MAC隨機化是一個增加安全性的做法,但是對於MAC認證來說,是一個天大的災難。
BYOD要是一直變化MAC,除了造成管控上的困難,還會造成MAC認證失靈。
一般來說,BYOD 是需要透過註冊的,但是使用者未必注意到自己是不是有使用MAC隨機化,可能導致輸入的MAC或是日後裝置的MAC改變。
這裡有兩個針對MAC隨機化的做法:
一,偵測到MAC隨機化的裝置時,跳出提示網頁。
二,放棄MAC認證,改用TLS認證。
先說二,做到TLS認證需要做很多的努力,以及定期的維護。切換期鎮痛,日後需要維護憑證是否到期。總體上是需要更高的技術,但是安全性與使用者易用性會更高。
再來回到一,這也是Cisco有提出的做法,就是偵測MAC隨機化後,給與一些提示引導去關閉。
要如何在Aruba ClearPass上偵測到啟用MAC Random的設備?
MAC Random有個特色,無法從裝置MAC Address找到MAC Vendor,好避免被追蹤。因此針對沒有MAC Vendor出的裝置,Role Mapping一個MAC_Random的Role。
再利用UserRole派送Controller上的Role,本例為「MAC_Random_Page」,讓Client轉導到提示網頁。
在Controller上新增對應的Role與Profile。
最後提示網頁,我建在ClearPass Guest上。
實測開啟MAC隨機化的,會命中MAC Random。
而關閉MAC隨機化後,再次認證,能看到輸入>端點屬性,有MAC Vendor,然後命中適合的配置。
