+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

как сломать случайный MAC-адрес?

как сломать случайный MAC-адрес?, RouterOS

9wYDY

Guest

23.01.2021 15:40:00

Всем привет! Столкнулся с странной ошибкой у одного из продуктов Lenovo, который выдаёт устройству частично случайный MAC-адрес (подробности описаны здесь: https://forums.lenovo.com/t5/Lenovo-Smart-Display-Lenovo-Smart-Clock-with-Google-Assistant/Has-the-MAC-address-bug-been-fixed-yet/m-p/5002850?page=1). Из-за этого невозможно назначить устройству статический IP через DHCP. MAC-адрес частично рандомизируется, то есть выглядит примерно так: AB:CD:EF:GH:IJ:KL, где AB:CD:EF всегда «00:08:22», а KL всегда «FB». Например: 00:08:22:24:7F:FB. Поняв, что устройство так шутит, я связал несколько таких MAC-адресов со статическими IP, как на скриншоте. Кто-нибудь может помочь мне справиться с этим чёртовым устройством? Я не могу ограничить пул до одного адреса, так как множество устройств ежедневно используют DHCP. И назначить статический IP в самом устройстве не получится, так как это девайс с Google Assistant, где нельзя менять сетевые настройки. Буду очень признателен за любую помощь!

pedja

Guest

04.02.2025 15:01:00

Я возвращаюсь к этой теме из прошлого, потому что продолжаю натыкаться на ту же проблему: как распознать и справиться с рандомизированными MAC-адресами. Я использую MAC-адреса устройств не из-за безопасности, а просто чтобы понимать, какое устройство какое, если нужно помочь с настройкой или разобраться с сетевыми проблемами, вызванными конкретным устройством. Эти случайные MAC-адреса меня просто выводят из себя. Я нашёл вот эту статью: https://community.cisco.com/t5/security-knowledge-base/random-mac-address-how-to-deal-with-it-using-ise/ta-p/4049321 В ней объясняется, что если в первом байте MAC-адреса нулевой бит равен нулю, а первый бит – единице, это признак того, что MAC-адрес рандомный. Хотел бы попробовать это на практике, но понятия не имею, как использовать эту информацию, чтобы DHCP блокировал MAC-адреса, если они распознаны как рандомные.

pe1chl Guest	#3 0 04.02.2025 15:32:00 Вы можете реализовать «мостовой фильтр», который отбрасывает пакеты с исходным MAC 02:00:00:00:00:00 / 03:00:00:00:00:00 (первое — MAC-адрес, второе — «маска»).

pedja

Guest

04.02.2025 17:29:00

Хм, мне удалось написать скрипт, который срабатывает при выдаче DHCP-адреса {
:log info "DHCP сработал";

:if ($leaseBound = 1) do={

:log info "Аренда адреса получена";

:do {
:local Comment [/ip dhcp-server lease get value-name=comment number=[/ip dhcp-server lease find address=$leaseActIP]];
}

:local FirstByte [:pick $leaseActMAC 1 2 ];

:local FirstByteHex "0x$FirstByte";

:local FirstByteNum [:tonum $FirstByteHex];

:local StatusBytes ($FirstByteNum&0x3);

:local MessageText "IP: $leaseActIP MAC: $leaseActMAC Имя: $"lease-hostname" Комментарий: $Comment";

log info $MessageText;
log info "Первый байт: $FirstByte $FirstByteHex";

:log info $StatusBytes;

:if ($StatusBytes = 2) do={
:log info "Случайный MAC!!!!";
}

}
} Думаю, дальше будет проще: поменять аренду на статическую, добавить комментарий и заблокировать доступ. Было бы идеально, если бы я мог уведомить клиента, что использование случайного MAC запрещено, но, похоже, это довольно сложно реализовать.

pe1chl

Guest

04.02.2025 17:41:00

Раньше я предлагал, что у DHCP-сервера должен быть скрипт перед выдачей аренды, который вызывается при получении пакета DISCOVER и может использоваться для настройки параметров DHCP, таких как пул адресов, время аренды, сетевые параметры и т.д. С его помощью можно поместить динамические MAC-адреса в отдельную подсеть с порталом, объясняющим, что доступ отсутствует. Также это можно использовать для ограничения количества пользователей с рандомными MAC-адресами в сети, например, когда они слишком часто меняются и исчерпывают пул DHCP.

pedja

Guest

04.02.2025 22:42:00

Это почти то, чем я сейчас занимаюсь. Неизвестным MAC-адресам назначаются динамические IP из отдельного диапазона. Известным MAC-адресам я вручную назначаю статические IP. Я искал способ отделить настоящие аппаратные MAC-адреса от случайных виртуальных. Думаю, это сработает. Это позволяет мне решать, что с ними делать. По крайней мере пока, если я смогу просто помечать случайные MAC-адреса в комментариях, это будет большой помощью. Сейчас меня раздражает, что по какой-то причине скрипт неправильно читает существующие комментарии. Я просто получаю пустые строки.

CGGXANNX

Guest

05.02.2025 08:54:00

Лучший способ работать с мобильными устройствами (ноутбуки, телефоны, планшеты) с случайными MAC-адресами — использовать точки доступа с поддержкой WPA2/3 Enterprise и RADIUS. В качестве RADIUS-сервера можно использовать User Manager в RouterOS (*), FreeRADIUS или Windows Active Directory. (*) Но реализация несовершенна: не все функции поддерживаются всеми сторонними беспроводными системами. Change of Authorization (CoA) не работает с точками доступа UniFi, потому что в RouterOS отсутствует атрибут, необходимый UniFi, и MikroTik в обращении в поддержку сообщил, что не собирается его добавлять.

bpwl

Guest

05.02.2025 09:00:00

У меня нет проблем с локально назначенными MAC-адресами, так как для входа в Wi-Fi требуется WPA2/EAP (Enterprise), и единственное, что имеет значение — это UserID, а не MAC-адрес. RADIUS-сервер — User Manager, и информация о userid хранится в атрибуте «Mikrotik-Wireless-Comment», который виден в таблице регистрации на AP и в Dude. Пользователь в User Manager добавляется в группу UM для правил очереди и файрвола. У группы есть атрибуты «Mikrotik-Address-list». Change of Authorization (CoA) иногда не работает даже с Mikrotik AP (сообщение об ошибке: «NAS не отвечает / NAS перезагружен / Disconnect NAK / …»).

pedja

Guest

05.02.2025 09:10:00

Я подумываю об этом, но это добавляет ещё один уровень сложности, так как у меня есть три физически отдельные локации, которые посещают одни и те же пользователи. Radius будет единственной точкой отказа, если по какой-то причине станет недоступен. Мне ещё предстоит попробовать настроить User Manager во всех локациях и посмотреть, смогу ли я организовать управляемую репликацию пользователей.

pedja Guest	#10 0 05.02.2025 09:16:00 Есть идеи, почему команда :local Comment [/ip dhcp-server lease get value-name=comment number=[/ip dhcp-server lease find address=$leaseActIP]] всегда возвращает пустую строку?

bpwl

Guest

#11

05.02.2025 09:19:00

Я понимаю проблему: User Manager при работе с VRRP — это проблема, потому что тогда User Manager может использовать два IP-адреса, и это сбивает с толку «роутер», который запрашивает доступ. Сейчас я просто запускаю две копии User Manager с одинаковыми настройками маршрутизатора и списками пользователей, при этом включаю только одну из них. Переключение между двумя копиями приводит к отключению всех пользователей. Двойные DHCP-серверы — примерно такая же история. Но настройка RADIUS-клиента подключается к обоим User Manager подряд, а не через VRRP-адрес. Hotspot на VRRP-адресе отключается, если VRRP находится в резервном режиме.

CGGXANNX Guest	#12 0 05.02.2025 09:29:00 Это работает у меня: { :local Comment [/ip dhcp-server lease get [/ip dhcp-server lease find address=a.b.c.d] comment]; :put $Comment; }

CGGXANNX Guest	#13 0 05.02.2025 09:39:00 Это печально, потому что всё, что связано с профилями и ограничениями (время сессии, лимиты на загрузку/скачивание), требует корректно работающего CoA.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры