Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Josef Jindra 23. 12. 2023, 10:10:16
-
Zdravím, už jsem to psal pod zprávičku ale spíše ten dotaz patří asi sem :
Netušíte zda a potenciálně jak se dá zakázat změna MAC pro MT ze strany sítě (teda nastavením routeru/firewallu/DHCP serveru) ?
Díky
-
obecně nevím, ale třeba Cisco AP se dá nastavit, aby je odmítalo připojit
-
Obecně je to ekvivalentní s otázkou: Jak se dá jednomu zařízení zabránit, aby se vypnulo ve stejné chvíli, kdy se zapne jiné?
Pokud máte na domácí WiFině whitelist MACovek, tak se to logicky tomu zabrání jako vedlější efekt, ale předpokládám na tohle se neptáte. To samé, pokud se podle MAC zařízení hází do různých classů a podle toho jsou omezena (rychlost, prostupy etc.) - opět to spíš funguje jako scream test ;-)
Jako můžete se kouknout do nastavení profilů na Vaše zařízení, tuším že do vovcofounu to vnutit nějak šlo přes DisableAssociationMACRandomization v configu.
Edit: No na enterprise Wifi opřené o Radius Vás to patrně nemusí tolik trápit, ale doma kde máte patrně něco jako WPA2/PSK ano.
-
statický ARP záznam ?
-
obecně nevím, ale třeba Cisco AP se dá nastavit, aby je odmítalo připojit
ale nastavit se to nesmí, říďa by se zlobil, že se nepřipojí :-)
-
Obecně je to ekvivalentní s otázkou: Jak se dá jednomu zařízení zabránit, aby se vypnulo ve stejné chvíli, kdy se zapne jiné?
Pokud máte na domácí WiFině whitelist MACovek, tak se to logicky tomu zabrání jako vedlější efekt, ale předpokládám na tohle se neptáte. To samé, pokud se podle MAC zařízení hází do různých classů a podle toho jsou omezena (rychlost, prostupy etc.) - opět to spíš funguje jako scream test ;-)
Jako můžete se kouknout do nastavení profilů na Vaše zařízení, tuším že do vovcofounu to vnutit nějak šlo přes DisableAssociationMACRandomization v configu.
Edit: No na enterprise Wifi opřené o Radius Vás to patrně nemusí tolik trápit, ale doma kde máte patrně něco jako WPA2/PSK ano.
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
tady je pekny popis , mimo jiné
https://datatracker.ietf.org/doc/draft-ietf-madinas-mac-address-randomization/
Zuniga, et al. Expires 7 May 2024 [Page 3]
Internet-Draft Randomized and Changing MAC Address stat November 2023
+--------+--------+---------+--------+--------+---------+
| Organizationally Unique | Network Interface |
| Identifier (OUI) | Controller (NIC) Specific |
+--------+--------+---------+--------+--------+---------+
/ \
/ \
/ \ b0 (I/G bit):
/ \ 0: unicast
/ \ 1: multicast
/ \
/ \ b1 (U/L bit):
+--+--+--+--+--+--+--+--+ 0: globally unique (OUI enforced)
|b7|b6|b5|b4|b3|b2|b1|b0| 1: locally administered
+--+--+--+--+--+--+--+--+
-
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.
-
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
tady je pekny popis , mimo jiné
https://datatracker.ietf.org/doc/draft-ietf-madinas-mac-address-randomization/
Zuniga, et al. Expires 7 May 2024 [Page 3]
Internet-Draft Randomized and Changing MAC Address stat November 2023
+--------+--------+---------+--------+--------+---------+
| Organizationally Unique | Network Interface |
| Identifier (OUI) | Controller (NIC) Specific |
+--------+--------+---------+--------+--------+---------+
/ \
/ \
/ \ b0 (I/G bit):
/ \ 0: unicast
/ \ 1: multicast
/ \
/ \ b1 (U/L bit):
+--+--+--+--+--+--+--+--+ 0: globally unique (OUI enforced)
|b7|b6|b5|b4|b3|b2|b1|b0| 1: locally administered
+--+--+--+--+--+--+--+--+
How to Identify a Randomized MAC Address?
Fortunately it is easy to identify randomized MAC addresses. There is a bit which gets set in the OUI portion of a MAC address to signify a randomized / locally administered address. The quick synopsis is look at the second character in a MAC address, if it is a 2, 6, A, or E it is a randomized address.
S tím blacklistováním je to jak kde. V dnsmasq třeba
dhcp-host=*2:*:*:*:*:*,ignore
dhcp-host=*6:*:*:*:*:*,ignore
dhcp-host=*a:*:*:*:*:*,ignore
dhcp-host=*e:*:*:*:*:*,ignore
-
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.
No můj use case by byl nepustit do wifi BYOD věci s random adresami. Ale chápu, že na to je RADIUS. Jen by mne zajímalo, jestli a jak se ty “locally administered” adresy dají administrovat.
Jediné , co šlo, tak v DHCP na Win šlo zakázat přes vendor option Androidy.
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
-
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.
to by na wifi asi nemuselo úplně vadit...
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
to by pak asi celý poněkud ztrácelo smysl, že?
-
No v isc-dhcpd se dá chytat kde čeho. Tuším standardně mapuje/drží adresy radši podle "Client ID" (což je za určitých okolností duplicitní klíč) než podle MAC adresy apod. V tcpdumpu v DHCP dotazech vidím běžně opšny Client ID, Hostname a FQDN. Třeba v dotazech od PXE stacků se dá rozlišovat legacy/UEFI podle opšny "Architecture Type", hledané řetězce lze zadávat jako ASCII nebo hexa atd. Myslím, že ledacos by uměl třeba i dnsmasq (https://thekelleys.org.uk/dnsmasq/doc.html) (použitý v OpenWRT). Pokud by Vám něco z toho bylo užitečné...
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Takovou věc ale mobilní telefony nedělají. Jeden telefon má vždy v dané síti s daným SSID jen jednu MAC adresu a ta se v čase nemění. Android má nějkou podporu pro neperzistentní náhodné MAC adresy, ta je ale vypnutá a není snadné ji zapnout: https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior#types
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Připadá mi, že to vlastně chce poštelovat DHCP server, zkrátit dobu lease , zvětšit pool a tak ...
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Takovou věc ale mobilní telefony nedělají. Jeden telefon má vždy v dané síti s daným SSID jen jednu MAC adresu a ta se v čase nemění. Android má nějkou podporu pro neperzistentní náhodné MAC adresy, ta je ale vypnutá a není snadné ji zapnout: https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior#types
Tady jsem našel popis zmíněného chování. Pohledám aktuálnější
https://www.fing.com/news/private-mac-address-on-ios-14
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Takovou věc ale mobilní telefony nedělají. Jeden telefon má vždy v dané síti s daným SSID jen jednu MAC adresu a ta se v čase nemění. Android má nějkou podporu pro neperzistentní náhodné MAC adresy, ta je ale vypnutá a není snadné ji zapnout: https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior#types
Tady jsem našel popis zmíněného chování. Pohledám aktuálnější
https://www.fing.com/news/private-mac-address-on-ios-14
Tady je popis přímo od Apple (https://support.apple.com/cs-cz/102509). iOS 15 skutečně občas náhodnou MAC adresu změní, ale jen v případě, že se zařízení k dané síti 6 týdnů nepřipojilo.
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Takovou věc ale mobilní telefony nedělají. Jeden telefon má vždy v dané síti s daným SSID jen jednu MAC adresu a ta se v čase nemění. Android má nějkou podporu pro neperzistentní náhodné MAC adresy, ta je ale vypnutá a není snadné ji zapnout: https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior#types
Tady jsem našel popis zmíněného chování. Pohledám aktuálnější
https://www.fing.com/news/private-mac-address-on-ios-14
Tady je popis přímo od Apple (https://support.apple.com/cs-cz/102509). iOS 15 skutečně občas náhodnou MAC adresu změní, ale jen v případě, že se zařízení k dané síti 6 týdnů nepřipojilo.
Dík. Na výše uvedené stránce je odkaz : https://support.apple.com/cs-cz/102076
který vede na info, co je pro mne klíčové :
Pokud se (zařízení) nemůže připojit, protože Wi-Fi síť neumožňuje připojení zařízení s použitím náhodné soukromé adresy, okamžitě se pokusí připojit pomocí hardwarové MAC adresy….
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Takovou věc ale mobilní telefony nedělají. Jeden telefon má vždy v dané síti s daným SSID jen jednu MAC adresu a ta se v čase nemění. Android má nějkou podporu pro neperzistentní náhodné MAC adresy, ta je ale vypnutá a není snadné ji zapnout: https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior#types
Ondro ale to můžete zapnout celkem triviálně přes dev. prostředí. Klikat na verzi androidů, zadat heslo a odrolovat v nastaveni na konkrétní přepínátko mi nepřijde složité
-
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.
Navíc už mi prošlo rukou cosi (made in China asi netřeba uvádět neb je jasné), kde ten bit byl nastavenej mělo v fyzické MACovce, takže cesta do pekel
-
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Dejte tomu kratší lease time...
-
Takovou věc ale mobilní telefony nedělají. Jeden telefon má vždy v dané síti s daným SSID jen jednu MAC adresu a ta se v čase nemění. Android má nějkou podporu pro neperzistentní náhodné MAC adresy, ta je ale vypnutá a není snadné ji zapnout: https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior#types
Neměly by, ale také nám do sítě 2x přinesli lidi mobilní android Čína, která si měnil MAC adresu 1x za den bez ohledu na nastavení. Nu, měli smůlu s přístupem do zaměstnanecké wifi sítě...