Zákaz náhodné MAC adresy

Zákaz náhodné MAC adresy
« kdy: 23. 12. 2023, 10:10:16 »
Zdravím, už jsem to psal pod zprávičku ale spíše ten dotaz patří asi sem :

Netušíte zda a potenciálně jak se dá zakázat změna MAC pro MT ze strany sítě (teda nastavením routeru/firewa­llu/DHCP serveru) ?

Díky
« Poslední změna: 23. 12. 2023, 13:53:18 od Petr Krčmář »


FKoudelka

Re:Náhodné MAC
« Odpověď #1 kdy: 23. 12. 2023, 11:18:47 »
obecně nevím, ale třeba Cisco AP se dá nastavit, aby je odmítalo připojit

Wasper

  • ***
  • 120
    • Zobrazit profil
    • E-mail
Re:Náhodné MAC
« Odpověď #2 kdy: 23. 12. 2023, 11:20:32 »
Obecně je to ekvivalentní s otázkou: Jak se dá jednomu zařízení zabránit, aby se vypnulo ve stejné chvíli, kdy se zapne jiné?

Pokud máte na domácí WiFině whitelist MACovek, tak se to logicky tomu zabrání jako vedlější efekt, ale předpokládám na tohle se neptáte. To samé, pokud se podle MAC zařízení hází do různých classů a podle toho jsou omezena (rychlost, prostupy etc.) - opět to spíš funguje jako scream test ;-)

Jako můžete se kouknout do nastavení profilů na Vaše zařízení, tuším že do vovcofounu to vnutit nějak šlo přes  DisableAssociationMACRandomization v configu.

Edit: No na enterprise Wifi opřené o Radius Vás to patrně nemusí tolik trápit, ale doma kde máte patrně něco jako WPA2/PSK ano.
« Poslední změna: 23. 12. 2023, 11:22:13 od Wasper »

Re:Náhodné MAC
« Odpověď #3 kdy: 23. 12. 2023, 11:42:26 »
statický ARP záznam ?

FKoudelka

Re:Náhodné MAC
« Odpověď #4 kdy: 23. 12. 2023, 13:59:12 »
obecně nevím, ale třeba Cisco AP se dá nastavit, aby je odmítalo připojit
ale nastavit se to nesmí, říďa by se zlobil, že se nepřipojí :-)


FKoudelka

Re:Náhodné MAC
« Odpověď #5 kdy: 23. 12. 2023, 14:02:53 »
Obecně je to ekvivalentní s otázkou: Jak se dá jednomu zařízení zabránit, aby se vypnulo ve stejné chvíli, kdy se zapne jiné?

Pokud máte na domácí WiFině whitelist MACovek, tak se to logicky tomu zabrání jako vedlější efekt, ale předpokládám na tohle se neptáte. To samé, pokud se podle MAC zařízení hází do různých classů a podle toho jsou omezena (rychlost, prostupy etc.) - opět to spíš funguje jako scream test ;-)

Jako můžete se kouknout do nastavení profilů na Vaše zařízení, tuším že do vovcofounu to vnutit nějak šlo přes  DisableAssociationMACRandomization v configu.

Edit: No na enterprise Wifi opřené o Radius Vás to patrně nemusí tolik trápit, ale doma kde máte patrně něco jako WPA2/PSK ano.
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?

tady je pekny popis , mimo jiné
https://datatracker.ietf.org/doc/draft-ietf-madinas-mac-address-randomization/
Zuniga, et al.             Expires 7 May 2024                   [Page 3]
Internet-Draft  Randomized and Changing MAC Address stat   November 2023

           +--------+--------+---------+--------+--------+---------+
           |  Organizationally Unique  |     Network Interface     |
           |     Identifier (OUI)      | Controller (NIC) Specific |
           +--------+--------+---------+--------+--------+---------+
          /          \
         /            \
        /              \          b0 (I/G bit):
       /                \             0: unicast
      /                  \            1: multicast
     /                    \
    /                      \      b1 (U/L bit):
   +--+--+--+--+--+--+--+--+          0: globally unique (OUI enforced)
   |b7|b6|b5|b4|b3|b2|b1|b0|          1: locally administered
   +--+--+--+--+--+--+--+--+
« Poslední změna: 23. 12. 2023, 14:10:11 od FKoudelka »

_Jenda

  • *****
  • 1 600
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Náhodné MAC
« Odpověď #6 kdy: 23. 12. 2023, 14:14:09 »
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.

Re:Náhodné MAC
« Odpověď #7 kdy: 23. 12. 2023, 16:44:57 »
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?

tady je pekny popis , mimo jiné
https://datatracker.ietf.org/doc/draft-ietf-madinas-mac-address-randomization/
Zuniga, et al.             Expires 7 May 2024                   [Page 3]
Internet-Draft  Randomized and Changing MAC Address stat   November 2023

           +--------+--------+---------+--------+--------+---------+
           |  Organizationally Unique  |     Network Interface     |
           |     Identifier (OUI)      | Controller (NIC) Specific |
           +--------+--------+---------+--------+--------+---------+
          /          \
         /            \
        /              \          b0 (I/G bit):
       /                \             0: unicast
      /                  \            1: multicast
     /                    \
    /                      \      b1 (U/L bit):
   +--+--+--+--+--+--+--+--+          0: globally unique (OUI enforced)
   |b7|b6|b5|b4|b3|b2|b1|b0|          1: locally administered
   +--+--+--+--+--+--+--+--+

How to Identify a Randomized MAC Address?
Fortunately it is easy to identify randomized MAC addresses. There is a bit which gets set in the OUI portion of a MAC address to signify a randomized / locally administered address. The quick synopsis is look at the second character in a MAC address, if it is a 2, 6, A, or E it is a randomized address.

S tím blacklistováním je to jak kde. V dnsmasq třeba
Kód: [Vybrat]
dhcp-host=*2:*:*:*:*:*,ignore
dhcp-host=*6:*:*:*:*:*,ignore
dhcp-host=*a:*:*:*:*:*,ignore
dhcp-host=*e:*:*:*:*:*,ignore

FKoudelka

Re:Náhodné MAC
« Odpověď #8 kdy: 23. 12. 2023, 16:49:25 »
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.
No můj use case by byl nepustit do wifi BYOD věci s random adresami. Ale chápu, že na to je RADIUS. Jen by mne zajímalo, jestli a jak se ty “locally administered” adresy dají administrovat.
Jediné , co šlo, tak v DHCP na Win šlo zakázat  přes vendor option Androidy.

Re:Zákaz náhodné MAC adresy
« Odpověď #9 kdy: 23. 12. 2023, 17:14:33 »
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.

Re:Náhodné MAC
« Odpověď #10 kdy: 23. 12. 2023, 17:23:05 »
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.

to by na wifi asi nemuselo úplně vadit...

Re:Zákaz náhodné MAC adresy
« Odpověď #11 kdy: 23. 12. 2023, 17:24:24 »
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.

to by pak asi celý poněkud ztrácelo smysl, že?

Re:Zákaz náhodné MAC adresy
« Odpověď #12 kdy: 23. 12. 2023, 17:38:10 »
No v isc-dhcpd se dá chytat kde čeho. Tuším standardně mapuje/drží adresy radši podle "Client ID" (což je za určitých okolností duplicitní klíč) než podle MAC adresy apod. V tcpdumpu v DHCP dotazech vidím běžně opšny Client ID, Hostname a FQDN. Třeba v dotazech od PXE stacků se dá rozlišovat legacy/UEFI podle opšny "Architecture Type", hledané řetězce lze zadávat jako ASCII nebo hexa atd. Myslím, že ledacos by uměl třeba i dnsmasq (použitý v OpenWRT). Pokud by Vám něco z toho bylo užitečné...

Re:Zákaz náhodné MAC adresy
« Odpověď #13 kdy: 23. 12. 2023, 17:56:00 »
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Takovou věc ale mobilní telefony nedělají. Jeden telefon má vždy v dané síti s daným SSID jen jednu MAC adresu a ta se v čase nemění. Android má nějkou podporu pro neperzistentní náhodné MAC adresy, ta je ale vypnutá a není snadné ji zapnout: https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior#types

FKoudelka

Re:Zákaz náhodné MAC adresy
« Odpověď #14 kdy: 23. 12. 2023, 18:40:44 »
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Připadá mi,  že to vlastně chce poštelovat DHCP server, zkrátit dobu lease , zvětšit pool a tak ...