Auteur Sujet: Equipements wifi avec adresses MAC aléatoires  (Lu 2587 fois)

0 Membres et 1 Invité sur ce sujet

rooot

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 2 270
  • 🔵🔵🔵🔵⚪⚪⚪⚪🔴🔴🔴🔴
Equipements wifi avec adresses MAC aléatoires
« le: 13 juin 2023 à 08:58:57 »
Bonjour,

j'ai une borne ubiquiti U6-LR que j'administre avec unifi Network. J'ai un problème depuis un moment et qui m'agace. J'ai des équipements, très certainement des téléphones, qui se connectent sur la borne avec des adresse MAC qui ont un "vendor inconnu", du coup impossible de savoir si c'est un appareil professionnel ou personnel.

J'ai lu sur le forum ubiquiti que maintenant les téléphones Apple/Android crééent des adresses MAC aléatoires pour etre plus anonyme. Et effectivement quand je connecte un Galaxy S20 au wifi il apparait avec une MAC "inconnue", alors que chez moi sur un routeur Openwrt j'arrive a identifier l'appareil car je vois bien un nom d'équipement qui s'affiche, chose que l'appli UNIFI n'affiche pas chez moi.

Quelqu'un aurait plus de détails la dessus ? il s'agit d'un parametre qui s'active/désactive dans le téléphone ?

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 554
  • Alpes Maritimes (06)
Equipements wifi avec adresses MAC aléatoires
« Réponse #1 le: 13 juin 2023 à 10:51:10 »
Oui, c'est un paramètres de "confidentialité" sur les téléphones.
tu peux le désactiver en allant fouiller dans les réglages du téléphones.
Après sur une flotte de téléphone "entreprise", c'est plus compliqué à faire si tu dois le faire sur tous les téléphones 1 par 1.

simon

  • Abonné Orange Fibre
  • *
  • Messages: 1 097
Equipements wifi avec adresses MAC aléatoires
« Réponse #2 le: 13 juin 2023 à 11:34:25 »
Même les OS de PC/laptop font ca maintenant, il faut s'y préparer.

Si tu veux limiter l'accès réseau à des appareil fournis par l'entreprise uniquement, tu peux faire du 802.1X (aka WPA entreprise) pour authentifier les clients. Tu peux potentiellement toujours avoir un utilisateur qui extrait son login/password 802.1X et l'utilise sur son mobile personnel, mais ca devrait réduire l'incidence.

Sinon, pour éviter la friction: 802.1X avec un login/password par user (pour les identifier) puis VPN IPSec pour accéder aux ressources de l'entreprise, avec login/password IPSec installés par le service IT sur les téléphones entreprise uniquement,
Ca permet aux employés d'utiliser le wifi de l'entreprise sur leur téléphone personnel et d'éviter les soucis de sécurité.

rooot

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 2 270
  • 🔵🔵🔵🔵⚪⚪⚪⚪🔴🔴🔴🔴
Equipements wifi avec adresses MAC aléatoires
« Réponse #3 le: 13 juin 2023 à 16:05:52 »
Merci pour vos explications.

Je regarderai chez moi plus précisément ce soir ce qui s'affiche sur mon routeur openwrt. Car si mon wifi affiche des élements qui me permettent d'identifier mon téléphone, alors il n'y a pas de raison que la borne unifi n'en soit pas capable...

eahlys

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 1 103
Equipements wifi avec adresses MAC aléatoires
« Réponse #4 le: 13 juin 2023 à 16:25:47 »
Tu récupères certainement le hostname dhcp chez toi, et ta stack unifi enterprise ne le fait pas

rooot

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 2 270
  • 🔵🔵🔵🔵⚪⚪⚪⚪🔴🔴🔴🔴
Equipements wifi avec adresses MAC aléatoires
« Réponse #5 le: 13 juin 2023 à 17:28:57 »
Tu récupères certainement le hostname dhcp chez toi, et ta stack unifi enterprise ne le fait pas
Exact !



Pour mon galaxy S20, j'ai bien une MAC inconnue, contrairement au Xiaomi Mi 10T de ma femme.

L'explication pourquoi unifi ne récupère pas le hostname sur certains appareils:



rooot

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 2 270
  • 🔵🔵🔵🔵⚪⚪⚪⚪🔴🔴🔴🔴

eahlys

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 1 103
Equipements wifi avec adresses MAC aléatoires
« Réponse #7 le: 13 juin 2023 à 18:11:34 »
Après, les MAC random c'est pas mal pour la vie privée je trouve. C'est une très bonne chose de le laisser activer.

rooot

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 2 270
  • 🔵🔵🔵🔵⚪⚪⚪⚪🔴🔴🔴🔴
Equipements wifi avec adresses MAC aléatoires
« Réponse #8 le: 13 juin 2023 à 18:47:47 »
Après, les MAC random c'est pas mal pour la vie privée je trouve. C'est une très bonne chose de le laisser activer.
Quand tu te connectes sur un réseau wifi, par défaut tu es en "Mac aleatoire". Mais tu peux changer pour CE réseau, et uniquement ce réseau si tu veux etre avec ta vrai MAC.
Je trouve le principe bien pensé.
Donc chez moi, sur mon wifi je peux mettre la vrai MAC pour eventuellement assigner une IP statique, et on pourrait en faire de même au boulot, et en dehors de chez moi par defaut une mac aleatoire.

Si je peux mettre en place ça sur les mobiles professionnels, je pourrais enfin savoir si les personnes connectées sur le wifi d'entreprise sont bien légitimes, et sur le wifi invité pas de souci si c'est des équipements inconnus.

Kana-chan

  • Abonné Orange Fibre
  • *
  • Messages: 715
  • Antibes (06)
Equipements wifi avec adresses MAC aléatoires
« Réponse #9 le: 13 juin 2023 à 18:51:57 »
C'est ce que je fais pour nos portables sur des réseaux Wifi connus et privés.

rooot

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 2 270
  • 🔵🔵🔵🔵⚪⚪⚪⚪🔴🔴🔴🔴
Equipements wifi avec adresses MAC aléatoires
« Réponse #10 le: 13 juin 2023 à 18:55:02 »
C'est ce que je fais pour nos portables sur des réseaux Wifi connus et privés.
avec des AP unifi ?

simon

  • Abonné Orange Fibre
  • *
  • Messages: 1 097
Equipements wifi avec adresses MAC aléatoires
« Réponse #11 le: 14 juin 2023 à 08:23:56 »
Si je peux mettre en place ça sur les mobiles professionnels, je pourrais enfin savoir si les personnes connectées sur le wifi d'entreprise sont bien légitimes, et sur le wifi invité pas de souci si c'est des équipements inconnus.

Je n'utiliserai pas ca comme un moyen d'authentification si j'étais toi. Bien évidemment, si tu ne cherches qu'à empêcher les mobiles personnels du collaborateur lambda de se connecter à un SSID professionnel, ca va marcher dans la majeure partie des cas.
Par contre, si tu cherches à identifier les mobiles malveillants, cloner une adresse MAC, ca prend moins d'une minute.