Zákaz náhodné MAC adresy

Josef Jindra · « **kdy:** 23. 12. 2023, 10:10:16 »

Zdravím, už jsem to psal pod zprávičku ale spíše ten dotaz patří asi sem :

Netušíte zda a potenciálně jak se dá zakázat změna MAC pro MT ze strany sítě (teda nastavením routeru/firewallu/DHCP serveru) ?

Díky

Reklama

FKoudelka · « **Odpověď #1 kdy:** 23. 12. 2023, 11:18:47 »

obecně nevím, ale třeba Cisco AP se dá nastavit, aby je odmítalo připojit

Wasper · « **Odpověď #2 kdy:** 23. 12. 2023, 11:20:32 »

Obecně je to ekvivalentní s otázkou: Jak se dá jednomu zařízení zabránit, aby se vypnulo ve stejné chvíli, kdy se zapne jiné?

Pokud máte na domácí WiFině whitelist MACovek, tak se to logicky tomu zabrání jako vedlější efekt, ale předpokládám na tohle se neptáte. To samé, pokud se podle MAC zařízení hází do různých classů a podle toho jsou omezena (rychlost, prostupy etc.) - opět to spíš funguje jako scream test ;-)

Jako můžete se kouknout do nastavení profilů na Vaše zařízení, tuším že do vovcofounu to vnutit nějak šlo přes DisableAssociationMACRandomization v configu.

Edit: No na enterprise Wifi opřené o Radius Vás to patrně nemusí tolik trápit, ale doma kde máte patrně něco jako WPA2/PSK ano.

František Ryšánek · « **Odpověď #3 kdy:** 23. 12. 2023, 11:42:26 »

statický ARP záznam ?

FKoudelka · « **Odpověď #4 kdy:** 23. 12. 2023, 13:59:12 »

Citace: FKoudelka 23. 12. 2023, 11:18:47

obecně nevím, ale třeba Cisco AP se dá nastavit, aby je odmítalo připojit

ale nastavit se to nesmí, říďa by se zlobil, že se nepřipojí :-)

Reklama

FKoudelka · « **Odpověď #5 kdy:** 23. 12. 2023, 14:02:53 »

Citace: Wasper 23. 12. 2023, 11:20:32

Obecně je to ekvivalentní s otázkou: Jak se dá jednomu zařízení zabránit, aby se vypnulo ve stejné chvíli, kdy se zapne jiné?

Pokud máte na domácí WiFině whitelist MACovek, tak se to logicky tomu zabrání jako vedlější efekt, ale předpokládám na tohle se neptáte. To samé, pokud se podle MAC zařízení hází do různých classů a podle toho jsou omezena (rychlost, prostupy etc.) - opět to spíš funguje jako scream test ;-)

Jako můžete se kouknout do nastavení profilů na Vaše zařízení, tuším že do vovcofounu to vnutit nějak šlo přes DisableAssociationMACRandomization v configu.

Edit: No na enterprise Wifi opřené o Radius Vás to patrně nemusí tolik trápit, ale doma kde máte patrně něco jako WPA2/PSK ano.

jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?

tady je pekny popis , mimo jiné
https://datatracker.ietf.org/doc/draft-ietf-madinas-mac-address-randomization/
Zuniga, et al. Expires 7 May 2024 [Page 3]
Internet-Draft Randomized and Changing MAC Address stat November 2023

+--------+--------+---------+--------+--------+---------+
| Organizationally Unique | Network Interface |
| Identifier (OUI) | Controller (NIC) Specific |
+--------+--------+---------+--------+--------+---------+
/ \
/ \
/ \ b0 (I/G bit):
/ \ 0: unicast
/ \ 1: multicast
/ \
/ \ b1 (U/L bit):
+--+--+--+--+--+--+--+--+ 0: globally unique (OUI enforced)
|b7|b6|b5|b4|b3|b2|b1|b0| 1: locally administered
+--+--+--+--+--+--+--+--+

_Jenda · « **Odpověď #6 kdy:** 23. 12. 2023, 14:14:09 »

Citace: FKoudelka 23. 12. 2023, 14:02:53

jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?

No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.

metabug · « **Odpověď #7 kdy:** 23. 12. 2023, 16:44:57 »

Citace: FKoudelka 23. 12. 2023, 14:02:53

jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?

tady je pekny popis , mimo jiné
https://datatracker.ietf.org/doc/draft-ietf-madinas-mac-address-randomization/
Zuniga, et al. Expires 7 May 2024 [Page 3]
Internet-Draft Randomized and Changing MAC Address stat November 2023

+--------+--------+---------+--------+--------+---------+
| Organizationally Unique | Network Interface |
| Identifier (OUI) | Controller (NIC) Specific |
+--------+--------+---------+--------+--------+---------+
/ \
/ \
/ \ b0 (I/G bit):
/ \ 0: unicast
/ \ 1: multicast
/ \
/ \ b1 (U/L bit):
+--+--+--+--+--+--+--+--+ 0: globally unique (OUI enforced)
|b7|b6|b5|b4|b3|b2|b1|b0| 1: locally administered
+--+--+--+--+--+--+--+--+

How to Identify a Randomized MAC Address?
Fortunately it is easy to identify randomized MAC addresses. There is a bit which gets set in the OUI portion of a MAC address to signify a randomized / locally administered address. The quick synopsis is look at the second character in a MAC address, if it is a 2, 6, A, or E it is a randomized address.

S tím blacklistováním je to jak kde. V dnsmasq třeba

Kód: [Vybrat]

dhcp-host=*2:*:*:*:*:*,ignore
dhcp-host=*6:*:*:*:*:*,ignore
dhcp-host=*a:*:*:*:*:*,ignore
dhcp-host=*e:*:*:*:*:*,ignore

FKoudelka · « **Odpověď #8 kdy:** 23. 12. 2023, 16:49:25 »

Citace: _Jenda 23. 12. 2023, 14:14:09

Citace: FKoudelka 23. 12. 2023, 14:02:53
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.

No můj use case by byl nepustit do wifi BYOD věci s random adresami. Ale chápu, že na to je RADIUS. Jen by mne zajímalo, jestli a jak se ty “locally administered” adresy dají administrovat.
Jediné , co šlo, tak v DHCP na Win šlo zakázat přes vendor option Androidy.

Josef Jindra · « **Odpověď #9 kdy:** 23. 12. 2023, 17:14:33 »

Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.

Marek Staněk · « **Odpověď #10 kdy:** 23. 12. 2023, 17:23:05 »

Citace: _Jenda 23. 12. 2023, 14:14:09

Citace: FKoudelka 23. 12. 2023, 14:02:53
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.

to by na wifi asi nemuselo úplně vadit...

Marek Staněk · « **Odpověď #11 kdy:** 23. 12. 2023, 17:24:24 »

Citace: Josef Jindra 23. 12. 2023, 17:14:33

Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.

to by pak asi celý poněkud ztrácelo smysl, že?

František Ryšánek · « **Odpověď #12 kdy:** 23. 12. 2023, 17:38:10 »

No v isc-dhcpd se dá chytat kde čeho. Tuším standardně mapuje/drží adresy radši podle "Client ID" (což je za určitých okolností duplicitní klíč) než podle MAC adresy apod. V tcpdumpu v DHCP dotazech vidím běžně opšny Client ID, Hostname a FQDN. Třeba v dotazech od PXE stacků se dá rozlišovat legacy/UEFI podle opšny "Architecture Type", hledané řetězce lze zadávat jako ASCII nebo hexa atd. Myslím, že ledacos by uměl třeba i dnsmasq (použitý v OpenWRT). Pokud by Vám něco z toho bylo užitečné...

Ondřej Caletka · « **Odpověď #13 kdy:** 23. 12. 2023, 17:56:00 »

Citace: Josef Jindra 23. 12. 2023, 17:14:33

Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.

Takovou věc ale mobilní telefony nedělají. Jeden telefon má vždy v dané síti s daným SSID jen jednu MAC adresu a ta se v čase nemění. Android má nějkou podporu pro neperzistentní náhodné MAC adresy, ta je ale vypnutá a není snadné ji zapnout: https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior#types

FKoudelka · « **Odpověď #14 kdy:** 23. 12. 2023, 18:40:44 »

Citace: Josef Jindra 23. 12. 2023, 17:14:33

Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.

Připadá mi, že to vlastně chce poštelovat DHCP server, zkrátit dobu lease , zvětšit pool a tak ...

Zákaz náhodné MAC adresy

Josef Jindra

Zákaz náhodné MAC adresy

Reklama

FKoudelka

Re:Náhodné MAC

Wasper

Re:Náhodné MAC

František Ryšánek

Re:Náhodné MAC

FKoudelka

Re:Náhodné MAC

Reklama

FKoudelka

Re:Náhodné MAC

_Jenda

Re:Náhodné MAC

metabug

Re:Náhodné MAC

FKoudelka

Re:Náhodné MAC

Josef Jindra

Re:Zákaz náhodné MAC adresy

Marek Staněk

Re:Náhodné MAC

Marek Staněk

Re:Zákaz náhodné MAC adresy

František Ryšánek

Re:Zákaz náhodné MAC adresy

Ondřej Caletka

Re:Zákaz náhodné MAC adresy

FKoudelka

Re:Zákaz náhodné MAC adresy