Indirizzi MAC amministrati localmente e universalmente: qual è la differenza?

Il networking è una delle tecnologie fondamentali utilizzate nel XXI secolo. Permette alle persone di accedere a Internet e di connettersi ad altri dispositivi con facilità. Internet è diventato così fondamentale nella nostra vita quotidiana che ormai è considerato una necessità piuttosto che un lusso. Interi settori ora utilizzano il lavoro da remoto, cosa possibile solo grazie alla diffusione di Internet.

Uno degli aspetti importanti del networking sono gli indirizzi MAC. Hanno un ruolo fondamentale nello stabilire connessioni di rete, privacy e sicurezza.

Gli indirizzi MAC possono essere permanenti o temporanei. Questa distinzione è necessaria per la sicurezza della rete e la privacy dei dispositivi. Approfondiamo l'argomento in dettaglio.

Cos'è un indirizzo MAC? Come viene utilizzato per il tracciamento?

Un indirizzo MAC è un identificatore speciale assegnato a un dispositivo. Questo identificatore è lungo 12 cifre e utilizza la notazione esadecimale. I numeri in un indirizzo MAC sono scritti in coppie di due, chiamate ottetti (perché sono composti da 8 bit).

Ecco come si presenta un tipico indirizzo MAC.

40-A8-F0-4F-50-9E

Ora, un indirizzo MAC presenta ulteriori demarcazioni.

• Le prime sei cifre sono chiamate numero OUI. OUI sta per Organizational Unique Identifier (Identificatore Univoco dell'Organizzazione). Nell'esempio fornito, il numero OUI è "40-A8-4F".
• Le ultime sei cifre sono chiamate numero di serie.

Il numero OUI identifica l'organizzazione che ha assegnato quell'indirizzo MAC al dispositivo. Un numero OUI è in genere lo stesso per tutti i dispositivi il cui indirizzo è stato assegnato da un fornitore.

Il numero di serie viene utilizzato per identificare il dispositivo esatto in una rete (supponendo che tutti i dispositivi abbiano lo stesso OUI).

Come viene utilizzato un indirizzo MAC per il tracciamento?

Un indirizzo MAC in genere non è condiviso sulla rete Internet pubblica. Viene utilizzato solo all'interno di reti locali per l'ID del dispositivo e la comunicazione.

Tuttavia, esiste un caso in cui un indirizzo MAC viene condiviso in un ambiente semi-pubblico: la connessione a un punto di accesso Wi-Fi.

Ecco come avviene.

• Quando un dispositivo desidera connettersi a un punto di accesso Wi-Fi, invia una richiesta di connessione.
• Questa richiesta contiene l'indirizzo MAC del dispositivo.
• Ora, se la password è corretta, il punto di accesso consentirà al dispositivo di connettersi.
• Inoltre, "registrerà" l'indirizzo MAC.

Ora, qualsiasi amministratore di rete in grado di consultare questi registri conoscerà l'indirizzo MAC del dispositivo che si sta connettendo. Quindi, come aiuta questo con il tracciamento?

Beh, nei grandi centri commerciali dove diversi negozi offrono il WiFi gratuito ai loro clienti, i proprietari del centro commerciale possono tracciare le persone che si spostano tra diversi negozi e aree in base ai punti di accesso a cui si connettono i loro dispositivi.

Vedranno lo stesso indirizzo MAC comparire nei registri di diversi punti di accesso e questi dati possono aiutarli a scoprire in quali negozi è stato indirizzato un dispositivo e quale percorso ha seguito per arrivarci.

Questi dati vengono integrati con altri metodi di tracciamento per creare profili dei clienti, utilizzati per il marketing e per migliorare le conversioni.

Ecco perché è necessario disporre di un metodo per falsificare il proprio indirizzo MAC, poiché impedisce di essere tracciati. È qui che entrano in gioco gli indirizzi MAC temporanei e permanenti. I termini tecnici per definirli sono rispettivamente Locally Administered Address (LAA) e Universally Administered Address (UAA). Scopriamo di più su di loro e sul loro ruolo nella prevenzione del tracciamento.

Cos'è un indirizzo MAC amministrato universalmente (UAA)?

Un UAA è il tipico indirizzo MAC assegnato da un fornitore. Ha le seguenti proprietà.

• Viene assegnato da un fornitore registrato
• È legato all'hardware del dispositivo: alla scheda di interfaccia di rete (NIC)
• Poiché l'UAA è legato a un componente hardware, non può essere modificato a meno che la NIC non venga sostituita completamente.
• Non è condiviso su Internet, ma viene condiviso con un punto di accesso quando si tenta di connettersi.
• Tutte le UAA hanno il bit 1 del primo byte impostato a 0. Ciò significa che se si traduce il primo ottetto in binario, il primo bit sarà 0.
• Le UAA sono in genere utilizzate nel filtraggio MAC e Identificazione del dispositivo.
• Tutte le UAA hanno un record nel database IEEE per il loro numero OUI. Quindi, se si esegue una ricerca dell'indirizzo MAC e si ottiene un output valido, significa che l'UAA è stata registrata nel database IEEE.

Gli strumenti di ricerca dell'indirizzo MAC accedono al database IEEE per scoprire a quale fornitore appartiene un numero OUI. Lo stesso database fornisce anche altre informazioni correlate. Il punto è che se si riesce a trovare un indirizzo MAC in quel database, si può essere certi che l'indirizzo sia stato assegnatoda un fornitore registrato.

Cos'è un indirizzo MAC amministrato localmente (LAA)?

Un LAA è un indirizzo MAC che non è stato assegnato da un fornitore. In genere viene generato artificialmente tramite uno strumento come un generatore di indirizzi MAC o dal sistema operativo di un dispositivo.

Ecco le proprietà che definiscono un LAA.

• Definito dal software e non vincolato ad alcun hardware
• Può essere modificato a piacere.
• Il primo byte del bit 1 è impostato su 1.
• Non ha un record nel database IEEE.

Per quest'ultimo motivo, se si tenta di eseguire una ricerca OUI/Vendor su un LAA, si otterrà l'output "Nessun record trovato".

Gli LAA vengono utilizzati per vari motivi. Vengono utilizzati nella randomizzazione degli indirizzi MAC nei sistemi Android e iOS. La randomizzazione degli indirizzi MAC utilizza essenzialmente un indirizzo locale (LAA) univoco per ogni punto di accesso Wi-Fi, impedendo così il tracciamento del dispositivo tramite indirizzi MAC.

Gli LAA hanno molti utilizzi che discuteremo in una sezione successiva. Per ora, passiamo a come distinguere tra UAA e LAA.

Come verificare se un indirizzo MAC è UAA o LAA?

A prima vista, sia UAA che LAA sembrano uguali. Nessuno ha il tempo di fare una conversione binaria per controllare il primo bit e vedere se è 1 o 0. È anche un approccio scomodo.

Ecco un metodo più appropriato.

• Apri un browser web.
• Inserisci il seguente URL nella barra degli indirizzi: "https://macaddresslookup.io/it" 
• Inserisci l'indirizzo MAC nella casella di input.
• Seleziona "Cerca per MAC".
• Clicca/tocca "Cerca"

Se l'output è valido e ottieni le informazioni OUI e la cronologia MAC, l'indirizzo è un UAA valido. Se invece si ottiene un "Record Not Found", significa che l'indirizzo è stato generato ed è molto probabilmente un LAA.

Esiste un altro trucco per identificare gli LAA, ma funziona solo per i sistemi Android e iOS. Il trucco consiste nell'osservare la seconda cifra del primo ottetto. Se è 2, 6, A o E, l'indirizzo MAC è un LAA. Puoi scoprire di più sul perché questo avviene qui.

A cosa servono gli LAA?

Gli LAA hanno numerosi utilizzi per la sicurezza e la privacy. Abbiamo già visto come possono impedire il tracciamento dei dispositivi tra diverse reti Wi-Fi con la randomizzazione degli indirizzi MAC. Ma possono fare molto di più. Diamo un'occhiata.

• Rete di macchine virtuali (VM)

Piattaforme di virtualizzazione come VMware, VirtualBox, Hyper-V e altre spesso necessitano di assegnare indirizzi MAC univoci a più macchine virtuali (VM) in esecuzione sullo stesso host fisico. Poiché non producono schede di rete fisiche, utilizzano i LAA.

Come funziona:

• L'hypervisor (il software che controlla le VM) genera un indirizzo MAC univoco per ogni macchina virtuale.
• Questi indirizzi hanno il bit amministrato localmente impostato per distinguerli da quelli assegnati dall'hardware.
• Questo garantisce che non vi siano conflitti con i MAC reali assegnati dal produttore.

Quindi, i LAA consentono alle macchine virtuali di connettersi in rete senza causare conflitti hardware.

• MAC Spoofing

Il MAC spoofing è l'atto di modificare l'indirizzo MAC di un dispositivo in qualcosa di diverso da quello originale basato su hardware. È comunemente utilizzato per migliorare la privacy impedendo il tracciamento degli indirizzi MAC.

Come funziona:

• Un utente o uno script modifica l'indirizzo MAC tramite strumenti software o comandi del sistema operativo.
• Il nuovo indirizzo MAC è in genere un LAA, poiché il bit locale deve essere impostato affinché il sistema operativo accetti la modifica.
• Strumenti come "macchanger" (Linux), comandi integrati in macOS (ifconfig) e modifiche del registro di sistema di Windows lo consentono.

Lo spoofing MAC non è illegale di per sé. Tuttavia, i malintenzionati lo utilizzano in modo dannoso per condurre altri tipi di attacchi informatici ed eludere il rilevamento. Allo stesso tempo, viene utilizzato anche nei test di sicurezza di rete, come vedremo presto.

• Test di sicurezza

I professionisti della sicurezza e gli hacker etici utilizzano le LAA durante l'audit di rete e i penetration test per simulare comportamenti non autorizzati o inaspettati in un ambiente controllato.

Ecco a cosa servono le LAA.

• Un pen tester può falsificare gli indirizzi MAC per vedere come risponde la rete. L'indirizzo falsificato è spesso una LAA
• L'utilizzo delle LAA consentetester per:
• Aggirare le restrizioni o i sistemi di rilevamento basati su MAC.
• Simulare l'accesso di dispositivi non autorizzati alla rete.
• Verificare il comportamento delle liste di controllo degli accessi (ACL) e dei server DHCP in presenza di client nuovi o in modifica.

Ecco, ecco alcuni usi legittimi degli indirizzi LAA.

Conclusione

Ora dovresti conoscere le differenze tra indirizzi LAA e UAA. Un indirizzo UAA è l'indirizzo MAC predefinito assegnato alla scheda di rete di un dispositivo da un fornitore. Gli indirizzi LAA, invece, vengono generati artificialmente e utilizzati per l'esecuzione di VM, il miglioramento della privacy e i test di sicurezza.

Conoscere la differenza tra i due è necessario se sei un amministratore di rete e desideri garantire la sicurezza dei tuoi dispositivi di rete. Ora non dovresti avere problemi a distinguere tra LAA e UAA.