Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Предложение по добавлению функциональности – выявление приватных/локальных MAC-адресов., UniFi Network
 
#1
03.06.2025 04:05:00
Множество производителей внедряют рандомизацию MAC-адресов:

*   Apple iOS & iPadOS 14 и более поздние версии
*   macOS 15 и более поздние версии
*   visionOS
*   watchOS 7 и более поздние версии
*   Microsoft Windows 10 и более поздние версии
*   Google Android 8 и более поздние версии

В основном, второй наименее значащий бит первого октета устанавливается в 1: x2-xx-xx-xx-xx-xxx6-xx-xx-xx-xx-xxxA-xx-xx-xx-xx-xxxE-xx-xx-xx-xx-xx.

В настоящее время Unifi Network показывает эти адреса как "Vendor '-' aka unknown". Поскольку эти локальные диапазоны MAC-адресов НИКОГДА не будут иметь Vendor OUI, они должны отображаться как 'Privacy MAC' или 'Local MAC' для информации о производителе.

Другой вариант использования – добавление фильтров для этих диапазонов адресов, возможно, для правил брандмауэра или даже сетевых правил (например, назначение VLAN).

Ссылки:

[www.mist.com/get-to-know-mac-address-randomization-in-2020/](<#0 >)

[support.apple.com/en-us/102509](support.apple.com/en-us/102509)

[source.android.com/docs/core/connect/wifi-mac-randomizations](source.android.com/docs/core/connect/wifi-mac-randomizations)

[support.microsoft.com/en-us/help/4027925/windows-how-and-why-to-use-random-hardware-addresses](support.microsoft.com/en-us/help/4027925/windows-how-and-why-to-use-random-hardware-addresses)

[datatracker.ietf.org/doc/html/rfc7042#section-2.1](datatracker.ietf.org/doc/html/rfc7042#section-2.1)

[wikipedia.org/wiki/MAC_address#Universal_vs._local_(U/L_bit)](wikipedia.org/wiki/MAC_address#Universal_vs._local_(U/L_bit))

[blogs.cisco.com/networking/randomized-and-changing-mac-rcm](blogs.cisco.com/networking/randomized-and-changing-mac-rcm)
 
 
 
#2
06.06.2025 01:26:00
То есть ты хочешь сказать, что потому что сеть предназначена для 'публичного' или 'гостевого' использования, её можно использовать, чтобы блокировать или ограничивать проблемных пользователей? В чём смысл блокировки или ограничения пользователя в 'публичной' или 'гостевой' сети, если он просто подключится снова с другим MAC-адресом, ведь так просто получить новый случайный MAC-адрес? Есть сценарии использования публичных/гостевых сетей, где страница точки доступа (Hotspot) не нужна, если можно отслеживать использование сети, но при этом требуется возможность выявлять злоумышленников. Применяя правила на основе этих диапазонов MAC-адресов, пользователей с рандомизацией MAC можно перенаправлять на страницу входа в точку доступа, а тех, у кого нет рандомизации, — позволить пропустить вход. И малые предприятия обычно не используют решения для конечных точек или MDM для управления устройствами, принесёнными сотрудниками (BYO) в сети только для персонала. Ты действительно не видишь никакой пользы даже в том, чтобы просто визуально идентифицировать этих пользователей в Unifi?
 
 
 
#3
04.06.2025 02:53:00
Если читать статью поддержки Apple, то указано, что адреса конфиденциальности не «последовательны» и не основаны на «хешировании MAC-адреса оборудования и SSID».

---
По умолчанию ваше устройство улучшит конфиденциальность, используя разный MAC-адрес для каждой сети Wi-Fi. Этот уникальный MAC-адрес является вашим частным Wi-Fi-адресом, который он будет использовать только для этой сети.

Если вы удалите все содержимое и настройки или сбросите сетевые настройки на вашем устройстве, оно будет использовать другой частный адрес при следующем подключении к сети.

До iOS 18, iPadOS 18, watchOS 11 и visionOS 2:

Если вы заставите ваше устройство забыть сеть, оно также забудет частный адрес, который использовал с этой сетью, если с момента последнего раза, когда оно было заставлено забыть эту сеть, прошло менее двух недель.

Если ваше устройство не подключалось к сети в течение шести недель, оно будет использовать другой частный адрес при следующем подключении к сети.

Начиная с iOS 18, iPadOS 18, macOS Sequoia, watchOS 11 и visionOS 2:

Если вы заставите ваше устройство забыть сеть, оно также забудет частный адрес, который использовал с этой сетью, если с момента последнего раза, когда оно было заставлено забыть эту сеть, прошло менее 24 часа.

Функция «Частный Wi-Fi-адрес» предлагает следующие настройки, которые можно изменить в любое время:

Отключено: Когда установлено значение «Отключено», ваше устройство использует свой аппаратный MAC-адрес.
Фиксированный: Когда установлено значение «Фиксированный», ваше устройство использует частный адрес, но частный адрес не меняется, независимо от безопасности сети или времени, прошедшего с момента последнего подключения к сети. Ваше устройство по умолчанию выберет «Фиксированный» при подключении к новой сети, использующей WPA2 или более надежную безопасность.
Поворотный: Когда установлено значение «Поворотный», ваше устройство использует частный адрес, который меняется на другой частный адрес каждые две недели. Ваше устройство по умолчанию выберет «Поворотный» при подключении к новой сети, использующей слабую безопасность или отсутствие безопасности.

---
Так что, по крайней мере, Apple не использует хеш аппаратного MAC-адреса и SSID сети.

Так что, если вы попытаетесь заблокировать пользователя или создать правило на основе EUI-48 Local MAC, это в лучшем случае будет временно полезно.

Я использую iOS 18 и watchOS 11 с тех пор, как были выпущены бета-версии в прошлом году, и за последние 60 дней моя домашняя сеть зафиксировала более 50 Apple Watch и более 30 iPhone в сети (фактически существуют только 2 Apple Watch и iPhone), и это при настройке «Фиксированный».

Было бы здорово на корпоративных и бизнес-сетях назначать трафику и сетевым правилам.

Большинство поставщиков, реализующих MAC-адреса для обеспечения конфиденциальности, предоставляют возможность настройки этой настройки через решения для управления конечными точками или MDM.

Но на публичных или гостевых сетях это невозможно, поэтому нам нужно иметь возможность визуализировать эти клиенты и создавать правила/фильтры на основе диапазонов конфиденциальности MAC.

Кстати, существует проект спецификации IEEE, пытающийся формализовать эти реализации по каждому поставщику IEEE 802.1cq
 
 
 
#4
03.06.2025 21:43:00
В общем, сгенерированные MAC-адреса, как правило, согласованы — например, для одного SSID операционная система по сути хеширует аппаратный MAC и SSID в согласованный MAC. Исходя из этого, скорее всего, одно и то же устройство будет отображаться с разными MAC-адресами для каждого SSID. Мне хотелось бы иметь возможность говорить: "эти MAC-адреса на самом деле принадлежат одному устройству" и чтобы их статистика объединялась. Этот сценарий также полезен, если устройство иногда подключается по Ethernet, а иногда по Wi-Fi.
 
 
 
#5
03.06.2025 08:24:00
Еще одно полезное применение (и очень нужное) было бы в том, чтобы просто иметь возможность блокировать приватные Mac-адреса полностью. Хотя, "зона отстранения" — точка доступа с просьбой отключить настройки приватности — тоже могла бы быть интересным вариантом использования.
 
 
 
Страницы: 1
Читают тему (гостей: 1)