Näkyykö MAC-osoitteeni verkkosivustoille?

Ei – verkkosivustot näkevät vain julkisen IP-osoitteesi, selaimesi sormenjälkesi ja muut sovellustason signaalit. MAC-osoite on olemassa vain paikallisessa verkossa, eikä se koskaan kulje reitittimen läpi. Internet-palveluntarjoajasi näkee suoraan laitteeseensa (modeemiin/reitittimeen) liitetyn laitteen MAC-osoitteen, mutta ei yksittäisten tietokoneidesi MAC:eja.

Pitäisikö minun ottaa MAC-satunnaistaminen käyttöön?

Kyllä, useimmissa tapauksissa – etua yksityisyydestä pienin käyttökustannuksin. Poikkeuksen muodostavat verkot, jotka käyttävät MAC-pohjaista todennusta (jotkut yritysverkot, jotkut hotellivierasportaalit), joissa satunnaistaminen voi katkaista pääsyn. Useimmat käyttöjärjestelmätoteutukset ovat tässä älykkäitä ja tarjoavat verkkokohtaisia vaihtoja.

Voiko MAC-osoite tunnistaa minut yksilöllisesti?

Se voi tunnistaa laitteen. Useita yhdelle henkilölle kuuluvia laitteita voidaan linkittää yhteen, jos niiden MAC:t näkyvät samoissa verkoissa. OS-tason satunnaistuksessa linkki on vaikeampi – jokainen verkko näkee eri MAC:n laitetta kohti.

Mitä eroa on EUI-48:lla ja EUI-64:llä?

Molemmat ovat verkkotunnisteen muotoja. EUI-48 on tavallinen 48-bittinen MAC. EUI-64 on 64-bittinen versio, jota käytetään IPv6-liityntätunnusten johtamiseen MAC-osoitteista. Nykyaikainen IPv6, jossa on tietosuojalaajennukset, ei enää käytä EUI-64:ää (se luo satunnaisia käyttöliittymätunnuksia).

Voiko minulla olla kaksi laitetta samalla MAC:lla?

Maailmanlaajuisesti hallinnoitujen MAC:ien oletetaan olevan ainutlaatuisia, mutta väärennetyt verkkokortit ja tahallinen huijaus tuottavat kaksoiskappaleita. Kaksi laitetta, joilla on sama MAC samassa verkossa, ovat ristiriidassa; eri verkoissa ne ovat näkymättömiä toisilleen, eikä päällekkäisyydellä ole vaikutusta.

MAC-osoitteet selitetty: 48-bittinen ID jokaisella verkkolaitteella on

MAC-osoite on laitteistotunniste, joka on lisätty jokaiseen verkkoliitäntään – Ethernet, Wi-Fi, Bluetooth. Se on numero, jota laitteet käyttävät puhuessaan keskenään paikallisverkossa, perustana monille seurantajärjestelmille, ja asia, jonka puhelimesi nyt satunnaistaa, kun se liittyy Wi-Fi-verkkoon. Sen toiminnan ymmärtäminen selittää paljon siitä, kuinka verkot todella toimivat IP-kerroksen alla.

Artikkelin koko runko on englanniksi alla.

A MAC-osoite (Media Access Control address) on 48-bittinen tunniste, joka on määritetty verkkoliitäntäohjaimelle ja jota käytetään viestintään paikallisessa verkkosegmentissä. Toisin kuin IP-osoitteet, jotka voivat muuttua siirryttäessä verkkojen välillä, MAC-osoitteet on perinteisesti sidottu laitteistoon. Jokaisessa Ethernet-kortissa, jokaisessa Wi-Fi-radiossa, jokaisessa Bluetooth-sirussa on vähintään yksi.

Muoto

A MAC-osoite on 48 bittiä — 6 tavua — yleensä kirjoitettu kuudella heksaparilla erotettuina kaksoispisteillä tai viivoilla:

00:1A:2B:5E:3
00-1A-2B-3C-4D-5E

Ensimmäiset kolme tavua ovat OUI (Organizationally Unique Identifier), jotka IEEE on määrittänyt valmistajille. OUI:n etsiminen kertoo, kuka verkkokortin teki: 00:1A:2B saattaa olla "Cisco Systems", 04:FE:31 voi olla Apple. Valmistaja on määrittänyt viimeiset kolme tavua, ja ne ovat tyypillisesti ainutlaatuisia niiden OUI:ssa.

Kaksi erityistä bittiä ensimmäisessä tavussa:

Multicast bit — kun se on asetettu, osoite on ryhmälähetysosoite (yksi-monelle-osoite) eikä yksilähetysosoite. (yksi yhteen).
Paikallinen bitti — kun se on asetettu, osoitetta hallinnoidaan paikallisesti (käyttöjärjestelmän valitsema) globaalin yksilöllisen sijaan. Satunnaistetut MAC-osoitteet asettavat tämän bitin.

Mitä MAC-osoitteita tekevät

Verkkopinon kerroksessa 2 — datalinkkikerroksessa — jokainen Ethernet- tai Wi-Fi-kehys sisältää lähde- ja kohde-MAC:n. Kun kannettava tietokone lähettää IP-paketin Internet-palvelimelle, kerroksen 2 kohde on reitittimesi MAC, ei palvelimen. MAC-osoitteella on tilaa vain välittömälle paikalliselle segmentille; kun paketti ylittää reitittimen, kerroksen 2 osoitus muuttuu.

Protokolla, joka kartoittaa IP:t paikallisverkon MAC:eihin, on ARP (Address Resolution Protocol) IPv4:lle ja Neighbor Discovery IPv6:lle. "Kenellä on IP 192.168.1.1?" Lähetys lähiverkossa; laite, jolla on tämä IP, vastaa MACillaan. Kysyjä tallentaa vastauksen välimuistiin muutaman minuutin ajan.

MAC-osoitteet tietosuojaongelmana

Historiallisesti jokainen laite lähetti todellisen MAC-osoitteensa aina, kun se liittyi Wi-Fi-verkkoon tai etsi käytettävissä olevia verkkoja. Ostoskeskukset, vähittäiskaupan analytiikkayritykset ja häikäilemättömät Wi-Fi-verkot kirjasivat nämä MAC:t seuratakseen kävelyä, viipymäaikoja ja paluukäyntejä useissa eri paikoissa. MAC on pysyvä tunniste – paljon vaikeampi tyhjentää kuin eväste.

Alan vastaus oli MAC-osoitteiden satunnaistaminen:

iOS 14 (2020) - iPhonesi erilainen käyttö MACFi-verkoissa. verkko, jossa sama satunnaistettu MAC käytetään uudelleen samassa verkossa.
Android 10 (2019) lisäsi samanlaisen SSID-kohtaisen satunnaistuksen.
Windows 10/11 tukee satunnaistamista verkkokohtaisilla vaihtoehdoilla. Sonoma (2023) lisää verkkokohtaisen satunnaistuksen.

Satunnaistetuissa MAC:eissa on paikallisesti hallinnoidut bitit, joten ne voidaan tunnistaa satunnaistetuiksi. Jotkut verkot (etenkin MAC-pohjaista todennusta käyttävät yritysverkot) kieltäytyvät sallimasta yhteyksiä satunnaistetuista MAC-verkoista.

MAC-osoitteen huijaus

Voit muuttaa MAC-osoitettasi käytännössä missä tahansa käyttöjärjestelmässä. Linuxissa: ip-linkki asettaa dev eth0 -osoitteen aa:bb:cc:dd:ee:ff. MacOS:ssa: sudo ifconfig en0 ether aa:bb:cc:dd:ee:ff. Windowsissa: sovittimen ohjainasetusten kautta. Käyttöjärjestelmä ei välitä; laitteisto toimii edelleen.

Huijausta käytetään laillisiin tarkoituksiin (yksityisyys, MAC-kiintiöiden ohittaminen hotelleissa, viallisen reitittimen korvaaminen, joka on todennut MAC:n) ja laittomiin tarkoituksiin (verkkokäyttö ilman lupaa, hyökkääminen MAC:eihin luottaviin järjestelmiin).

MAC-osoite vs IP-osoite

8LoXXcal8 segmentit

	MAC	IP
Layer	2 (tietolinkki)	3 (verkko)
Size	48 bittiä	32 (v4) / 128 (v6)
Scope
Global
Määräjä:	Valmistaja (tai käyttöjärjestelmä satunnaistetuille)	DHCP / SLAAC / staattinen konfigurointiXPLZ42PLZXXXX4 kun	Laitteiston muutos tai käyttöjärjestelmän satunnaistaminen	Verkkomuutokset
Näkyy	Vain paikallisverkkoon	Jokainen hyppää pakettia traverses

MAC ja DHCP

Reitittimesi DHCP-palvelin määrittää IP-osoitteet laitteille, jotka on avattu MAC:lla. Reitittimen asetusten "varaus"-ominaisuudet ovat pohjimmiltaan "anna tälle MAC:lle sama IP joka kerta". Tämä tekee "MAC-varauksesta" normaalin kotireitittimen ominaisuuden. OS-tason MAC-satunnaistuksessa sama fyysinen laite näyttää reitittimelle useilta MAC:ilta ja rikkoo joitain varausjärjestelmiä – minkä vuoksi nykyaikaiset reitittimet ovat alkaneet tukea "satunnaistettuja MAC"-varauksia.

MAC-suodatus: ei turvallisuutta

Jotkin reitittimet tarjoavat "MAC-suojausominaisuuden" Wi-Fi-suojausominaisuuden. Älä luota siihen. MAC-osoitteet lähetetään selkeästi jokaisessa kehyksessä; Hyökkääjä voi tarkkailla muutamia paketteja, lukea sallitun MAC:n, huijata sitä ja muodostaa yhteyden. MAC-suodatus on operatiivista organisaatiota, ei turvallisuutta. Todellinen Wi-Fi-suojaus tulee WPA2/WPA3:sta vahvalla salasanalla – katso Wi-Fi-tietoturvaartikkelimme.

Usein kysytyt kysymykset

Näkyykö MAC-osoitteeni verkkosivustoille?: Ei – verkkosivustot näkevät vain julkisen IP-osoitteesi, selaimesi sormenjälkesi ja muut sovellustason signaalit. MAC-osoite on olemassa vain paikallisessa verkossa, eikä se koskaan kulje reitittimen läpi. Internet-palveluntarjoajasi näkee suoraan laitteeseensa (modeemiin/reitittimeen) liitetyn laitteen MAC-osoitteen, mutta ei yksittäisten tietokoneidesi MAC:eja.
Pitäisikö minun ottaa MAC-satunnaistaminen käyttöön?: Kyllä, useimmissa tapauksissa – etua yksityisyydestä pienin käyttökustannuksin. Poikkeuksen muodostavat verkot, jotka käyttävät MAC-pohjaista todennusta (jotkut yritysverkot, jotkut hotellivierasportaalit), joissa satunnaistaminen voi katkaista pääsyn. Useimmat käyttöjärjestelmätoteutukset ovat tässä älykkäitä ja tarjoavat verkkokohtaisia vaihtoja.
Voiko MAC-osoite tunnistaa minut yksilöllisesti?: Se voi tunnistaa laitteen. Useita yhdelle henkilölle kuuluvia laitteita voidaan linkittää yhteen, jos niiden MAC:t näkyvät samoissa verkoissa. OS-tason satunnaistuksessa linkki on vaikeampi – jokainen verkko näkee eri MAC:n laitetta kohti.
Mitä eroa on EUI-48:lla ja EUI-64:llä?: Molemmat ovat verkkotunnisteen muotoja. EUI-48 on tavallinen 48-bittinen MAC. EUI-64 on 64-bittinen versio, jota käytetään IPv6-liityntätunnusten johtamiseen MAC-osoitteista. Nykyaikainen IPv6, jossa on tietosuojalaajennukset, ei enää käytä EUI-64:ää (se luo satunnaisia käyttöliittymätunnuksia).
Voiko minulla olla kaksi laitetta samalla MAC:lla?: Maailmanlaajuisesti hallinnoitujen MAC:ien oletetaan olevan ainutlaatuisia, mutta väärennetyt verkkokortit ja tahallinen huijaus tuottavat kaksoiskappaleita. Kaksi laitetta, joilla on sama MAC samassa verkossa, ovat ristiriidassa; eri verkoissa ne ovat näkymättömiä toisilleen, eikä päällekkäisyydellä ole vaikutusta.