Security Professionals - ipfw add deny all from eindgebruikers to any

MAC adres 12:08

27-08-2019, 14:51 door Anoniem, 19 reacties
Ik zie op het WiFi gasten netwerk een aantal MAC adressen die allemaal beginnen met 12:08:
Dit zijn uiteraard zelf-toegekende adressen (bit 02 in het 1e byte) dus niet terug te zoeken in een manufacturer lijst.
Weet iemand welk device of programma dit soort adressen gebruikt?
Ik vermoed iets wat een of andere anonimiteit probeert te bereiken ofzo. Maar als dit te veel gebeurt is dat een
aanslag op de DHCP pool... maar voor ik er iets mee ga doen zou ik wel meer info willen hebben, en googlen levert tot
nu toe weinig op.
Reacties (19)
27-08-2019, 18:30 door Tha Cleaner
Door Anoniem: Ik zie op het WiFi gasten netwerk een aantal MAC adressen die allemaal beginnen met 12:08:
Dit zijn uiteraard zelf-toegekende adressen (bit 02 in het 1e byte) dus niet terug te zoeken in een manufacturer lijst.
Weet iemand welk device of programma dit soort adressen gebruikt?
Software genoeg dat dit mogelijk kan. Ieder virtualisatie programma (virtualbox, vmware, kvm) kan een MAC adres genereren voor een virtuele machine.


Ik vermoed iets wat een of andere anonimiteit probeert te bereiken ofzo.
Je bedoelt de witte busjes in de straat?
Ik vermoed dat de kans groter is dat het heel wat anders is.

Maar als dit te veel gebeurt is dat een aanslag op de DHCP pool...
Over hoeveel adressen hebben we het precies, liggen ze ook allemaal in de zelfde tijd frame?

maar voor ik er iets mee ga doen zou ik wel meer info willen hebben, en googlen levert tot nu toe weinig op.
Kans dat er werkelijk iets aan de hand is, is klein. Zeker met de informatie die je nu geeft.

Maar als je iets snel wilt beveiligingen, verander je wifi WPA wachtwoord en komt het dan nog voor?
27-08-2019, 18:51 door Anoniem
Achterhalen maar met
https://www.tweaking4all.nl/forums/onderwerp/mac-adres-achterhalen-op-basis-van-ip-adres/

Is er misschien een voorgeprogrammeerd flash device op deze machine gebruikt met een geïntegreerd MAC adres.
Veilig voor de aanvaller door OUI. Slimmerikje in de buurt?

J.O.
27-08-2019, 19:05 door Anoniem
Tja virtualisatieplatformen hebben meestal wel het fatsoen om zelf een MAC prefix te registreren voor dit soort
doeleinden. Ik denk eerder dat het een of ander programma'tje is wat iemand op zijn/haar laptop kan zetten en
wat iedere keer dat je hem boot een ander random MAC adres aan de netwerkkaart hangt en daarmee wil voorkomen
dat de gebruiker "getracked" wordt ofzo.

Ik dacht wellicht weet iemand hier welk programma dat doet en die specifieke MAC prefix gebruikt. Maar het kan
natuurlijk best zijn dat die prefix random is per installatie ofzo.
27-08-2019, 21:01 door Anoniem
Om het even duidelijk te maken: het gaat NIET over een aanvaller of anderszins ongewenst persoon.
Het is een legitieme gebruiker van een gastennetwerk in een bedrijf waar gemiddeld 200-300 gebruikers op zitten die ieder 1 MAC adres hebben en daarbij via DHCP uitgegeven IP adres.
Maar als mensen voor de lol MAC adressen gaan roteren dan zou dat in principe problemen kunnen geven door uitputting van de DHCP pool bijvoorbeeld. Daar kan ik uiteraard maatregelen tegen nemen.

Maar daar gaat het niet in de 1e plaats om, het gaat me er meer om of mensen dit bekend voorkomt bijvoorbeeld omdat
ze een programma kennen wat dit doet of dat het wellicht weer een nieuwe vinding van een van de bekende device
verkopers is (Apple, Android, etc) die we straks veel meer gaan tegenkomen. Want dan moet er wellicht structureel
wat op bedacht worden.

De vraag is dan of er gekozen moet worden voor "tegenmaatregelen" (ik kan simpel alle MACs met 02 bit set in het
eerste byte droppen bijvoorbeeld) of "workaround maatregelen" (bijvoorbeeld deze adressen een heel korte DHCP
lease time geven of een adres uit een aparte kleine pool).
In beide gevallen zou dit kunnen leiden tot problemen voor nietsvermoedende gebruikers dus als er sprake is van een of
andere standaardfaciliteit dan zou ik dat graag van te voren weten.
27-08-2019, 21:11 door Anoniem
Tsja, je kan natuurlijk proberen te kijken of je via nmap een OS fingerprint kan doen op het IP dat bij dat MAC hoort.
Of even een PCAP trekken en met Wireshark of Networkminer kijken wat voor verkeer er vanaf komt. Misschien dat je dan er achter komt wat het is voor verkeer.

Als je er niet achter kan komen, blokkeren op basis van MAC. Kijk of het verkeer terug komt met een ander MAC.
27-08-2019, 21:57 door Anoniem
Door Anoniem: Ik zie op het WiFi gasten netwerk een aantal MAC adressen die allemaal beginnen met 12:08:
Dit zijn uiteraard zelf-toegekende adressen (bit 02 in het 1e byte) dus niet terug te zoeken in een manufacturer lijst.
Weet iemand welk device of programma dit soort adressen gebruikt?
Ik vermoed iets wat een of andere anonimiteit probeert te bereiken ofzo. Maar als dit te veel gebeurt is dat een
aanslag op de DHCP pool... maar voor ik er iets mee ga doen zou ik wel meer info willen hebben, en googlen levert tot
nu toe weinig op.

Ik gok ook op een device dat device/mac tracking probeert te omzeilen door veel random mac adressen te gebruiken.

Als het jouw gasten netwerk is (dwz: je kent de mensen die erop zitten ) kun je stuk voor stuk devices laten uitzetten (vliegtuigstand voor telefoons) en kijken bij welk device de mac adressen niet meer verschijnen.

Als ik niks gemist heb in het nogal snel gelezen stuk over mac randomization hoef je niet bezorgd te zijn over dhcp pool exhaustion.
De random macs worden alleen gebruikt bij het wifi proben - op moment dat een device echt joined en dhcp adres vraagt is dat met eigen mac.

Dat zou ook betekenen dat als de adressen die je gezien hebt ook een dhcp lease geclaimed hebben, dat niet de normale manier van mac randomization is.

Info https://www.researchgate.net/publication/314361145_A_Study_of_MAC_Address_Randomization_in_Mobile_Devices_and_When_it_Fails
28-08-2019, 07:49 door Anoniem
Wat is het 3e octet? De eerste 3 octets zijn namelijk vendor specifiek, en het is dus niet verrassend dat die gelijk zijn bij gelijke apparatuur (of dat nu fysiek of virtueel is).

https://nl.wikipedia.org/wiki/MAC-adres:

Aan de eerste 24 bits van een MAC-adres (de Organizational Unique Identifier (OUI)) kan de fabrikant van de apparatuur worden afgeleid.[1]
28-08-2019, 10:13 door Anoniem
Door Anoniem:
Ik gok ook op een device dat device/mac tracking probeert te omzeilen door veel random mac adressen te gebruiken.

Als het jouw gasten netwerk is (dwz: je kent de mensen die erop zitten ) kun je stuk voor stuk devices laten uitzetten (vliegtuigstand voor telefoons) en kijken bij welk device de mac adressen niet meer verschijnen.

Zoals ik al schreef (maar dat moest nog gemodereerd worden) gaat het om het gastennetwerk van een bedrijf
waar gemiddeld 2 a 300 mensen op zitten (meer dan 30 accesspoints) die ik echt niet allemaal ken... het enige
wat ik kan checken is waar dit device ongeveer is aan de hand van welk accesspoint het connect.


Als ik niks gemist heb in het nogal snel gelezen stuk over mac randomization hoef je niet bezorgd te zijn over dhcp pool exhaustion.
De random macs worden alleen gebruikt bij het wifi proben - op moment dat een device echt joined en dhcp adres vraagt is dat met eigen mac.

Dat zou ook betekenen dat als de adressen die je gezien hebt ook een dhcp lease geclaimed hebben, dat niet de normale manier van mac randomization is.

Ja inderdaad ik heb begrepen dat DIE vorm alleen bedoeld is voor het proberen te connecten met toevallig gehoorde
netwerken en niet voor het maken van werkelijke verbindingen. Maar dat is het in dit geval niet want er waren wel
degelijk een hele serie IP adressen uitgegeven aan dit soort MACs. Niet zoveel dat het problemen gaf, maar wel goed
zichtbaar in de MRTG graph die ik bijhoud van het aantal actieve leases, juist om dit soort dingen voor te wezen en
eventueel parameters aan te kunnen passen VOOR er een echt probleem is.

Mocht het bijvoorbeeld zo zijn dat "de nieuwste versie van IOS dit standaard doet' (ik houd dat niet zo bij...) dan zou dat
weldegelijk een probleem kunnen opleveren en niet alleen voor mij denk ik. Dus dat zou dan een interessant discussie
item zijn. Betreft het een minder prominent aanwezig platform of een of andere niche applicatie of app dan maak ik me
minder zorgen.
28-08-2019, 11:00 door Bitwiper - Bijgewerkt: 28-08-2019, 11:04
27-08-2019, 21:57 door Anoniem: De random macs worden alleen gebruikt bij het wifi proben - op moment dat een device echt joined en dhcp adres vraagt is dat met eigen mac.
Windows 10 heeft ook een tijd MAC address randomization ondersteund, waarbij -naar verluidt- dat random MAC adres ook werd gebruikt bij de eerste keer aanmelden op een netwerk. Windows 10 onthield, naar verluidt, vervolgens dat MAC-adres per netwerk. In latere versies van W10 zou Microsoft gestopt zijn met ondersteunen van MAC address randomization (Google: Windows 10 MAC address randomization).

Volgens https://www.reddit.com/r/Windows10/comments/8fu8wz/microsoft_removed_the_ability_to_use_a_random/e6xmmxu/ zou onder elke HKLM\SOFTWARE\Microsoft\WlanSvc\Interfaces\{<GUID>}\ een value-name "RandomMacState" met waarde 1 of 0 moeten staan, die de auteur niet meer ziet. Ook ik zie die niet in W10 Pro 1903, maar onder elke interface GUID zie ik nog wel een value-name "RandomMacSeed" met als waarde een reeks bytes (Nb. ik heb deze W10 1903 van scratch geïnstalleerd). Ook bestaat de zoekstring "use random hardware addresses" nog steeds in de (Engelstalige) "Settings" van W10 op mijn PC; die komt uit op "Wi-Fi"maar daar ontbreekt de knop getoond in het tweede plaatje in https://www.mathyvanhoef.com/2016/03/how-mac-address-randomization-works-on.html. Laatstgenoemd document bevat veel technische info.

28-08-2019, 07:49 door Anoniem: De eerste 3 octets zijn namelijk vendor specifiek, en het is dus niet verrassend dat die gelijk zijn bij gelijke apparatuur (of dat nu fysiek of virtueel is).
Van een 3-bytes lange "Company ID" of "CID" is alleen sprake als de beide laagste bits van de meest linkse byte 0 zijn. In tegenstelling tot de Nederlandse Wikipedia pagina laat https://en.wikipedia.org/wiki/MAC_address#Address_details dat wel zien.

@TS: ook ik heb flink gegoogled (ook netwerk issues vind ik interessant), maar heb, net als jij, niets kunnen vinden over MAC adressen conform "12:08:*:*:*:*" (met streepjes "12-08-*-*-*-*").

Android gebruikt kennelijk (o.a. volgens de PDF genoemd door Anoniem van 27-08-2019, 21:57) "DA:A1:19:*:*:*" (met steepjes "DA-A1-19-*-*-*") terwijl ik vermoed dat iOS alle bits (behalve de laagste 2 van de 1e byte) random kiest,maar daar heb ik geen bewijzen van.
28-08-2019, 11:23 door Anoniem
Door Bitwiper:
Android gebruikt kennelijk (o.a. volgens de PDF genoemd door Anoniem van 27-08-2019, 21:57) "DA:A1:19:*:*:*" (met steepjes "DA-A1-19-*-*-*") terwijl ik vermoed dat iOS alle bits (behalve de laagste 2 van de 1e byte) random kiest,maar daar heb ik geen bewijzen van.

Ergens in de tekst van dat document (ik was 27-8 21:57) staat dat iOS inderdaad alles random kiest behalve de twee noodzakelijke bits.

pagina 10/11 :

Our initial thought was that Apple would use a OUI or CID like other manufacturers and simply ran- domize the least significant 24 bits of the MAC ad- dress. However, we quickly found that the MAC ad- dresses randomly generated by iOS devices do not share any common prefix. In fact, they appear to be
completely random, including the 24 OUI bits, ex- cept for the local bit which is always set to 1 and the multicast bit which is set to 0. To lend credence to this new hypothesis we sampled 47,255 random MAC addresses from an iOS device and ran standard statistical tests to determine if they were uniformly distributed (see Appendix B). These tests confirmed that, with the exception of the local and unicast bit, iOS most likely implements true randomization across the entire MAC address.
28-08-2019, 11:32 door Anoniem
@bitwiper: dat is interessant, dit zou het kunnen zijn.
Omdat ik er gisteren ineens 15 zag allemaal met dezelfde structuur (en niet meer actief) vreesde ik dat dit 1 gebruiker
was die iedere keer een ander adres pakte en DAN zou het wel eens vervelend kunnen worden... als onze pak em beet
300 gebruikers dagelijks door 15 MAC adressen gaan lopen dan zal ik het subnet en de DHCP pool moeten vergroten of
de leasetime drastisch verkorten (naar 1 uur ofzo). En dat geeft ook weer issues.

Het verhaal dat het gestopt is dat zou dit dan weer onmogelijk maken maar misschien zijn er andere operating systems
en/of additionele tools die hetzelfde doen. Als het MAC adres constant is heb ik er geen probleem mee.
28-08-2019, 11:38 door Anoniem
Door Anoniem:
Door Anoniem:
Ik gok ook op een device dat device/mac tracking probeert te omzeilen door veel random mac adressen te gebruiken.

Als het jouw gasten netwerk is (dwz: je kent de mensen die erop zitten ) kun je stuk voor stuk devices laten uitzetten (vliegtuigstand voor telefoons) en kijken bij welk device de mac adressen niet meer verschijnen.

Zoals ik al schreef (maar dat moest nog gemodereerd worden) gaat het om het gastennetwerk van een bedrijf
waar gemiddeld 2 a 300 mensen op zitten (meer dan 30 accesspoints) die ik echt niet allemaal ken... het enige
wat ik kan checken is waar dit device ongeveer is aan de hand van welk accesspoint het connect.

Ah, inderdaad die was nog niet zichtbaar toen ik mijn suggestie schreef.
Ik had aangenomen dat het je thuis-netwerk was, en twijfelde alleen of het je 'eigen' gasten waren, dan wel 'onbekende' gasten vanwege bv de ziggo 'wireless internet service' op basis van hun klanten modems.

Kun je eventueel die gebruiker(s) naar een specifiek captive portal sturen met een contact verzoek ?
Dan kun je gewoon vragen wat ze gebruiken , en wellicht vragen "doe dat liever niet hier" .


[..]

Mocht het bijvoorbeeld zo zijn dat "de nieuwste versie van IOS dit standaard doet' (ik houd dat niet zo bij...) dan zou dat
weldegelijk een probleem kunnen opleveren en niet alleen voor mij denk ik. Dus dat zou dan een interessant discussie
item zijn. Betreft het een minder prominent aanwezig platform of een of andere niche applicatie of app dan maak ik me
minder zorgen.

Ik herken het niet als 'nieuwe standaard van veel gebruikte device' . Op zich verwacht je ook wel dat Apple/Android e.d. ook nadenken bij de introductie van zoiets en niet zomaar een DoS bouwen voor heel veel 'normale' deployment scenario's .

Ik ben wel benieuwd wat dit zou zijn, dus als je het vindt hoop ik dat je een update wilt doen.
28-08-2019, 12:57 door Anoniem
Het zegt niks omdat niemand zich echt nog aan de OID database hoort en de adressen random zijn.
28-08-2019, 19:47 door Anoniem
Ja als ik er achter kom hoe het zit dan meld ik het wel.

Het zegt niks omdat niemand zich echt nog aan de OID database hoort en de adressen random zijn.
Dit is niet mijn ervaring. Het aantal niet geregistreerde MAC adressen is verreweg in de minderheid, misschien 1-5% ofzo.
28-08-2019, 20:03 door Anoniem
Volgens mij is het speciaal adres al het met een 1 begint
https://www.geeksforgeeks.org/introduction-of-mac-address-in-computer-network/
28-08-2019, 21:28 door Bitwiper
Door Anoniem: Ergens in de tekst van dat document (ik was 27-8 21:57) staat dat iOS inderdaad alles random kiest behalve de twee noodzakelijke bits.
Ah thanks, daar heb ik dan finaal overheen gekeken!
28-08-2019, 22:44 door Anoniem
@Bitwiper,

Weer hebbn we allen hiervan wat opgestoken. Alleen al van het gegraaf.

Het netwerk protocol in detail levert dus alle antwoorden, direct of anders wel indirect.
Daarom bestuderen hackers het van voor tot achter en vice versa van boven tot onder.

Bij alle development examens, waar ik bij was, was kennis van netwerken opgedaan voorafgaand aan een dergelijke toets
een pre om gemakkelijker te kunnen slagen, Teminste dat gaven de kandidaten zelf aan.

De studenten moesten het wel weten en weten betekent dan in zo'n geval niet zitten te gokken.
Had overigens ook een leukerdje kunnen zijn voor op stackoverflow dot com.

groetjes van,luntrus
29-08-2019, 19:11 door Anoniem
Door Anoniem: Ik zie op het WiFi gasten netwerk een aantal MAC adressen die allemaal beginnen met 12:08:
Dit zijn uiteraard zelf-toegekende adressen (bit 02 in het 1e byte) dus niet terug te zoeken in een manufacturer lijst.
Weet iemand welk device of programma dit soort adressen gebruikt?
Ik vermoed iets wat een of andere anonimiteit probeert te bereiken ofzo. Maar als dit te veel gebeurt is dat een
aanslag op de DHCP pool... maar voor ik er iets mee ga doen zou ik wel meer info willen hebben, en googlen levert tot
nu toe weinig op.

Interessant! Maar wat wil je zeggen, of had je een vraag precies?
29-08-2019, 22:57 door Anoniem
Door Anoniem:
Door Anoniem: Ik zie op het WiFi gasten netwerk een aantal MAC adressen die allemaal beginnen met 12:08:
Dit zijn uiteraard zelf-toegekende adressen (bit 02 in het 1e byte) dus niet terug te zoeken in een manufacturer lijst.
Weet iemand welk device of programma dit soort adressen gebruikt?
Ik vermoed iets wat een of andere anonimiteit probeert te bereiken ofzo. Maar als dit te veel gebeurt is dat een
aanslag op de DHCP pool... maar voor ik er iets mee ga doen zou ik wel meer info willen hebben, en googlen levert tot
nu toe weinig op.

Interessant! Maar wat wil je zeggen, of had je een vraag precies?

Lezen een beetje moeilijk ?

TS vraagt letterlijk : " Weet iemand welk device of programma dit soort adressen gebruikt? "

En als je een dag later reageert , lees dan ook eerst de rest van de reacties.
Soms heeft de TS nog wat aangevuld - zoals hier op 27-8 21:01 , met wat meer informatie over z'n omgeving en wat z'n zorg is bij wat hij hier zag.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.