瞭解 “MAC 地址隨機化” 刻不容緩

MAC地址隨機化 在網路行業並不是一個新名詞，它已經存在了好幾年。無線客戶端在還沒有和無線網路關聯並建立連線時傳送探測請求時可以使用隨機生成的MAC地址以防止裝置的位置被跟蹤。而在真正關聯期間，客戶端裝置將使用其“真實”硬體MAC地址。但是，隨著即將釋出的iOS 14 / WatchOS 7，Android 10+，甚至是Windows 10的一些最新版本，這種情況正在改變。移動裝置行業的新變化不僅是在無線網路發現階段使用隨機分配的MAC地址，而且在客戶端裝置關聯無線網路後也將如此。這一重大變化將對業界產生深遠的的影響，今天讓我們看看這些變化對企業和網路供應商而言分別意味著什麼。

為什麼要進行MAC地址隨機化?

像Google和Apple這樣的裝置製造商的意圖是“降低隱私風險”，這與業界通過裝置唯一MAC地址來了解客戶端裝置的網路使用並進行定位的問題有關。當然我們可以從不同角度來看待這個問題，從Google或Apple的角度來看，與典型的企業甚至家庭使用者相比，他們為MAC地址提供了不同的跟蹤選項。而從網路裝置供應商、應用或者其他角度來看這麼做明顯帶來了不便。但是不管你喜不喜歡、願不願意，新的MAC地址隨機化演算法將廣泛應用於無線網路(無線區域網)連線，甚至未來應用於所有通訊。

如何識別隨機MAC地址?

幸運的是識別隨機MAC地址很容易。在MAC地址的OUI部分中有一位原來表示該MAC地址是隨機還是本地管理的地址。方法是檢視MAC地址中的第二個字元，如果它是2、6，A或E，則它是一個隨機地址。在下圖中，我們知道終端的Wi-Fi 網路卡MAC地址為 92：B1：B8：42：D1：85，因為第二個字元是2，所以這是一個隨機MAC地址。

新的隨機化MAC地址邏輯將如何工作?

有許多資源將提供有關MAC隨機演算法細節的詳細資訊，您可以在本文後面參考資料部分中找到這些資源。在這裡我們將重點介紹隨機的邏輯。下表總結了預設情況下不同型別的移動終端裝置將如何實現MAC地址隨機化邏輯，預設情況下的配置，這非常重要，因為除非這些裝置將由企業統一管理，否則這些預設設定可能會持續存在，因為沒人想去或者會去更改它們。

注意：對於已升級到iOS 14或Android 10的任何移動裝置(iOS或Android)，預設情況下，現有已儲存的網路(SSID)不會啟用隨機MAC。

參考文獻

Windows 10 –

iOS –

Android(10)– https://source.android.com/devices/tech/connect/wifi-mac-randomization

哪些網路服務可能會受到這一變化的影響?

自從開天闢地有了網路行業以來，所有網路基礎設施裝置(從交換機的MAC地址轉發表，路由器上的ARP表，到DHCP伺服器上的DHCP繫結列表……)都將MAC地址視為單個唯一的二層裝置識別符號來對其進行操作。隨著這一新的變化出現，網路中哪些要素將會受到影響?首先，對於有線網路的影響幾乎沒有。其次，對於無線網路特別是無線區域網的影響比較大!我們試著羅列一下，如不全面還請大家補充。

1.MAC關聯過濾列表(俗稱MAC filter)。這是業界很久以前就打算停止使用的過時東西，因為MAC地址本身在客戶端一側太容易偽造了!今天在每個SSID級別啟用MAC地址隨機化將不會直接影響MAC ACL的功能，除非使用者啟用裝置設定中的每日MAC地址隨機輪換功能，尤其是如果隨機MAC地址每日輪換未來成為所有客戶端的統一規範(非常有可能發生)，這將給網管帶來巨大災難，想象一下你昨天剛剛通過MAC地址禁止了一個使用者，今天他又在網路中出現了!另外如今還有許多IT系統都依賴於客戶端的MAC地址來建立客戶端黑名單/白名單列表，以便禁止/允許訪問相關功能。這實際上是潛在的安全問題而不是一個技術問題，使用者可以很容易的生成新的偽造MAC地址，從而克服這項限制。

2.具有MAC註冊功能的訪客強制門戶(Guest Captive Portals) – 很多訪客強制門戶為了防止頻繁的瀏覽器重新登入以改善使用者體驗，僅僅通過基於MAC的“一次性”註冊功能來完成。如果使用者啟用每日MAC地址隨機化功能(當前適用於Windows和Android 11，並且預設情況下處於關閉狀態)，來賓使用者每天都將重新進行強制門戶登入。解決此問題的潛在的長期解決方案是遷移到Hotspot 2.0，該解決方案不僅為使用者提供安全的端到端通訊和自動網路發現，而且還提供了基於使用者的更精細的標識。但是這好像也違背了啟用隨機MAC地址以保護隱私的原始概念。

3.DHCP伺服器 – 為了確保每當有人決定開啟定期MAC地址隨機輪換時DHCP程式順利進行，是時候開始使用較短的DHCP地址租期了。DHCP租約時間不應超過24小時。

4.Wi-Fi分析和故障排除 – 基於當前的分析和新客戶端的預設行為，我們不必擔心隨機MAC地址對於無線網路分析方面的影響，除非客戶端頻繁切換SSID，在這種情況下，識別SSID跳轉變會變得更加困難。但是，如果使用者啟用了隨機MAC地址每日輪換，則以往通過歷史記錄對客戶端進行故障排除或檢視特定客戶端的網路分析將更具挑戰性。以往，我們通常使用MAC來識別使用者，所以當使用者報告任何無線網路連線問題時，典型的問題是：“請問您可以告訴我您的MAC地址嗎?”但是隨著MAC地址隨機化的不斷擴散，您可能會聽到“您是否知道問題發生時您的MAC地址嗎?”這類哭笑不得的問題。這就需要引入基於使用者身份(例如802.1x/EAP認證、Web認證等等)的裝置追蹤和關聯技術，以將多個隨機MAC地址組合到單個裝置連線體驗的歷史記錄中。此處引入人工智慧和機器學習機制將一定會大大幫助網路的運維人員!

5.基於Wi-Fi的位置跟蹤和分析 – 業界最初藉助於無線探測幀(Probe)進行被動的位置追蹤和分析方法雖然後來被利用無線客戶端關聯無線網路後的真實MAC地址追蹤技術取代，但是隨著客戶端將以隨機MAC地址(每天改變) 關聯無線網路，單純基於Wi-Fi網路對於客戶端進行位置追蹤和分析明顯將受到巨大挑戰。這需要移動應用引入其他機制來進行定位，例如BLE。

企業應該如何面對這一變化?需要嗎?

總體而言，對於任何由企業統一管理的移動裝置(iOS，Android)，都可以通過統一推送(通過使用現有的移動裝置管理[MDM]解決方案)禁用隨機MAC地址功能的SSID配置檔案到終端裝置來應對。同樣，iOS 14或Android 11中的新變化並不意味著使用者升級終端裝置軟體版本後，客戶端工作行為會一夜之間發生重大變化，整個IT維護團隊會在一夜之間遇到重大問題。還記得嗎?對於已升級到iOS 14或Android 10的任何移動裝置(iOS或Android)，預設情況下，現有已儲存的網路(SSID)不會啟用隨機MAC!對於任何現有的SSID或網路配置檔案，“真實”硬體MAC地址將像以前一樣使用。

既然現在看起來它並不會產生任何戲劇性的效果，那為什麼還我們還要關心它?雖然這次MAC地址隨機化的變化並不是按照按每天甚至每個會話進行隨機分配，但是這並不意味著將來不會發生。之前的一些測試我看到過Android 11和iOS 14的早期beta版本確實以更為激進的方式對MAC地址進行了隨機分配(最高可以按會話進行隨機分配)。這些早期的beta版本的工作方式顯示了相關裝置在未來可能發生的變化，即儘可能地將MAC隨機化最大化。也許，我們離所有的終端裝置製造商選擇每天都預設隨機分配MAC地址的距離可能已經不太遠了。

網路基礎設施供應商可以做什麼?

網路廠商應該在使用者名稱、客戶端主機名(例如DHCP選項12中提供)和實際客戶端MAC地址之間提供更好的關聯技術。通常，基於使用者身份的標識(例如802.1x/EAP認證、Web認證等等)將提供更好的網路可見性。具有諷刺意味的是，通過啟用隨機MAC地址來提供看似更好的隱私將慢慢迫使每個人轉向基於使用者身份的標識，這似乎會對隱私保護產生相反的影響，尤其是對於無線訪客網路而言。

最後

當今時代，唯一不變的就是一直在變化，新的技術和事物層出不窮。與其畏懼新的變化，不如瞭解它並勇敢面對。