datagott > telecom

Rob (28.05.2020, 09:37)
Ik zie de laatste tijd meer en meer Android telefoons op het
netwerk met een LAA MAC adres, dus bit 1 van het eerste byte is set,
en de 1e 3 bytes samen zijn geen bekende prefix van een fabrikant.

Is dat weer een nieuwe "veiligheidswaan" ofzo? Weet iemand of dat
ergens een instelling is of een of andere app of zo iets?
robert (28.05.2020, 09:49)
Rob <nomail>:
> Ik zie de laatste tijd meer en meer Android telefoons op het
> netwerk met een LAA MAC adres, dus bit 1 van het eerste byte is set,
> en de 1e 3 bytes samen zijn geen bekende prefix van een fabrikant.
> Is dat weer een nieuwe "veiligheidswaan" ofzo?


Klinkt als wat iOS ook doet:
[..]
Rob (28.05.2020, 10:18)
robert <US3N37+{x.g}> wrote:
> Rob <nomail>:
>> Ik zie de laatste tijd meer en meer Android telefoons op het
>> netwerk met een LAA MAC adres, dus bit 1 van het eerste byte is set,
>> en de 1e 3 bytes samen zijn geen bekende prefix van een fabrikant.
>> Is dat weer een nieuwe "veiligheidswaan" ofzo?

> Klinkt als wat iOS ook doet:
> [..]


Nee dat is wat anders! Dit zijn de MAC adressen die hij gebruikt om
te zoeken naar WiFi netwerken. Wat ik bedoel is het MAC adres wat ie
gebruikt om het normale netwerkverkeer te verzenden/ontvangen, dus dit
is het adres wat je in je DHCP server, ARP tabel etc aantreft. Die
random MAC adressen zie je daar nooit.

En dit LAA MAC adres verandert ook niet, of in ieder geval niet vaak.
En dat is maar goed ook want als men dat wel gaat doen dan krijgen we
weer te maken met een nieuw probleem...
(uitputting van DHCP ranges)
Roger (28.05.2020, 10:41)
On 2020/05/28 09:37, Rob wrote:
> Ik zie de laatste tijd meer en meer Android telefoons op het
> netwerk met een LAA MAC adres, dus bit 1 van het eerste byte is set,
> en de 1e 3 bytes samen zijn geen bekende prefix van een fabrikant.
> Is dat weer een nieuwe "veiligheidswaan" ofzo? Weet iemand of dat
> ergens een instelling is of een of andere app of zo iets?


Windows 10 doet dit ook als de optie "Random hardware addresses" aan
staat in de WiFi settings (default dacht ik). Windows genereert dan
voor elke nieuwe WiFi-connectie een eigen LAA MAC-adres.

De toelichting is "Use random hardware addresses to make it harder
for people to track your location when you connect to different WiFi
networks. This setting applies to new connection."

In Android zit het sinds Android 8:
[..]

Die 'veiligheidswaanzin' vind ik overigens bepaald geen overbodige
luxe in deze tijden waarin tracking steeds agressiever wordt (in de
VS een groter probleem is dan hier, maar dat verschil is een kwestie
van tijd).

Groeten,
-Roger
Rob (28.05.2020, 11:30)
Roger <nosuchuser> wrote:
> On 2020/05/28 09:37, Rob wrote:
> Windows 10 doet dit ook als de optie "Random hardware addresses" aan
> staat in de WiFi settings (default dacht ik). Windows genereert dan
> voor elke nieuwe WiFi-connectie een eigen LAA MAC-adres.


Ja dat weet ik, maar dat is in Windows uitgefaseerd gelukkig.
(een stuk of wat halfjaar updates geleden)

Men kwam er kennelijk achter dat dit toch een dom idee was, of in
ieder geval de implementatie. Windows hield een tabel bij van MAC
adressen van WiFi access points en het LAA MAC adres wat ie daar
eerder op gebruikt had, en koos dan bij connectie dus het bijbehorende
MAC adres.

Dit was uiteraard een complete faal in bedrijven waar tientallen access
points hangen met allemaal dezelfde SSID en waar de client het sterkste
accesspoint connect en verwacht op die manier te kunnen "roamen".
Iedere keer bij schakelen naar een ander access point veranderde het
MAC adres, dus nieuw IP adres, en allerlei verbindingen verbroken.

Plus dat dit ook een explosie van de DHCP leases veroorzaakte doordat
iedere client meerdere adressen bezet hield. Dat heeft Microsoft
gelukkig ingezien en deze feature er weer uit gesloopt.

Echter, de Android versie werkt niet op deze manier, als die naar een
ander access point gaat blijft die hetzelfde eenmalig gekozen LAA MAC
adres gebruiken.

> De toelichting is "Use random hardware addresses to make it harder
> for people to track your location when you connect to different WiFi
> networks. This setting applies to new connection."


Daar is het dus kennelijk niet voor. Het enige wat ik nog niet gechecked
heb (bij gebrek aan een dergelijke telefoon in mijn handen) is of het
LAA MAC adres wellicht verandert als de SSID verandert.
Maar dan zou het nog niet zo goed werken want dan gebruikt ie nog steeds
hetzelfde MAC adres voor ieder AP wat zich "Wifi in de trein" noemt ofzo.

> In Android zit het sinds Android 8:
> [..]


Dat "het" is de feature die je noemde voor Apple IOS, niet de situatie
waar ik het nu over heb dus.

> Die 'veiligheidswaanzin' vind ik overigens bepaald geen overbodige
> luxe in deze tijden waarin tracking steeds agressiever wordt (in de
> VS een groter probleem is dan hier, maar dat verschil is een kwestie
> van tijd).


Ik heb het over waanin als er steeds meer established standards worden
gebroken ten behoeve van een of ander korte-termijn doel en waarmee
normaal beheer zowat onmogelijk gemaakt wordt.

Als je een netwerk hebt met een paar honderd concurrent gebruikers en bijv
een DHCP range die gemiddeld 30-40% gevuld is ofzo, en ineens besluit een
of andere idioot dat het MAC adres agressief getracked wordt en dus beter
iedere 10 minuten veranderd kan worden, dan heb je echt wel een probleem!

Dat is ook de reden dat ik dit soort dingen een beetje probeer te volgen
door zo nu en dan eens door die lijsten te bladeren en patronen die me
opvallen te proberen te onderzoeken. Zodat ik niet ineens verrast wordt
door een breed uitgerolde "security update" die wellicht een utopisch
geval van agressieve tracking elders weet te voorkomen, maar wel ons
eigen netwerk op de knieen brengt.
Roger (28.05.2020, 13:06)
On 2020/05/28 11:30, Rob wrote:
> Roger <nosuchuser> wrote:
> Ja dat weet ik, maar dat is in Windows uitgefaseerd gelukkig.
> (een stuk of wat halfjaar updates geleden)


Uh? Deze functionaliteit zit gewoon in Windows 10 1909.

[..]
> Plus dat dit ook een explosie van de DHCP leases veroorzaakte doordat
> iedere client meerdere adressen bezet hield. Dat heeft Microsoft
> gelukkig ingezien en deze feature er weer uit gesloopt.


Zo'n implementatie lijkt mij ook 'minder handig' (of een epic fail, zo
je wilt).

> Echter, de Android versie werkt niet op deze manier, als die naar een
> ander access point gaat blijft die hetzelfde eenmalig gekozen LAA MAC
> adres gebruiken.


Dat doet Windows 10 1909 gelukkig ook. Als ik van het ene AP hier in
huis naar het andere roam, verandert het MAC-adres niet. Het MAC-adres
zit nu kennelijk in het WiFi connection profile. Het verandert ook niet
na een reboot.

> Daar is het dus kennelijk niet voor. Het enige wat ik nog niet gechecked
> heb (bij gebrek aan een dergelijke telefoon in mijn handen) is of het
> LAA MAC adres wellicht verandert als de SSID verandert.
> Maar dan zou het nog niet zo goed werken want dan gebruikt ie nog steeds
> hetzelfde MAC adres voor ieder AP wat zich "Wifi in de trein" noemt ofzo.


Het woord "connection" betekent in Microsoft speak een WiFi profile,
dus niet de feitelijke verbinding die ontstaat als je verbinding maakt
met het netwerk. Best verwarrend.

Als ik de consequenties overweeg van verschillende implementaties,
dan denk ik dat Microsoft in Windows de juiste keuze heeft gemaakt...

>> In Android zit het sinds Android 8:
>> [..]

> Dat "het" is de feature die je noemde voor Apple IOS, niet de situatie
> waar ik het nu over heb dus.


....en Google in Android eveneens. Er is kennelijk ergens een consensus
ontstaan hoe dit zou moeten werken.

Er zit nog verschil tussen Androind 8 (alleen probing), 9 (developer
optie) en 10 (default aan). Wat je op de DHCP server ziet zal daarom
waarschijnlijk (vrijwel) alleen Android 10 zijn.

Het gedrag van Android 10 is hetzelfde als dat van Windows 10 (of zou
het elk geval moeten zijn). Onder het kopje Validation staat "Note:
Randomized MAC addresses are generated per SSID and are persistent."

> Ik heb het over waanin als er steeds meer established standards worden
> gebroken ten behoeve van een of ander korte-termijn doel en waarmee
> normaal beheer zowat onmogelijk gemaakt wordt.
> Als je een netwerk hebt met een paar honderd concurrent gebruikers en bijv
> een DHCP range die gemiddeld 30-40% gevuld is ofzo, en ineens besluit een
> of andere idioot dat het MAC adres agressief getracked wordt en dus beter
> iedere 10 minuten veranderd kan worden, dan heb je echt wel een probleem!


Ja, want als een systeembeheerder met stoom uit de oren door de gang
stampt, dan is het 'zandzakken voor de deur' :) Ik voel met je mee!

Groeten,
-Roger
Ruud Uphoff (28.05.2020, 13:44)
On 28-05-20 09:37, Rob wrote:
> Ik zie de laatste tijd meer en meer Android telefoons op het
> netwerk met een LAA MAC adres, dus bit 1 van het eerste byte is set,
> en de 1e 3 bytes samen zijn geen bekende prefix van een fabrikant.
> Is dat weer een nieuwe "veiligheidswaan" ofzo? Weet iemand of dat
> ergens een instelling is of een of andere app of zo iets?


In Android 10 het toppunt van idioterie. Het gaat om privacy. Wat ze
gedaan hebben is eigenlijk prima en heeft te maken met IPv6 in Android
10. De bedoeling is dat je MAC adres niet voor een groot deel zichtbaar
wordt in IPv6. Dat vloekt met twee instellingen in de router:

DHCP: "Always assign this network device the same IPv4 address"
WiFi: "Do not allow any new wireless devices".

Gelukkig kun je het uitzetten, maar dat moet voor elke geconfigureerde
WiFi verbinding afzonderlijk.
Rob (28.05.2020, 14:40)
Ruud Uphoff <newslink> wrote:
> On 28-05-20 09:37, Rob wrote:
> In Android 10 het toppunt van idioterie. Het gaat om privacy. Wat ze
> gedaan hebben is eigenlijk prima en heeft te maken met IPv6 in Android
> 10. De bedoeling is dat je MAC adres niet voor een groot deel zichtbaar
> wordt in IPv6. Dat vloekt met twee instellingen in de router:
> DHCP: "Always assign this network device the same IPv4 address"
> WiFi: "Do not allow any new wireless devices".
> Gelukkig kun je het uitzetten, maar dat moet voor elke geconfigureerde
> WiFi verbinding afzonderlijk.


Het gebruik van een random adres op IPv6 ipv het bekende van het MAC
adres afgeleide adres is iets wat hier helemaal los van staat, dat doen
veel systemen al langer by default en dat is niet echt een probleem.

Hiervoor is het dus niet nodig het MAC adres te veranderen.
Rob (28.05.2020, 14:49)
Roger <nosuchuser> wrote:
> On 2020/05/28 11:30, Rob wrote:
> Uh? Deze functionaliteit zit gewoon in Windows 10 1909.


Hmm dan moet ik weer eens op een paar systemen gaan checken, het kan
natuurlijk zijn dat het ook nog afhankelijk is van de home of pro versie
of hoe dat tegenwoordig weer heet. Toen ik er een keer naar zocht
was het er niet meer en las ik ergens dat het verwijderd was door
Microsoft.

> Zo'n implementatie lijkt mij ook 'minder handig' (of een epic fail, zo
> je wilt).
>> Dat doet Windows 10 1909 gelukkig ook. Als ik van het ene AP hier in

> huis naar het andere roam, verandert het MAC-adres niet. Het MAC-adres
> zit nu kennelijk in het WiFi connection profile. Het verandert ook niet
> na een reboot.


Nee het veranderde in die oude Windows versie ook niet na een reboot maar
wel na een connect met een ander AP ook al was het via hetzelfde profiel
(dus SSID/wachtwoord). Dit kwam omdat het gekoppeld was aan AP MAC adres.
Heel vervelend, en ik snap wel dat ze het daarom verwijderd hadden, wellicht
is het terug gekomen met een ander ontwerp.

> Het woord "connection" betekent in Microsoft speak een WiFi profile,
> dus niet de feitelijke verbinding die ontstaat als je verbinding maakt
> met het netwerk. Best verwarrend.
> Als ik de consequenties overweeg van verschillende implementaties,
> dan denk ik dat Microsoft in Windows de juiste keuze heeft gemaakt...


Als het nu zo werkt dan verbetert het wellicht iets het "probleem" wat
de mensen zich inbeelden, maar zeker niet volledig want als je een
connectie gemaakt hebt met "Wifi in de trein" dan is je MAC adres daarvoor
dus verder constant en kan de uitbater daarvan je door het hele netwerk
volgen. Oh the horror.
Hetzelfde met andere "min of meer openbare Wifi netwerken".

>>> In Android zit het sinds Android 8:
>>> [..]

>> Dat "het" is de feature die je noemde voor Apple IOS, niet de situatie
>> waar ik het nu over heb dus.

> ...en Google in Android eveneens. Er is kennelijk ergens een consensus
> ontstaan hoe dit zou moeten werken.


> Er zit nog verschil tussen Androind 8 (alleen probing), 9 (developer
> optie) en 10 (default aan). Wat je op de DHCP server ziet zal daarom
> waarschijnlijk (vrijwel) alleen Android 10 zijn.


Ok nu ik het beter lees zie ik dat ze in dat verhaal twee totaal
verschillende dingen in hetzelfde artikel behandelen: het verhaal
over WiFi probing (wat Apple ook doet), om te kijken of een reeds
bekend WiFi netwerk in bereik is ook als de beheerder beaconing heeft
uitgezet, en het onderwerp waar we het nu over hebben: het gebruiken
van een afwijkend MAC adres bij het maken van de daadwerkelijke verbinding.

Kijk als het constant is voor het hele netwerk dan zit ik er niet zo mee,
maar wat die oude Windows versie deed dat zou echt wel een probleem zijn
op ons WiFi netwerk! Gelukkig was er toen ik dat ontdekte maar 1 gebruiker
die dat aan had staan, maar die hield al snel een stuk of 10 IP adressen
bezet in het netwerk. Als iedereen dat zou gaan doen dan hadden we
een probleem...
A. Dumas (28.05.2020, 16:41)
Rob <nomail> wrote:
> Kijk als het constant is voor het hele netwerk dan zit ik er niet zo mee,
> maar wat die oude Windows versie deed dat zou echt wel een probleem zijn
> op ons WiFi netwerk! Gelukkig was er toen ik dat ontdekte maar 1 gebruiker
> die dat aan had staan, maar die hield al snel een stuk of 10 IP adressen
> bezet in het netwerk. Als iedereen dat zou gaan doen dan hadden we
> een probleem...


Niet dat dit weinig werk zal zijn, maar kun je ze niet achter een ipv6-only
sublan wegnatten? (Dus met z'n allen 1 ipv4 adres.) Probleem is dan wel de
herkenning, als ze hun MAC zelf verzinnen... Oke, laat maar :)
Rob (28.05.2020, 16:53)
A Dumas <alexandre> wrote:
> Rob <nomail> wrote:
> Niet dat dit weinig werk zal zijn, maar kun je ze niet achter een ipv6-only
> sublan wegnatten? (Dus met z'n allen 1 ipv4 adres.) Probleem is dan wel de
> herkenning, als ze hun MAC zelf verzinnen... Oke, laat maar :)


Ik snap niet waar je het over hebt...
A. Dumas (28.05.2020, 17:36)
Rob <nomail> wrote:
> A Dumas <alexandre> wrote:
>> Niet dat dit weinig werk zal zijn, maar kun je ze niet achter een ipv6-only
>> sublan wegnatten? (Dus met z'n allen 1 ipv4 adres.) Probleem is dan wel de
>> herkenning, als ze hun MAC zelf verzinnen... Oke, laat maar :)

> Ik snap niet waar je het over hebt...


Ik ook niet. Ik haalde een paar dingen door elkaar. Dacht eerst: alle
mobiele telefoons kunnen ipv6, dus dan doe je toch alleen dat. Maar toen
realiseerde ik me dat totaal geen ipv4 waarschijnlijk tot rellen zou
leiden, dus misschien een 6-to-4 bridge als een soort nat? En daarna: maar
ja dan kun je net zo goed gewoon een nieuw ipv4 subnet voor hen gebruiken.
En daarna: maar wacht wie zijn "hen" eigenlijk? Het is wel duidelijk, ik
weet bijna niks van netwerken.
Rob (28.05.2020, 18:03)
A Dumas <alexandre> wrote:
> Rob <nomail> wrote:
> Ik ook niet. Ik haalde een paar dingen door elkaar. Dacht eerst: alle
> mobiele telefoons kunnen ipv6, dus dan doe je toch alleen dat. Maar toen
> realiseerde ik me dat totaal geen ipv4 waarschijnlijk tot rellen zou
> leiden, dus misschien een 6-to-4 bridge als een soort nat? En daarna: maar
> ja dan kun je net zo goed gewoon een nieuw ipv4 subnet voor hen gebruiken.
> En daarna: maar wacht wie zijn "hen" eigenlijk? Het is wel duidelijk, ik
> weet bijna niks van netwerken.


Die dingen zitten al in een apart subnet zowel voor IPv4 (via NAT) als
via IPv6 (native).
Waar het om gaat is dat ze in IPv4 via DHCP een adres opvragen wat dan
aan het MAC adres gekoppeld is, dus als er steeds andere MAC adressen
gebruikt worden dan gaat dat een keer mis omdat er geen IPv4 adressen
in het subnet meer beschikbaar zijn.
Echter, m.u.v. de situatie met een oude Windows 10 versie die ik beschreven
heb is dat tot nu toe niet aan de hand geweest.
Roger (28.05.2020, 18:47)
On 2020/05/28 11:30, Rob wrote:
> Maar dan zou het nog niet zo goed werken want dan gebruikt ie nog steeds
> hetzelfde MAC adres voor ieder AP wat zich "Wifi in de trein" noemt ofzo.


Ook daar blijken ze bij Microsoft over te hebben nagedacht: je kunt
voor een specifiek WiFi netwerk ook de waarde "Change daily" kiezen.
De default is "On" (wat voor zover ik kan nagaan persistent betekent).

Groeten,
-Roger
Soortgelijke onderwerpen