Tổng quan
Trên phiên bản iOS 14 của Apple, tính năng MAC ngẫu nhiên (MAC Randomization) được bật mặc định là chủ đề đang được thảo luận nhiều trên các diễn đàn kỹ thuật. Trước đây, tính năng này chỉ được sử dụng khi dò tìm mạng Wifi. Điều này đã thay đổi cách nhìn nhận về quyền riêng tư và an toàn mạng. Mặc dù, tính năng này chỉ được bật mặc định trên phiên bản iOS 14 nhưng tác động của nó là khá lớn tới các nhà sản xuất thiết bị.
Việc thử nghiệm bật mặc định tính năng Mac ngẫu nhiên (MAC Randomization) không diễn ra nhất quán giữa các nhà sản xuất, cung cấp thiết bị, cung cấp dịch vụ. Trên các thiết bị Android 10, việc cài đặt mặc định Mac ngẫu nhiên lại tùy thuộc vào nhà cung cấp thiết bị và nhà cung cấp dịch vụ di động. Tuy nhiên, đối với iOS 14 có sự nhất quán do Apple kiểm soát từ hoạt động sản xuất phần cứng thiết bị và hệ điều hành. Ngoài ra, tỷ lệ người dùng thiết bị đầu cuối chấp nhận cập nhật phiên bản iOS mới là rất cao. Chính vì vậy bản phát hành của iOS 14 dự kiến sẽ cho thấy các tác động của việc thay đổi địa chỉ MAC ngẫu nhiên gây ra.
Địa chỉ MAC được sử dụng như thế nào?
Một trong những ứng dụng của địa chỉ MAC Address là trong quá trình lọc trên mạng không dây để ngăn người lạ truy cập mạng, bộ định tuyến được đặt để chỉ chấp nhận các địa chỉ MAC cụ thể. Theo cách này, nếu địa chỉ IP thay đổi như trong trường hợp địa chỉ IP có vấn đề thì địa chỉ MAC vẫn có thể xác định thiết bị.
Tính năng lọc có thể được sử dụng để theo dõi người dùng mạng và để hạn chế quyền truy cập của họ. Và cũng có thể các mục đích sử dụng khác, chẳng hạn như xác định khi thiết bị bị đánh cắp kết nối với mạng. Vì những lý do này, nhiều công ty và tổ chức yêu cầu địa chỉ MAC của thiết bị của nhân viên. Do đó, điều quan trọng là chủ sở hữu thiết bị không tiết lộ địa chỉ MAC của mình cho bất kỳ ai, ngoại trừ nhân viên được ủy quyền.
Việc sử dụng phổ biến nhất của địa chỉ MAC là lọc truy cập. Dựa trên địa chỉ Mac, nhà cung cấp dịch vụ Internet có thể kiểm soát quyền truy cập vào internet. Ví dụ đơn giản nhất là khi bạn kết nối máy tính của mình với Internet, sau đó quyết định kết nối với máy tính khác thông qua bộ định tuyến được kết nối, nhưng không có Internet. Lý do là ISP đã gán địa chỉ IP và đăng ký địa chỉ MAC của card mạng với bạn. Do đó, chỉ có quyền truy cập Internet cho một thiết bị có địa chỉ MAC đã đăng ký.
Ngoài việc sử dụng mạng cơ bản, địa chỉ MAC thường được sử dụng cho các mục đích sau:
- IP tĩnh: Bộ định tuyến cho phép gán địa chỉ IP tĩnh cho máy tính. Khi một thiết bị được kết nối, nó luôn nhận được một địa chỉ IP cụ thể nếu có địa chỉ MAC tương ứng.
- Lọc địa chỉ MAC: mạng có thể sử dụng bộ lọc địa chỉ MAC, chỉ cho phép các thiết bị có địa chỉ MAC cụ thể kết nối với mạng.
- Nhận dạng thiết bị: Nhiều mạng Wi-Fi tại sân bay và các điểm truy cập Wi-Fi công cộng khác sử dụng địa chỉ MAC của thiết bị để nhận dạng thiết bị. Ví dụ: mạng Wi-Fi của sân bay có thể cung cấp miễn phí tối đa 30 phút Internet và sau đó cấm một địa chỉ MAC cụ thể truy cập Wifi.
- Theo dõi thiết bị: Vì MAC ID là một số duy nhất, nên có thể được sử dụng để theo dõi. Khi đi bộ xuống phố, điện thoại thông minh quét các mạng Wifi gần đó và truyền địa chỉ MAC. Ví dụ, công ty “Renew London” đã sử dụng thùng rác ở thành phố London để theo dõi sự di chuyển của người dân trong thành phố dựa trên địa chỉ MAC của họ.
Private MAC Address là gì?
Private MAC Address hay Randomized MAC Address có một định dạng duy nhất, vì vậy có thể dễ dàng xác định xem địa chỉ MAC đang được sử dụng là địa chỉ Global Unique hay Private MAC. Nếu ký tự thứ hai của địa chỉ MAC là 2, 6, A hoặc E, thì địa chỉ MAC đang được sử dụng không phải là địa chỉ MAC được ghi trong thiết bị mà thay vào đó là một địa chỉ có thể sẽ thay đổi.
Với việc thay đổi này, các quản trị mạng sẽ không còn có thể sử dụng phần thông tin này để xác định người dùng. Ưu điểm của điều này bảo vệ tính ẩn danh của người dùng cuối, nhưng có thể dẫn đến sự cố khi quản trị mạng cần xác định người dùng cuối vì những lý do khác nhau.
Tác động của sự thay đổi này là gì?
Tùy thuộc vào cấu hình của các hệ thống mạng, sẽ có ít hoặc không có tác động với thay đổi này. Nếu mạng đang sử dụng cơ chế xác thực 802.1X, thì các cơ chế khác sẽ định danh thiết bị với mạng. Tuy nhiên, nhiều thiết bị không hỗ trợ 802.1X hoặc mạng không được cấu hình để sử dụng 802.1X và đây là tác động lớn nhất. Nếu mạng đang sử dụng địa chỉ MAC của thiết bị để xác thực thiết bị với mạng và thiết bị đang chạy iOS, Android hoặc Windows, dẫn đến các thiết bị không kết nối được với hệ thống mạng Wifi. Nếu địa chỉ MAC của thiết bị được sử dụng cho các chức năng khác như reserved DHCP, portal bypass hay network Access Control Lists (ACLs), thì quản trị mạng có thể sẽ tiếp nhận các khiếu nại ngẫu nhiên về việc không thể kết nối với các trang web hoặc tài nguyên nhất định.
Các vấn đề khác có thể xuất hiện như là danh sách chặn truy cập sử dụng địa chỉ MAC sẽ không hiệu quả và các quy tắc quản lý thiết bị dựa trên địa chỉ MAC sẽ không hoạt động, chẳng hạn như mạng gia đình ngăn thiết bị của trẻ em xem video. Một tác động khác là các thiết bị giả mạo cố gắng truy cập vào mạng công ty có thể chỉ cần ” forget” mạng và thử lại, với một địa chỉ MAC mới. Trong quá trình khắc phục sự cố, người dùng có thể gặp khó khăn khi tìm MAC đã được sử dụng hoặc bộ phận hỗ trợ mạng có thể gặp khó khăn khi khắc phục sự cố nếu địa chỉ MAC thay đổi trong quá trình xác định nguyên nhân sự cố.
Một số tác động của MAC ngẫu nhiên trong hệ thống Wifi:
- MAC based features
- Captive Portal
- Banned Client / Block list
- DPSK
- DHCP Pool Exhaustion
- Troubleshooting
- Wi-Fi Analytics/ Wi-Fi LBS
- Legal Forensic
RUCKUS DPSK sẽ không bị ảnh hưởng bởi tính năng Mac ngẫu nhiên với cấu hình như hiện tại như các hãng thiết bị khác, nhưng nó có thể bị ảnh hưởng trong tương lai nếu địa chỉ MAC được chọn ngẫu nhiên sau mỗi 24 giờ, điều này đã được đề xuất trong iOS 14. Các sản phẩm như RUCKUS Cloudpath và eDPSK có thể giúp quản lý và giảm thiểu một số vấn đề này.