Zufällige MAC-Adressen (aka MAC-Address Randomization)
Um den Datenschutz bei Mobilgeräten zu erhöhen, haben die großen Software Hersteller Apple, Google und Microsoft in ihren neuen Software Releases ein neues Feature eingeführt: Zufällige MAC-Adressen (engl. MAC-Address Randomization). Wozu dieses Feature da ist und was das für ein Unternehmens-WLAN bedeutet, zeigt dieser Artikel.
Wozu dienen zufällige MAC-Adressen?
Um zu verstehen, warum MAC-Address Randomization ein nützliches Feature ist, ist es wichtig zu wissen, was eine MAC-Adresse eigentlich ist. So wie eine IP-Adresse auf Layer 3 ermöglicht die MAC-Adresse eine eindeutige Identifizierung in einem Layer 2 Netz. MAC steht dabei für Media Access Control. Diese nutzt man also dafür, den Zugriff auf das physikalische Medium zu koordinieren. Mit einer MAC-Adresse können wir ein Gerät identifizieren und Frames (Dateneinheiten auf L2) an das Gerät senden. Umgekehrt sendet das Gerät bei allen Frames seine MAC-Adresse mit, damit der Empfänger weiß, wem er antworten soll.
Eine MAC-Adresse ist also ein essenzieller Teil der Kommunikation auf Layer 2. Ein Client sendet sie immer mit und selbst wenn im WLAN WPA2/3 mit Verschlüsselung eingesetzt wird, ist die MAC-Adresse selbst immer unverschlüsselt. Denn nur so kann ein Empfänger ermitteln, ob ein Paket für ihn bestimmt ist und macht sich die Arbeit, es zu entschlüsseln.
Wenn die MAC-Adresse so wichtig ist, warum sollte man dann eine zufällige Adresse nehmen und was hat das mit Datenschutz zu tun? Wie im vorigen Absatz erwähnt, wird die MAC-Adresse im Frame immer unverschlüsselt gesendet. Das ist gerade im WLAN ein Problem, weil jeder mithören kann. Es ist also möglich festzustellen, wer mit einem WLAN verbunden ist und damit auch, wer sich in der Nähe aufhält.
Und es wird noch problematischer. Um festzustellen, welche WLANs in der Reichweite eines Gerätes sind, sendet jeder WLAN-Client sogenannte Probe-Requests. Damit fordert der Client alle Access Points in der Nähe auf, ihm Informationen über die SSIDs die sie ausstrahlen, zu senden. In diesen Probe-Requests steht ebenfalls die MAC-Adresse des Clients als Absender. Damit ist es möglich, die Position eines WLAN Clients zu verfolgen, ohne dass er mit einem WLAN verbunden ist.
Diese Techniken werden in kommerziellen Lösungen zur Verfolgung von Endgeräten tatsächlich eingesetzt. Ein möglicher Anwendungsfall ist die Analyse von Besuchern von Shoppingcentern. Dabei werden Besucherströme analysiert oder wiederkehrende Besucher identifiziert.
Um diese Analysen zu erschweren, können Sie zufällige MAC Adressen verwenden.
Wie funktionieren zufällige MAC-Adressen?
Da die MAC-Adresse ein so wichtiges Merkmal in der Kommunikation ist, muss es eine gewisse Regelmäßigkeit geben. Sucht Ihr Endgerät nach vorhandenen WLANs mit einem Probe-Request, verwendet es bei den Betriebssystemen Android ab Version 6 und Apple iOS 9 immer eine neue zufällige MAC-Adresse. Das bedeutet, dass eine Lokalisierung erschwert wird, da die MAC-Adresse häufig wechselt.
Wenn man sich jedoch mit einem WLAN verbindet, wurde bisher immer die physikalische MAC Adresse verwendet. Es war also immer noch möglich, ein Gerät zu verfolgen, wenn es sich mit verschiedenen WLANs verbindet. Das hat sich mit iOS 14 und Android 10 geändert. Hier generiert der Client für jede WLAN-SSID mit der er sich verbindet, eine neue zufällige MAC-Adresse. Die MAC-Adresse ist also unterschiedlich für jedes WLAN und ein Gerät kann so nicht über verschiedene WLANs verfolgt werden.
Dabei folgen die zufälligen MAC-Adressen einem gewissen Schema. Wenn wir uns die MAC-Adresse 92:B1:C8:52:D3:84 ansehen, kann man feststellen, dass dies eine zufällige MAC-Adresse ist. Die generierten MAC-Adressen haben an der zweiten Stelle immer die Zahl 2 oder 6, oder den Buchstaben A oder E. Der Rest der MAC Adresse ist dann tatsächlich zufällig.
Verbindet sich ein Client mit einem WLAN, generiert er eine neue zufällige MAC-Adresse. Diese MAC-Adresse bleibt dann für alle zukünftigen Verbindungen mit diesem WLAN bestehen. Das kann man umgehen, indem man das WLAN „vergisst“ und sich neu verbindet. Dann generiert er eine neue MAC-Adresse.
In Android 11 und Windows 10 ist es außerdem möglich, dass das System die MAC-Adresse alle 24 Stunden neu generiert. Diese Option ist normalerweise deaktiviert.
Was bedeutet das für ein Unternehmens-WLAN?
Eine gute Nachricht vorweg: Für ein 802.1X gesichertes WLAN ist die MAC-Address Randomization nicht relevant. Hier prüft der Accesspoint keine MAC-Adresse, sondern diese dient nur der Kommunikation von Client und AP.
Verwenden Sie die MAC-Adresse zur Authentifizierung, zum Beispiel in einem WPA2/3-PSK WLAN kann etwas Arbeit auf den Administrator zukommen. Zwar soll zum Beispiel iOS nach dem Update auf iOS 14 alle bis dahin bekannten Netzwerke mit der physikalischen MAC-Adresse ansprechen, jedoch verändert sich diese, sobald der Benutzer das Netzwerk löscht und neu anlegt. Sobald das geschehen ist, muss der Administrator die Liste der erlaubten MAC-Adressen anpassen. Hier ist es besser, auf eine Anmeldung mit 802.1X zu setzen, sofern die Geräte das unterstützen.
Probleme kann es geben, wenn bei der Anmeldung weitere externe Dienste angefragt werden. Ein typisches Beispiel ist ein ClearPass Server der bei der Anmeldung von mobilen Endgeräten ein MDM-System anfragt. Denn die Zuordnung von Anmeldeversuch und Gerät im MDM geschieht meist über die MAC-Adresse. In diesem Fall wäre für alle Endgeräte eine Anmeldung nicht möglich, da eine Abfrage vom MDM keine Ergebnisse liefern kann. In diesem Artikel ist eine Anleitung zu finden, wie man Benutzern mit einer zufälligen MAC Adresse eine Fehlerseite anzeigt.