Randomizowane i zmieniające się MAC (RCM)

Kobieta Technologia

Co to jest Randomized & Changing MAC (RCM)

Dawniej klienci sieci bezprzewodowych łączyli się z siecią bezprzewodową za pomocą adresu mac przypisanego przez producenta, który jest skojarzony z bezprzewodową kartą sieciową (NIC). Ten przypisany przez producenta adres mac, który jest globalnie unikatowy, jest również znany jako adres burn-in (BIA). Używanie tego adresu wszędzie rodzi pytanie o prywatność użytkownika końcowego, ponieważ może on być śledzony za pomocą adresu mac sieci WIFI. W niniejszym dokumencie będzie on określany jako normalny adres mac (adres), w przeciwieństwie do losowego adresu mac (adresu).

Aby zwiększyć prywatność użytkowników końcowych, różni producenci systemów operacyjnych (Apple iOS 14, Android 10 i Windows 10) umożliwiają korzystanie z lokalnie administrowanego adresu mac (LAA), zwanego też losowym adresem mac do obsługi sieci WIFI. Gdy bezprzewodowy punkt końcowy jest skojarzony z losowym adresem mac, adres MAC punktu końcowego zmienia się w czasie.

Losowy adres mac był ograniczony do sondowania znanych sieci bezprzewodowych. Obecnie rozszerzono go na kojarzenie z sieciami bezprzewodowymi. Chociaż jest to korzystne z punktu widzenia prywatności użytkownika końcowego, stawia to wyjątkowe wyzwania przed administratorem IT przedsiębiorstwa, który do tej pory polegał na unikalnej tożsamości punktu końcowego jako podstawie do prowadzenia polityki. Wpłynie to również na różne modele wdrażania sieci WIFI, np. Guest, BYOD (Bring Your Own Device), analizę lokalizacji itp., które opierają się na unikalności adresu mac.

Aby rozwiązać i złagodzić problemy wynikające z używania losowych adresów MAC w istniejących wdrożeniach bezprzewodowych, firma Cisco oferuje rozwiązanie RCM.

Rys. #1: Rozwiązanie RCM Cisco

Identyfikacja losowych adresów MAC i dostęp klienta

Rozwiązanie Cisco identyfikuje przypadkowe użycie adresów MAC i zapewnia widoczność w celu łatwego wykrywania problemów i rozwiązywania ich w WLC i Cisco DNA Center.

Cisco Catalyst 9800 może sklasyfikować urządzenie w sieci za pomocą adresu zarządzanego uniwersalnie (BIA) lub adresu zarządzanego lokalnie (RCM), co pomaga administratorom w rozróżnianiu obu adresów mac. Losowy adres MAC jest identyfikowany za pomocą bitu, który jest ustawiany w części OUI adresu MAC, aby oznaczyć adres administrowany lokalnie. Poniższa ilustracja przedstawia sposób identyfikacji lokalnie administrowanego adresu MAC.

Rys. 2: Identyfikacja losowego adresu MAC

Ponadto kontroler bezprzewodowy Cisco 9800 umożliwia również kontrolę klientów dołączających do sieci WIFI za pomocą adresu RCM. Jest to możliwe dzięki opcji konfiguracyjnej pozwalającej na zezwalanie/odmawianie klientom RCM. Gdy ta konfiguracja jest włączona, klient używający losowo zmienianego adresu MAC RCM (Locally administered MAC address) nie będzie mógł dołączyć do sieci bezprzewodowej.

Integracje MDM (Mobile Device Manager)/ISE BYOD:

Rozwiązanie MDM zapewnia unikalną tożsamość urządzenia, gdy adres MAC urządzenia jest randomizowany i zmienia się. Gdy punkt końcowy łączy się z siecią przy użyciu losowego adresu MAC, kontrola zgodności MDM i inne kontrole bezpieczeństwa zawodzą z powodu nierozpoznania losowych adresów MAC jako identyfikatorów urządzenia. To rozwiązanie zapewnia unikalną tożsamość urządzenia na podstawie protokołu EAP-TLS, co jest znane jako rozwiązanie DUID (Device Unique ID)

.

  • Rozwiązanie to opiera się na menedżerach urządzeń mobilnych MDM (Mobile device manager, zwanych również menedżerami urządzeń, Unified Endpoint Managers (np. Ms Intune, Mobile Iron), które zarządzają urządzeniami w infrastrukturze przedsiębiorstwa.
  • ISE zapewnia dostarczanie urządzeń z certyfikatem opartym na unikalnym identyfikatorze urządzenia (DUID).
  • Urządzenie przedstawia ten certyfikat podczas uwierzytelniania opartego na protokole TLS. ISE autoryzuje urządzenia, a także odczytuje unikatowy identyfikator z certyfikatu.
  • Unikalny identyfikator urządzenia (DUID) jest używany do sprawdzania zgodności z serwerami MDM, a także jako unikalny identyfikator urządzenia w tabeli punktów końcowych.
  • Randomizowany MAC nie będzie miał znaczenia, ponieważ teraz urządzenie posiada DUID na podstawie ID zawartego w certyfikacie.
  • Ponieważ ISE ma odwzorowanie DUID i losowego MAC, może udostępnić te informacje na dwa sposoby
    • Przez pxGrid jako część informacji o sesji, gdzie Cisco DNA Center jest abonentem pxGrid.
    • WLC pobiera informacje o kliencie z ISE w ramach VSA access-accept, informacje te są wysyłane do Cisco DNA Center.

Rys. 3: Device Unique ID MDM Flow

Ten sam przypadek użycia można zaimplementować w ISE jako część przepływu pracy BYOD, ponieważ ISE może generować DUID podczas procesu BYOD

.

Rys. #4:

DNA Center RCM

Client Dashboard

Używając Cisco

DNA Center

,

będziemy w stanie śledzić, rozwiązywać problemy i sprawdzać, gdzie w sieci używane są losowe

adresy mac.

Dla urządzeń używających losowych adresów mac, Cisco DNA Center wprowadziło nową ikonę przed adresem MAC urządzenia, symbolizującą RCM. Użytkownicy Cisco DNA Center mogą filtrować urządzenia z adresem mac jako adresem RCM, aby administratorzy IT mogli śledzić, ilu klientów w sieci jest klientami RCM.

Poniżej ekran Cisco DNA Center pokazuje przefiltrowanych klientów RCM w celu zapewnienia widoczności, śledzenia i rozwiązywania problemów.

Użytkownicy mogą zobaczyć DUID klienta oraz losowy MAC, a także jaki inny adres mac jest powiązany z klientem w Cisco DNA Center, jak pokazano poniżej na stronie 360 Cisco DNA Center Client 360.

Rys. 5: DNAC RCM Client 360 View

Rys. 6: DNA Center RCM Client Details

Cisco DNA Center pokazuje również, czy klienci nie kojarzą się z siecią, ponieważ Random MAC jest skonfigurowany tak, aby nie dołączać do sieci. Pokazuje to poniższy ekran klienta.

Rys. 7: DNA Center RCM Client Association Failure View

Przyszłość rozwiązania Random MAC

Firma Cisco

będzie współpracować z IETF w celu utworzenia formalnej grupy roboczej zajmującej się identyfikacją adresów MAC urządzeń dla usług sieciowych i aplikacyjnych

.

Więcej informacji można uzyskać odwiedzając stronę

Przewodnik wdrażania randomizowanych i zmieniających się MAC

We współpracy z: Sarath Gorthi Subrahmanya, Engineering Product Manager.

Udostępnij

:

Czytaj dalej: https://blogs.cisco.com/networking/randomized-and-changing-mac-rcm

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.