La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
WiFi => Discussion démarrée par: rooot le 13 juin 2023 à 08:58:57
-
Bonjour,
j'ai une borne ubiquiti U6-LR que j'administre avec unifi Network. J'ai un problème depuis un moment et qui m'agace. J'ai des équipements, très certainement des téléphones, qui se connectent sur la borne avec des adresse MAC qui ont un "vendor inconnu", du coup impossible de savoir si c'est un appareil professionnel ou personnel.
J'ai lu sur le forum ubiquiti (https://community.ui.com/questions/Easy-way-to-track-down-device-creating-unknown-MAC-address/ade14d73-abf1-4cc4-a535-1b84a8c3da2b) que maintenant les téléphones Apple/Android crééent des adresses MAC aléatoires pour etre plus anonyme. Et effectivement quand je connecte un Galaxy S20 au wifi il apparait avec une MAC "inconnue", alors que chez moi sur un routeur Openwrt j'arrive a identifier l'appareil car je vois bien un nom d'équipement qui s'affiche, chose que l'appli UNIFI n'affiche pas chez moi.
Quelqu'un aurait plus de détails la dessus ? il s'agit d'un parametre qui s'active/désactive dans le téléphone ?
-
Oui, c'est un paramètres de "confidentialité" sur les téléphones.
tu peux le désactiver en allant fouiller dans les réglages du téléphones.
Après sur une flotte de téléphone "entreprise", c'est plus compliqué à faire si tu dois le faire sur tous les téléphones 1 par 1.
-
Même les OS de PC/laptop font ca maintenant, il faut s'y préparer.
Si tu veux limiter l'accès réseau à des appareil fournis par l'entreprise uniquement, tu peux faire du 802.1X (aka WPA entreprise) pour authentifier les clients. Tu peux potentiellement toujours avoir un utilisateur qui extrait son login/password 802.1X et l'utilise sur son mobile personnel, mais ca devrait réduire l'incidence.
Sinon, pour éviter la friction: 802.1X avec un login/password par user (pour les identifier) puis VPN IPSec pour accéder aux ressources de l'entreprise, avec login/password IPSec installés par le service IT sur les téléphones entreprise uniquement,
Ca permet aux employés d'utiliser le wifi de l'entreprise sur leur téléphone personnel et d'éviter les soucis de sécurité.
-
Merci pour vos explications.
Je regarderai chez moi plus précisément ce soir ce qui s'affiche sur mon routeur openwrt. Car si mon wifi affiche des élements qui me permettent d'identifier mon téléphone, alors il n'y a pas de raison que la borne unifi n'en soit pas capable...
-
Tu récupères certainement le hostname dhcp chez toi, et ta stack unifi enterprise ne le fait pas
-
Tu récupères certainement le hostname dhcp chez toi, et ta stack unifi enterprise ne le fait pas
Exact !
(https://i.imgur.com/81WASTa.png)
Pour mon galaxy S20, j'ai bien une MAC inconnue, contrairement au Xiaomi Mi 10T de ma femme.
L'explication pourquoi unifi ne récupère pas le hostname sur certains appareils:
(https://i.imgur.com/jfifxYp.png)
-
j'ai trouvé cela pour ceux qui sont dans la "Team Apple" ;D
https://www.troyhunt.com/customised-ubiquiti-clients-and-randomised-mac-addresses-on-apple-devices/
(https://i.imgur.com/BnJZz0n.png)
et pour la "Team Android":
https://support.plume.com/hc/fr/articles/360052070714-Comment-d%C3%A9sactiver-les-adresses-MAC-al%C3%A9atoires-sur-Android-10-
(https://support.plume.com/hc/article_attachments/6817294848407/5FR.jpg)
-
Après, les MAC random c'est pas mal pour la vie privée je trouve. C'est une très bonne chose de le laisser activer.
-
Après, les MAC random c'est pas mal pour la vie privée je trouve. C'est une très bonne chose de le laisser activer.
Quand tu te connectes sur un réseau wifi, par défaut tu es en "Mac aleatoire". Mais tu peux changer pour CE réseau, et uniquement ce réseau si tu veux etre avec ta vrai MAC.
Je trouve le principe bien pensé.
Donc chez moi, sur mon wifi je peux mettre la vrai MAC pour eventuellement assigner une IP statique, et on pourrait en faire de même au boulot, et en dehors de chez moi par defaut une mac aleatoire.
Si je peux mettre en place ça sur les mobiles professionnels, je pourrais enfin savoir si les personnes connectées sur le wifi d'entreprise sont bien légitimes, et sur le wifi invité pas de souci si c'est des équipements inconnus.
-
C'est ce que je fais pour nos portables sur des réseaux Wifi connus et privés.
-
C'est ce que je fais pour nos portables sur des réseaux Wifi connus et privés.
avec des AP unifi ?
-
Si je peux mettre en place ça sur les mobiles professionnels, je pourrais enfin savoir si les personnes connectées sur le wifi d'entreprise sont bien légitimes, et sur le wifi invité pas de souci si c'est des équipements inconnus.
Je n'utiliserai pas ca comme un moyen d'authentification si j'étais toi. Bien évidemment, si tu ne cherches qu'à empêcher les mobiles personnels du collaborateur lambda de se connecter à un SSID professionnel, ca va marcher dans la majeure partie des cas.
Par contre, si tu cherches à identifier les mobiles malveillants, cloner une adresse MAC, ca prend moins d'une minute.
-
Par contre, si tu cherches à identifier les mobiles malveillants, cloner une adresse MAC, ca prend moins d'une minute.
oui ca je sais, mais c'est aussi pour d'autres raisons internes a l'entreprise. parfois les gens ne seconnectent pas sur le bon SSID et du coup n'ont pa accès au réseau local et m'appellent en me disant "ca ne marche pas...", ou bien ils donnent les identifiants de connexion de l'entreprise a des personnes externes...bref j'ai des gens qui font souvent n'importe quoi, donc j'aimerai pouvoir rapidement les rapeller a l'ordre.
-
Bonjour,
avec des AP unifi ?
Non. Sur mes routeurs Wifi de différentes marques qui gèrent les réseaux Wifi privés et connus.