Vyšlo na Lupě, 16.7.2003
Vytištěno z adresy: http://www.earchiv.cz/b03/b0716001.php3

UPC zavádí registraci MAC adres

Počínaje včerejším dnem zavedla společnost UPC nová pravidla pro registraci MAC adres síťových rozhraní. Cílem je zvýšení bezpečnosti, resp. větší ochrana před eventuelním zneužitím či napadením kabelové přípojky na Internet. Většina uživatelů si toho nemusí ani povšimnout, explicitní zásah bude nutný pouze v případě kdy uživatel změní zařízení, připojené ke kabelovému modemu.

Počátkem letošního roku rozvířila poklidné vody kabelové připojení v ČR aféra kolem "zcizení" IP adresy, ke které došlo v kabelové síti UPC. Po technické stránce se jednalo o to, že kabelový modem jednoho uživatele se dostal (jako fyzické zařízení) do rukou jinému uživateli, který se přes něj připojil k Internetu a začal páchat nepravosti. Ty vzbudily zájem Policie ČR, která se vypravila po stopách IP adres, použitých při inkriminovaných transakcích. Místo ke skutečnému pachateli ji ale tato stopa dovedla k původnímu uživateli, na kterého byl kabelový modem zaregistrován. Mělo to pro něj nepříjemné následky (zabavení počítače atd.). Podrobněji se o celé kauze můžete dočíst např. zde a zde

To, s čím společnost UPC přichází nyní, je řešení které výrazně zužuje prostor pro takovéto nežádoucí události. Nemůže ho zcela uzavřít (tj. zabránit případnému zneužití), ale omezuje možnost, že k tomu dojde. O co tedy jde?

Podstatou změny je to, že až dosud se mechanismus přidělování IP adres v kabelové síti v zásadě nezajímal o to, jaké zařízení je připojeno za kabelovým modemem. Rozhodoval se pouze podle "identity" samotného modemu (jeho MAC adresy). Takže když došlo k fyzickému zcizení kabelového modemu a pachatel si k němu připojil svůj počítač, kabelové síti to bylo jedno a skrze stejný modem přidělila novému počítači stejnou IP adresu, jakou dříve dostával počítač oprávněného vlastníka modemu. Díky tomu se pak pachatel mohl vydávat za někoho jiného ….

Nově zaváděný stav by měl být takový, že kabelová síť si bude všímat toho, jaké zařízení je připojeno ke kabelovému modemu (konkrétně bude evidovat jeho MAC adresu). Pokud zjistí, že k modemu je připojeno jiné zařízení (zařízení s jinou MAC adresou), IP adresu mu neposkytne, a s ní ani možnost přístupu do Internetu. Toť vše.

Po praktické stránce to bude fungovat tak, že provozovatel kabelové sítě si v okamžiku přechodu na nový systém sám zanese do své evidence, jaká je MAC adresa zařízení, připojeného ke konkrétnímu kabelovému modemu. Nadále pak bude poskytovat připojení (a IP adresu) pouze tehdy, pokud bude ke kabelovému modemupřipojeno zařízení s takto evidovanou MAC adresou. Koncový uživatel, který nemění připojené zařízení, tak vlastně nemusí ani nic poznat, ani nic dělat - vše se odehraje (či spíše už odehrálo) automaticky.

Uživatel musí explicitně "vstoupit do hry" až v okamžiku, kdy hodlá připojit ke svému kabelovému modemu jiné zařízení, resp. zařízení s jinou MAC adresou. Zde musí provozovateli kabelové sítě explicitně sdělit, o jakou MAC adresu jde (neboli: musí MAC adresu nového zařízení u provozovatele sám zaregistrovat). Jak to udělá? Standardní postup by měl být takový, že ještě před změnou zařízení se připojí k webové aplikaci UPC (na adrese https://registrace.mistral.cz), a zde zadá potřebné údaje. Svou identitu přitom musí prokázat zadáním čísla své smlouvy s UPC, a dále heslem od své emailové schránky na poštovním serveru UPC. Teprve pak by měl vyměnit staré zařízení za nové, a restartovat kabelový modem.

Nápověda k registraci na webu UPC

K restartování kabelových modemů malá poznámka: většina jich je nastavena tak, aby si dokázaly pamatovat jen jednu MAC adresu připojeného zařízení (velikost příslušné tabulky mají nastavenu na 1 položku). Proto i dříve, pokud někdo změnil připojené zařízení, musel také restartovat kabelový modem, aby tento "vzal na vědomí" jinou MAC adresu a dokázal s ní fungovat. Nyní je právě toto restartování kabelového modemu okamžikem "stvrzení" celého přechodu na novou MAC adresu, resp. nové zařízení.

Registrační aplikace v praxi

Pokud z nějakého důvodu nemůžete dodržet výše uvedený postup (například když vám zcela "odejde" stávající síťová karta), můžete provést registraci nové MAC adresy z kteréhokoli jiného připojení k Internetu (po zadání čísla smlouvy a hesla ke schránce). Další možností pak je vyřídit vše přes telefonickou hot-line UPC.

Uživatelé přitom mohou mít standardně zaregistrovánu jen jednu MAC adresu. Více si jich mohou zaregistrovat pouze v případě, když si explicitně připlácí za více pevných IP adres.

Důležitou poznámkou je i to, že výše popsaná registrace se netýká modemů technologie NetGame, modemů NeMo.

Jak je to spolehlivé?

Výše popsaná registrace MAC adres by měla spolehlivě účinkovat v situacích, kdy za kabelovým modemem bude zařízení, které se bude prezentovat jinou než právě registrovanou MAC adresou. Zda jde o zneužití či nějaké nedopatření oprávněného uživatele, celý mechanismus samozřejmě nepozná.

Oprávněným uživatelům to může zkomplikovat situaci v případě, kdy sami přehazují své síťové karty, resp. sami přepojují zařízení připojené k modemu. Dosud tak jako tak museli restartovat svůj kabelový modem (kvůli výše popisovanému omezení tabulky s MAC adresami), nyní musí navíc přeregistrovat MAC adresu (eventuelně si připlatit za více pevných IP adres). Tato situace snad nebude nastávat tak často, ten kdo chce provozovat za svým kabelovým modemem celou síť s více počítači nejspíše již používá vhodný směrovač (a pak se potřeba registrace týká toho rozhraní směrovače, které směřuje "ven", ke kabelovému modemu).

V případě nějakého náhodného či nechtěného zneužití, například prosté fyzické záměny modemů, by měl popsaný mechanismus také postačovat. V případě pokusů o úmyslné zneužití je třeba mít na paměti, že některým síťovým kartám lze měnit jejich MAC adresu - jednu, celosvětově unikátní, mají standardně přednastavenu od výrobce, ale lze jim nastavit jinou MAC adresu. Obvykle se této možnosti říká "klonování MAC adresy", a velmi často jej podporují právě zařízení, určená pro připojování ke kabelovým modemům (např. různé tzv. broadband routery). Pak je podstatné to, zda ten kdo chce zneužít něčí identitu dokáže zjistit příslušnou MAC adresu své oběti či nikoli.

Celý mechanismus registrace MAC adres samozřejmě také nechrání proti případu, kdy oprávněný uživatel někomu prozradí (či: neochrání si atd.) své přihlašovací údaje - číslo smlouvy a heslo. V této souvislosti si dovolím malou poznámku k ADSL: z toho, co se mi podařilo zjistit o fungování přípojek využívajících dashboard, vychází že zde není vázáno přidělení IP adresy na konkrétní telefonní linku resp. ADSL modem, ale pouze na přihlašovací údaje uživatele (login jméno a heslo), a na identifikaci providera. Pokud by tedy někdo dokázal získat přihlašovací údaje jiného uživatele (od stejného ISP), měl by po jejich zadání získat IP adresu onoho jiného uživatele, a mohl by se pak za něj vydávat vůči vnějšímu Internetu (v případě přidělování statických IP adres). Pokud to je skutečně pravda (nemohl jsem si to prakticky ověřit), pak by to znamenalo že ADSL přípojky jsou určitým způsobem "přenosné" - ale také že by zde mohlo dojít k obdobnému zneužití jako původně u kabelového modemu v síti UPC. Zde ovšem s tím podstatným rozdílem, že je nutné prozrazeni přihlašovacích údajů oprávněného uživatele.

Problémy s DHCP serverem

Kabelová síť UPC měla svého času jisté problémy s připojováním zařízení, která nedokázala spolupracovat s jejím DHCP serverem (nedokázala od něj získat potřebnou dynamicky přidělovanou IP adresu). Psalo se o tom občas na různých odborných serverech, jako určité varování před tím, že ne všechna zařízení musí v síti UPC správně fungovat. Sám jsem měl tu smůlu, že jsem si pořídil právě takové zařízení, které mělo přesně tento problém.

Nedalo mi to ale, a ve snaze přijít věcem na kloub jsem se obrátil až na techniky UPC. Ti zapojili můj broadband router do své testovací sítě, a nakonec našli příčinu problémů. Pro odborně laděné čtenáře: router vysílal žádosti DHCP DISCOVER s nastaveným příznakem pro IP Broadcast (což je korektní chování, podle RFC 2131). Odpověď na tuto žádost, DHCP OFFER, je pak odesílána také na broadcastovou (všesměrovou) adresu. Původní nastavení sítě UPC však takovéto všesměrové odpovědi nepropouštělo (prý kvůli bezpečnosti, menšímu zatížení sítě atd.), tj. odpověď se nedostala k zařízení, které o ni původně žádalo.

Stejný problém měla obecně všechna zařízení, která v souladu s RFC 2131 generovala své žádosti s nastaveným broadcastem - a naopak jej neměla ta zařízení, která tento příznak nenastavovala (což by měly být např. všechny implementace na platformě Windows). Po zjištění, kde se problém nachází, společnost UPC změnila příslušné nastavení své sítě (19. března 2003) - a alespoň můj router od té doby spolupracuje s DHCP serverem v kabelové síti UPC bez problémů.