如何防范WiFi网络中的MAC欺骗？

Question

我有这样的设想：

我想为一家酒店创建一个WiFi网络，客户应该支付这个网络才能访问互联网。

我尝试过捕获门户，但俘虏门户非常容易受到MAC欺骗。

因此，我尝试了wpa2 2-企业没有俘虏门户。但是wpa2 2中的NAS(Access Point)并不强制执行任何规则，而且每个用户都有无限的访问权限。

最后，我尝试了这两种方法，但在wpa2 2-企业中进行了第一次身份验证之后，每个用户都能够将自己的MAC地址更改为任何其他用户。

我使用PFsense作为RADIUS服务器，使用Mikrotik RB433作为Hotspot(Captive Portal)和无线AP。

• 是否有任何方法可以防止用户在WiFi网络中使用Captive Portal模拟经过身份验证的用户？
• wpa2-enterprise中的NAS没有强制执行任何策略或者在我的配置中有什么问题吗？ --这些是PFsense在users文件中生成的策略：

"amir" Cleartext-Password := "amir", Simultaneous-Use := "1"

    Framed-IP-Address = 10.1.3.85,
    Framed-IP-Netmask = 255.255.255.0,
    WISPr-Bandwidth-Max-Up := 50000,
    WISPr-Bandwidth-Max-Down := 50000,
    WISPr-Redirection-URL := http://www.google.com,
    pfSense-Max-Total-Octets := 10485760,

    Exec-Program-Wait = "/bin/sh /usr/local/etc/raddb/scripts/datacounter_auth.sh amir daily"

这是clients.conf文件：

client "mik" {
    ipaddr = 10.1.2.2
    proto = udp
    secret = 'admin123'
    require_message_authenticator = no
    nas_type = other
    ### login = !root ###
    ### password = someadminpass ###
    limit {
        max_connections = 16
        lifetime = 0
        idle_timeout = 30
    }
}

Answer 1

您不能阻止用户更改其MAC地址。MAC地址由客户端提供，并且可以在任何时候更改，前提是它们的硬件允许它们这样做。如果您依赖客户端机器来实现有效的控制，那么您将失败，因为它是可以避免的。大多数用户不会更改他们的MAC地址，但是一个专用的用户可以这样做而不会造成后果。

此外，俘虏门户也是一种安全反实践.作为本文概述，您基本上是故意篡改用户的流量，以替代您的内容，而不是他们想要看到的内容，而且根据网络安全的任何典型定义，这使您成为恶意的中间人。换句话说，你是个坏演员。此外，由于现在大多数站点都是带有STS的HTTPS，所以用户很难真正看到您的专用门户，因为他们的浏览器在很多情况下都不会让他们访问。

您应该采用一种解决方案，它不依赖于客户端的安全，也不实现MITM攻击。例如，你可以有一组随机生成的密码，每个密码在一周中的不同的一天到期，然后让那个人打电话给前台，把费用加到房间里，并得到一个密码。虽然它可以在一个组之间共享，但它不会比您现有的方法更安全，并且对您的用户不那么敌视。您还可以对MAC地址的数量增加一个限制，只要您意识到一个专门的用户可以回避它。