MAC地址随机化 在网络行业并不是一个新名词,它已经存在了好几年。无线客户端在还没有和无线网络关联并建立连接时发送探测请求时可以使用随机生成的MAC地址以防止设备的位置被跟踪。而在真正关联期间,客户端设备将使用其“真实”硬件MAC地址。但是,随着即将发布的iOS 14 / WatchOS 7,Android 10+,甚至是Windows 10的一些最新版本,这种情况正在改变。移动设备行业的新变化不仅是在无线网络发现阶段使用随机分配的MAC地址,而且在客户端设备关联无线网络后也将如此。这一重大变化将对业界产生深远的的影响,今天让我们看看这些变化对企业和网络供应商而言分别意味着什么。
为什么要进行MAC地址随机化?
像Google和Apple这样的设备制造商的意图是“降低隐私风险”,这与业界通过设备唯一MAC地址来了解客户端设备的网络使用并进行定位的问题有关。当然我们可以从不同角度来看待这个问题,从Google或Apple的角度来看,与典型的企业甚至家庭用户相比,他们为MAC地址提供了不同的跟踪选项。而从网络设备供应商、应用或者其他角度来看这么做明显带来了不便。但是不管你喜不喜欢、愿不愿意,新的MAC地址随机化算法将广泛应用于无线网络(无线局域网)连接,甚至未来应用于所有通信。
如何识别随机MAC地址?
幸运的是识别随机MAC地址很容易。在MAC地址的OUI部分中有一位原来表示该MAC地址是随机还是本地管理的地址。方法是查看MAC地址中的第二个字符,如果它是2、6,A或E,则它是一个随机地址。在下图中,我们知道终端的Wi-Fi 网卡MAC地址为 92:B1:B8:42:D1:85,因为第二个字符是2,所以这是一个随机MAC地址。
新的随机化MAC地址逻辑将如何工作?
有许多资源将提供有关MAC随机算法细节的详细信息,您可以在本文后面参考资料部分中找到这些资源。在这里我们将重点介绍随机的逻辑。下表总结了默认情况下不同类型的移动终端设备将如何实现MAC地址随机化逻辑,默认情况下的配置,这非常重要,因为除非这些设备将由企业统一管理,否则这些默认设置可能会持续存在,因为没人想去或者会去更改它们。
操作系统 | 支持MAC地址随机化 | 默认启用 | 根据SSID / Hotspot2.0配置文件启用 | 每日随机 |
微软 Windows 10 | 是 | 没有 | 是 | 可选的* |
苹果 iOS 14 / WatchOS 7 | 是 | 是 | 是 | 否 |
安卓 Android 10以上 | 是 | 是 | 是 | 可选(仅限Android 11) |
苹果 MacOS 系统 | 否 (截至2020 年9月) | 否 | 否 | 否 |
注意:对于已升级到iOS 14或Android 10的任何移动设备(iOS或Android),默认情况下,现有已保存的网络(SSID)不会启用随机MAC。
参考文献
Windows 10 – https://support.microsoft.com/zh-CN/help/4027925/windows-how-and-why-to-use-random-hardware-addresses
iOS – https://support.apple.com/zh-CN/HT211227
Android(10)– https://source.android.com/devices/tech/connect/wifi-mac-randomization
哪些网络服务可能会受到这一变化的影响?
自从开天辟地有了网络行业以来,所有网络基础设施设备(从交换机的MAC地址转发表,路由器上的ARP表,到DHCP服务器上的DHCP绑定列表……)都将MAC地址视为单个唯一的二层设备标识符来对其进行操作。随着这一新的变化出现,网络中哪些要素将会受到影响?首先,对于有线网络的影响几乎没有。其次,对于无线网络特别是无线局域网的影响比较大!我们试着罗列一下,如不全面还请大家补充。
1.MAC关联过滤列表(俗称MAC filter)。这是业界很久以前就打算停止使用的过时东西,因为MAC地址本身在客户端一侧太容易伪造了!今天在每个SSID级别启用MAC地址随机化将不会直接影响MAC ACL的功能,除非用户启用设备设置中的每日MAC地址随机轮换功能,尤其是如果随机MAC地址每日轮换未来成为所有客户端的统一规范(非常有可能发生),这将给网管带来巨大灾难,想象一下你昨天刚刚通过MAC地址禁止了一个用户,今天他又在网络中出现了!另外如今还有许多IT系统都依赖于客户端的MAC地址来建立客户端黑名单/白名单列表,以便禁止/允许访问相关功能。这实际上是潜在的安全问题而不是一个技术问题,用户可以很容易的生成新的伪造MAC地址,从而克服这项限制。
2.具有MAC注册功能的访客强制门户(Guest Captive Portals) – 很多访客强制门户为了防止频繁的浏览器重新登录以改善用户体验,仅仅通过基于MAC的“一次性”注册功能来完成。如果用户启用每日MAC地址随机化功能(当前适用于Windows和Android 11,并且默认情况下处于关闭状态),来宾用户每天都将重新进行强制门户登录。解决此问题的潜在的长期解决方案是迁移到Hotspot 2.0,该解决方案不仅为用户提供安全的端到端通信和自动网络发现,而且还提供了基于用户的更精细的标识。但是这好像也违背了启用随机MAC地址以保护隐私的原始概念。
3.DHCP服务器 – 为了确保每当有人决定开启定期MAC地址随机轮换时DHCP进程顺利进行,是时候开始使用较短的DHCP地址租期了。DHCP租约时间不应超过24小时。
4.Wi-Fi分析和故障排除 – 基于当前的分析和新客户端的默认行为,我们不必担心随机MAC地址对于无线网络分析方面的影响,除非客户端频繁切换SSID,在这种情况下,识别SSID跳转变会变得更加困难。但是,如果用户启用了随机MAC地址每日轮换,则以往通过历史记录对客户端进行故障排除或查看特定客户端的网络分析将更具挑战性。以往,我们通常使用MAC来识别用户,所以当用户报告任何无线网络连接问题时,典型的问题是:“请问您可以告诉我您的MAC地址吗?”但是随着MAC地址随机化的不断扩散,您可能会听到“您是否知道问题发生时您的MAC地址吗?”这类哭笑不得的问题。这就需要引入基于用户身份(例如802.1x/EAP认证、Web认证等等)的设备追踪和关联技术,以将多个随机MAC地址组合到单个设备连接体验的历史记录中。此处引入人工智能和机器学习机制将一定会大大帮助网络的运维人员!
5.基于Wi-Fi的位置跟踪和分析 – 业界最初借助于无线探测帧(Probe)进行被动的位置追踪和分析方法虽然后来被利用无线客户端关联无线网络后的真实MAC地址追踪技术取代,但是随着客户端将以随机MAC地址(每天改变) 关联无线网络,单纯基于Wi-Fi网络对于客户端进行位置追踪和分析明显将受到巨大挑战。这需要移动应用引入其他机制来进行定位,例如BLE。
企业应该如何面对这一变化?需要吗?
总体而言,对于任何由企业统一管理的移动设备(iOS,Android),都可以通过统一推送(通过使用现有的移动设备管理[MDM]解决方案)禁用随机MAC地址功能的SSID配置文件到终端设备来应对。同样,iOS 14或Android 11中的新变化并不意味着用户升级终端设备软件版本后,客户端工作行为会一夜之间发生重大变化,整个IT维护团队会在一夜之间遇到重大问题。还记得吗?对于已升级到iOS 14或Android 10的任何移动设备(iOS或Android),默认情况下,现有已保存的网络(SSID)不会启用随机MAC!对于任何现有的SSID或网络配置文件,“真实”硬件MAC地址将像以前一样使用。
既然现在看起来它并不会产生任何戏剧性的效果,那为什么还我们还要关心它?虽然这次MAC地址随机化的变化并不是按照按每天甚至每个会话进行随机分配,但是这并不意味着将来不会发生。之前的一些测试我看到过Android 11和iOS 14的早期beta版本确实以更为激进的方式对MAC地址进行了随机分配(最高可以按会话进行随机分配)。这些早期的beta版本的工作方式显示了相关设备在未来可能发生的变化,即尽可能地将MAC随机化最大化。也许,我们离所有的终端设备制造商选择每天都默认随机分配MAC地址的距离可能已经不太远了。
网络基础设施供应商可以做什么?
网络厂商应该在用户名、客户端主机名(例如DHCP选项12中提供)和实际客户端MAC地址之间提供更好的关联技术。通常,基于用户身份的标识(例如802.1x/EAP认证、Web认证等等)将提供更好的网络可见性。具有讽刺意味的是,通过启用随机MAC地址来提供看似更好的隐私将慢慢迫使每个人转向基于用户身份的标识,这似乎会对隐私保护产生相反的影响,尤其是对于无线访客网络而言。
最后
当今时代,唯一不变的就是一直在变化,新的技术和事物层出不穷。与其畏惧新的变化,不如了解它并勇敢面对。
6046
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
