Anónimo

      Yo no voy a hacer este truco en la vida, pero hay que reconocer que esto si que son tutoriales de verdad, con nivel. Como el de Mail, que está impresionante.

      Chapeau, faqmac.

    3. Anónimo

      Colossus Maximus!!

      Había intentado esto un par de veces hace tiempo y no lo había conseguido hacer porque me saltaba el paso de desactivar la red inalámbrica y me daba por vencido. Ya funciona! Yu-Ju!! ^_^

    4. Anónimo

      Filtrar una red solo por la MAC es algo muy muy peligroso.
      Primero porque lo datos van sin cifrar por el aire , con lo que cualquiera con unos conocimentos minimos ( o acceso a programas muy faciles e intuitivos) puede ver/guardar/interceptar todos los datos que pasen por la red para analizarlo luego y sacar contraseñas de correos, bancos y demas.
      Ademas , como todo el trafico esta en claro , puede ver cuales son las MACs que tienen acceso y mediante este simple tutorial usar la conexion de red a su antojo sin ningun tipo de limitacion o problema.
      Es por esto que es muy desanconsejable proteger la conexion solo por MAC.
      Si puedes usa cifrado , y crea una red de invitados solo por MAC , de esta forma al menos tu datos no viajaran por todo el vecindario.

    5. Anónimo

      Esto, no has leido bien mi pregunta: «En casa tengo una red inalámbrica filtrada por MAC como una de las medidas de seguridad adicionales»

      Es decir, la red tiene contraseña WPA2 y la SSID está oculta. Es lo que tiene la palabra adicional.

      F.

    6. sault

      Pilla una Airport Extreme o una Time Capsule con menos de dos años. Incluye una segunda red para invitados, donde además puedes elegir si los equipos conectados se ven entre sí.

    7. Anónimo

      Siento no haber entendido que «adicional» significa WPA2 y SSID oculta.
      De todas maneras , sigo sin entender para que sirve el filtrado por MAC.

      Si alguien rompe la clave WPA2 , puede ver tu trafico de red aunque no pueda acceder al principio a la red , por lo tanto puede ver las MAC admitidas con lo que con este tutorial puede acceder facilmente.

      Si alguien tiene un filtrado pasivo , podra ver el SSID aunque este oculto asi que realmente «adicional» significa WPA2 y por lo que veo , la clave la tiene bastante gente , por lo que no veo seguridad.
      Si te preocupa la seguridad es mas facil usar una clave temporal para cuando vengan invitados o una red para invitados que para eso estan, si solo quieres darles internet.

      Si te realmente «adicional» quieres que signifique algo , monta un RADIUS con FreeRadius en linux o RADIUS presente en MAC OSX server en una maquina virtual si no quieres gastarte dinero en un pc extra y crea una cuenta para invitados generica.

      Lo mejor de las redes de invitados es el «wireless isolation» que es evitar que los clientes de red se vean entre ellos , evitando problemas de accesos no autorizados a recursos de red.

    8. Alquimista

      Felicidades por el articulo del Mail, por éste y por todos los que publicáis.

      Y ya de paso y si no es mucho abusar ¿tenéis publicado alguno sobre cómo configurar un Airport con la máxima seguridad?

    9. Fai

      Hace unos meses (creo recordar aproximadamente un año), leí aquí en faq-mac un artículo muy bueno y completísimo de configuración de conexiones inalámbricas airport.
      Si haces una búsqueda poniendo la palabra «airport» seguramente lo encontrarás sin dificultad.
      Un saludo.

    Deja una respuesta