Маркус Бертон Архитектор, облачные технологии Опубликовано 30 апреля По мере того как аналитика данных превращалась из снежного кома в лавину, инициативы по обеспечению конфиденциальности данных встали между отдельными лицами и компаниями, желающими использовать их данные. Как мы знаем, компания Apple всегда была убежденным сторонником конфиденциальности, о чем ее маркетинговые команды будут говорить вам снова и снова, но в iOS 14 они практически вывели ее на совершенно новый уровень.

Чип использует MAC-адрес для сетевых коммуникаций, которые в беспроводной сфере передаются по воздуху для всеобщего обозрения. Из-за этой уникальности MAC-адрес исторически представлял сам чип, устройство с установленным чипом и пользователя, носящего этот чип. Таким образом, MAC-адреса являются своего рода полем битвы за конфиденциальность персональных данных. Причина написания этой статьи заключается в том, что компания Apple напугала индустрию своими ранними бета-версиями iOS Хотя финальная версия iOS 14 имеет менее агрессивное поведение рандомизации, чем бета-версии, мир рандомизации MAC меняется, и сетевым операторам стоит последовать этому примеру.

Для каждого уникального SSID беспроводной сети устройство будет выбирать новый случайный адрес и использовать этот частный адрес для сети Во время бета-тестирования этот адрес также рандомизировался каждые 24 часа. Функция частной адресации включена по умолчанию, но может быть отключена пользователем или с помощью сетевых профилей, управляемых администратором.

Но эти изменения потребуют от операторов связи времени. Хотя Apple раскачала лодку в своей бета-версии, Android имеет поведение рандомизации MAC для сессий, подключенных с Android Android по умолчанию к случайному MAC, который можно отключить, как показано ниже. Существуют способы решения этой проблемы в рамках протокола, а также более широкие отраслевые усилия по улучшению индивидуальной конфиденциальности. Любой адрес, соответствующий одному из следующих шаблонов, считается частным: x2:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx Платформы анализа безопасности, такие как Extreme AirDefense, также должны быть способны определить, используют ли устройства частные адреса.

Платформы анализа безопасности, такие как Extreme AirDefense, также должны быть способны определить, используют ли устройства частные адреса.

Кризис предотвращен. Однако бета-версия iOS 14 вызвала некоторую панику в некоторых отраслях, поскольку все бросились оценивать сопутствующий ущерб. Цель рандомизации MAC - скрыть некоторые аспекты отслеживания присутствия, которые выявляют модели поведения, особенно в разных сетях и местах, которые могут указывать на активность пользователя. По мере продвижения инициатив в области конфиденциальности, а они будут продвигаться, могут возникнуть побочные эффекты для пользовательского опыта и рабочих процессов операторов.

Не забывайте, что MAC-адреса всегда были долгосрочным предсказуемым идентификатором устройств, а это означает, что инструменты, процессы и парадигмы сетевой экосистемы часто строятся на основе MAC-адресов. Начните перестраиваться сейчас, чтобы потом не быть застигнутым врасплох. Вот некоторые операционные области для начала работы. Веб-порталы Captive - это веб-страницы, которые представляются пользователям во время первоначального подключения к сети, обычно для гостевых сетей.

Если MAC когда-либо изменится, инфраструктура заставит пользователя снова пройти через портал, что создаст проблемы для пользовательского опыта. Хотя MAC-адреса всегда были уязвимы для подслушивания и подделки злоумышленником, некоторые системы используют MAC-адреса для аутентификации устройств. В контекстах, чувствительных к безопасности, такая практика применяется крайне редко и не рекомендуется, но она все же имеет место.

В некоторых корпоративных средах ИТ-отдел использует комбинацию В этом случае проблем с рандомизацией MAC-адресов можно избежать, поскольку ИТ-отдел может отправить на устройства профиль, который отключает функцию рандомизации при включении. В некоторых сетях общественного доступа с ежемесячными, ежегодными, дозированными подписками на использование, планы использования могут быть привязаны к конкретному устройству, где MAC используется в процессе учета для отслеживания потребления данных пользователем. Этим рабочим процессам может потребоваться новый подход к привязке учетных записей к устройствам, если у пользователя включена частная адресация или если частный MAC когда-либо меняется для SSID.

В большинстве случаев эти операторы приспосабливаются к альтернативным формам аутентификации, потенциально возможным на Hotspot 2. Конечно, они могут бороться с этим вручную, показывая пользователям, как отключить функцию и придерживаться неприватной адресации.

Частные адреса не будут отображаться в базах данных OUI. OUI - это тривиальный механизм для присвоения MAC производителю устройства, но частные адреса затуманят даже этот базовый механизм. Но, возможно, этот случай использования отслеживания участия был более скользким в любом случае. Большинство других аналитических показателей присутствия остаются неизменными, например, показатели заполняемости, плотность пользователей, данные о потоке местоположения, и, конечно, в любой момент, когда мы можем назначить конкретного пользователя на случайный MAC, мы можем получить больше. Размышляя о будущем рандомизации MAC, которая меняется ежедневно или еженедельно, операторы заведений должны сосредоточиться на том, чтобы добиться принятия приложений пользователями; конечно, это святой Грааль вовлечения.

Для привлечения пользователей, отслеживания повторных пользователей или извлечения информации операторам, возможно, придется подсластить горшок с помощью приложений на устройствах, которые добавляют больше ценности для пользователя, что просто повышает стоимость входа для бизнес-кейса. Регистрация MAC-адресов В некоторых средах, где операторы хотят, чтобы пользователи регистрировали свои устройства, MAC-адреса часто используются в качестве простой формы контроля доступа.

Например, в области мобильной связи MAC-адреса часто используются в качестве простой формы контроля доступа.

Например, в университетской среде от студентов в общежитиях могут требовать регистрации устройств принтеров, игровых приставок, телевизоров, товаров IoT, которые не поддерживают Другой полезной опцией здесь является предоставление уникальных учетных данных аутентификации, таких как частные PSK.

На данный момент это может не быть распространенной проблемой, поскольку мобильные устройства являются основной целью для рандомизации и поддерживают гибкие механизмы аутентификации. Списки запрета MAC В Wi-Fi также существуют рабочие процессы, в которых системы автоматически применяют или администраторы вручную применяют правило запрета доступа к пользователям, которые вели себя злонамеренно, нарушали политику использования или неоднократно не проходили аутентификацию.

Устранение неполадок В рабочих процессах устранения неполадок подключения MAC-адрес может быть уникальным идентификатором для ИТ-отдела, чтобы начать устранение неполадок с помощью инструментов продукта, журналов или захвата пакетов. Получение MAC-адресов вручную для устранения неполадок не совсем удобно, но в некоторых ситуациях может быть единственным вариантом. В iOS 14 компания Apple фактически облегчила устранение этой проблемы, отобразив MAC-адрес прямо в утилите подключения.

Поведение бета-версии с ежедневной рандомизацией практически уничтожило этот рабочий процесс, но в финальной версии iOS 14 рандомизированные MAC-адреса стали видимыми. Планируя на долгосрочную перспективу, обязательно стройте рабочие процессы устранения неполадок подключения на основе имен пользователей, имен хостов или других идентификаторов, связанных с политиками для устранения неполадок конкретных устройств.

Эти политики применяются на основе каждого MAC-адреса. Простым решением здесь является отключение этой функции для домашних сетей. Но сообразительные подростки могут просто снова включить эту функцию, чтобы обойти контроль безопасности. MAC-адреса являются обычным объектом привязки для этой функции.

Утверждается, что эти случаи использования контролируются ИТ-отделом, поэтому функция может быть легко отключена на устройстве, или частный адрес может быть использован для резервного входа. Использование в криминалистике В случаях, когда общественный Wi-Fi использовался для совершения онлайн-преступлений, MAC-адреса являются ключевой частью инструментария криминалистов, который может быть использован для соотнесения устройства с пользователем.

Законы для этого вида судебной экспертизы различаются в зависимости от страны, поэтому они могут применяться не везде одинаково. Опять же, в бета-версии этот вариант использования был отменен, а в релизе iOS 14 он остается в силе, при условии, что вы на всякий случай проведете экспертизу как реального, так и частного адреса. Заключительные мысли Этот разговор похож на классическую игру "безопасность против удобства использования".

По мере развития приватности индустрии придется адаптироваться. Возможно, MAC-адрес никогда не предназначался для использования во всех тех формах, в которых мы используем его сегодня. Однако на протяжении более 20 лет MAC-адрес был надежным компонентом беспроводного протокола, и 20 лет функциональность была построена вокруг него.

Apple избавила сетевых операторов от многих проблем, отказавшись от бета-версии, но я считаю, что парадигма рандомизации MAC будет продолжать меняться. Операторам сетей следовало бы задуматься и начать проектировать для мира, в котором MAC-адреса не только являются частными, но и регулярно меняются.


Навигация

thoughts on “

  1. Говорила мне мама: “Иди в гинекологи – всю жизнь руки в тепле будут.” Выpажение “pадует глаз” пpидумали циклопы. Девственница ничем не лучше развратницы – обе, в сущности, думают об одном и том же. “Моя хата – с краю, мой офис – в центре!” Стояла тихая Варфоломеевская ночь. Студент не знает в двух случаях: либо еще не сдавал, либо уже сдал.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *