WiFi MAC Randomization

[aemonblackfyre]

Hallo,

uns ist ein komischer Fall untergekommen den ich mir nur so erklären kann, ich wollte aber mal nachhorschen ob das so ist.

Wir haben ein offenes Netzwerk bei dem man sich erst auf einem capitve portal anmelden muss. Wenn man jedoch bereits angemeldet war in den vergangegen 24h kann man das Netzwerk direkt nutzen.

Gestern wurde ein neues Gerät aufgebaut und hat beim verbinden mit dem Netzwerk direkt Internetzugriff erhalten obwohl es sich noch nie angemeldet hatte.
In den Logs konnte man sehen, dass die MAC Adresse sich schon bevor das neue Gerät angekommen war angemeldet hatte. Eigentlich sind MAC Adressen ja eindeutig und nur eine Zufallsadresse, die ja viele neue Geräte bei WiFi bieten, kommt an diesem Zwang vorbei.

Die Frage ist jetzt, wie das gehandhabt wird. Gibt es einen festen Pool von MAC Adressen die dafür verwendet werden können? Hat jeder Hersteller seine eigenen? Wie hoch ist die Wahrscheinlichkeit, dass zwei Geräte die selbe Zufallsadresse auswählen?

 

[.one]

Eigentlich sind MAC Adressen ja eindeutig

Nein. Die kann rotieren. Sollte sich in den Einstellungen des unbekannten Gerätes sehen lassen.

 

[trendliner]

https://de.wikipedia.org/wiki/MAC-Adresse

 

[.one]

Ja, die interne Adresse...

 

[Wilhelm14]

Hallo,
so zufällig sind die nicht. "Zufällige" MAC-Adressen haben an der zweiten Stelle immer die Zahl 2 oder 6 oder den Buchstaben A oder E. Man müsste jetzt nachrechnen, wie wahrscheinlich eine Doppelbelegung wäre.
https://www.ingentive.net/artikel/technik/zufaellige-mac-adressen-aka-mac-address-randomization

Edit: Wer diese 2, 6, A, E festgelegt hat, weiß ich leider nicht. Das wäre mal interessant zu wissen.

 

[gforce4711]

Eigentlich sind MAC Adressen ja eindeutig und nur eine Zufallsadresse,

Wie lautet den diese MAC-Adresse? Zufällig sind diese nicht. Die vordere Hälfte ist immer einem bestimmten Hersteller zugeordnet.
Man kann auch im Treiber bei "Locally Administered Address" die HW-Adresse überschreiben.

 

[aemonblackfyre]

Hallo,
so zufällig sind die nicht. "Zufällige" MAC-Adressen haben an der zweiten Stelle immer die Zahl 2 oder 6 oder den Buchstaben A oder E. Man müsste jetzt nachrechnen, wie wahrscheinlich eine Doppelbelegung wäre.
https://www.ingentive.net/artikel/technik/zufaellige-mac-adressen-aka-mac-address-randomization

Edit: Wer diese 2, 6, A, E festgelegt hat, weiß ich leider nicht. Das wäre mal interessant zu wissen.

Gibt es nur Zufalls Macs mit diesem Schema? Die fragliche MAC hatte nämlich ne 0 an 2. stelle

 

[Wilhelm14]

Ehrlich gesagt, weiß ich das nicht, frage mich das aber auch. Ich vermute, dass 2, 6, A, E an zweiter Stelle von irgendeinem Unix/Linux Softwaremodul/Paket/Treiber kommt. Eine Norm, vorschriftsmäßiges Schema ist mir leider nicht bekannt, die das fordert. Neben Android/iOS kann das auch Windows 11.
https://support.microsoft.com/de-de...-windows-ac58de34-35fc-31ff-c650-823fc48eb1bc
Müsste man ausprobieren, ob Windows sich auch an diesen Schema hält.

 

[aemonblackfyre]

aber android geräte sollten sich daran halten?

 

[Wilhelm14]

Wie gesagt, das weiß ich nicht.
Wie es aussieht, scheint sich die Randomisierung über die Versionen hinweg zu ändern.
https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior?hl=de
Bei anderen Betriebssystemen gibt es auch Randomisierung nach anderen Schemata, aber ob es Marker gibt, die solche MACs erkennbar machen, finde ich dort auch nicht.
https://wiki.archlinux.org/title/MAC_address_spoofing
Das kann der Hersteller oder Programmierer sogar frei machen. Wenn man nicht aufpasst, erstellt man aus Versehen z.B. ein unicast MAC.
https://superuser.com/questions/218340/how-to-generate-a-valid-random-mac-address-with-bash-shell

Was ich sagen möchte, Du kannst an einer MAC-Adresse kaum festmachen, "woher" sie kommt.

Gestern wurde ein neues Gerät aufgebaut und hat beim verbinden mit dem Netzwerk direkt Internetzugriff erhalten obwohl es sich noch nie angemeldet hatte.

Im Android-Link oben steht: ...zufällige MAC-Adresse basierend auf den Parametern des Netzwerkprofils, einschließlich SSID, Sicherheitstyp oder FQDN (für Passpoint-Netzwerke).
Hört sich für mich gar nicht mehr so zufällig an.