Názory k článku
Fedora 40 bude mít náhodný MAC u WiFi karty pro větší soukromí

Ono neni uplne namiste nazyvat problemem neco, co problem vlastne neni. Samozrejme, pokud ma admin dvacet let stale navyky, ktere moc nechce menit s tim, jak se meni veci a trendy kolem nas, tak to problem je - ale technologie za to nemuzou :-)

To je zase nesmysl :)
Můžete prosím uvést, jak se "tyhle věci" jako traffic engineering, nebo řízení přístupů (třeba aby dítě nemělo net po půlnoci) teda dělají "moderně" v prostředí domácí sítě?

Jo ahá, ony se nedělají vůbec a po vzoru Mrkvosoftu prohlásíme tmu za standard, nebo se v lepším případě pořídí mnohem dražší krabička, a bude se vymýšlet mnohem složitější opičárna stylem kanónu na vrabčáky k dosažení téhož. (jako multiple SSID v nejjednodušším případě. Případně EAP-TLS na domácí síť)?

No jestli stavite tyhle veci na staticky pridelenych IP podle MAC, tak se dusevne pripravte na to, ze to dite vam to driv nebo pozdeji obejde :-) Decka umi byt kreativni.

Takže to neumíte a hledáte výmluvy, proč je dobře, že to nejde na velmi okrajovém případu. Děkuji slavný soude, nemám dalších otázek.

*Poznámka do sálu při odchodu* Ve chvíli, kdy to děcko dokáže obejít neexistuje rozumný důvod, proč mu to omezovat.

Ja vam jen napsal, ze rozhodne bych to neresil parovanim IP:MAC a vy z toho dovozujete, ze to neumim ;-) Tak jasne. Tak bud to omezeni je opravdu funkcni anebo je aplikovane jen naoko. Bastiri, co to neumi samozrejme voli tu druhou cestu.

A co nám nějakou účinnou metodu popsat? Docela by mě zajímalo, jak to řešit jinak, než identifikací MAC.

Nasazovat Radius a podobná řešení se mi totiž popravdě doma nechce..

A proc ne? Trivialni implementace je i v samotnem hostapd.

Tak samozřejmě. Proč to dělat jednoduše když to jde i složitěji a výsledný efekt je stejný. Jistě.

Vhodnou segmentaci site jde docilit ponekud spolehlivejsiho reseni, nez jen za pomoci parovani IP:MAC na jedne ploche siti. Ale chapu, ze pro nekoho to muze byt slozite :-)

Ono - jak to chcete jednoduše udělat na domácí síti s jedním postarším routerem...? Párování MAC:IP je prostě ta nejjednodušší varianta - pokud pominu wi-fi pro hosty-.
Jasně, je lepší to oddělit úplně (a k tomu jsem vlastně taky dospěl), ale dokud neřešíte zlobivá a po nocích brouzdající dítka, je to tak nějak první po ruce.

Segmentovana sit neni zadny problem ani s TL-WR841N, a to byval socka routrik za par kacek. Dneska uz i tyhle levny krabicky maji v sobe switch s podporou VLAN. V rakousku uz pred lety na toto tema nekdo napsal i diplomku. Ale chapu, zijeme v Cesku, tady je vsechno "problem" :-)

Však on to není problém a nastavit to jde.
Ty VLANy jsou fajn, ale pokud neumíte na jednom rádiu několik SSID, moc jiných jednoduchých možností, než párování podle MAC adresy, nemáte. (Alespoň pro běžného Frantu-uživatele.)
Na některých zařízeních ta podpora VLAN končí na úrovni: která zásuvka do které sítě a kam šoupnout rádio. ;o(

Tak zarizeni snad vybiram podle jeho funkce (zvlastne na odbornem serveru to tak nejak ocekavam). Pointa je, ze to ani nemusi byt drahe. Ale pokud chci bezpecne resit nejakou child-policy, pak MAC:IP parovani je nedostatecne reseni a za tim si stojim. Overeno uz pred lety (na detech)... A ni tech vic SSID problem neni a to i na low-cost hardware - maximalne to chce vymenit software, ale na cele rade tech zarizeni jde prepalit OpenWRT dnes uz i pres web a ani nemusite pachat harakiri treba s tftp... a dostanete to tam i s klikatkem, co i BFU muze zvladnout.

No - já sem (na odborný server) lezu, abych něco pochytil. ;o)
Hlavně: já neřešil ani tak child-policy, jako spíš potřebu uklidit mobily do jiného nastavení, než kde jsou notebooky. Tedy nešlo o žádné politiky, a není potřeba to jakkoliv vynucovat.
Samozřejmě, že můžu zkoušet dětem ledacos omezit - ale není to efektivní, protože pak zjistím, že synátor v noci vyhrabe Raspberry Pi Zero, připojí si to k monitoru, vláme se do sousedovic blbě zabezpečené wi-fi, a zcela nerušeně brouzdá.
Je mnohem lepší je vést k tomu, ať nelezou, kam nemají lézt - a když tam vlezou, ať se nediví, že vidí, co nechtěli vidět. Takže jen monitoruji provoz a případně je usměrním pohlavkem (obrazně řečeno).
(A kromě toho mi večer odevzdají veškerou běžnou výpočetní techniku.)

A tak ta politika neni jen o detech. Stejne tak clovek muze mit potrebu omezit smart TV... atd. Bezpecnost je vzdy o tom, ze rozhoduje nejslabsi clanek retezu.
Samozrejme, nic neni dokonale. Ulohu vychovy nezpochybnuji - na druhou stranu i tradicni priklad s rozpalenymi kamny versus varovanimi rodicu naznacuje, jak to muze dopadnout. Diskuze je o tom, ze nektere incidenty jde predikovat... treba to, ze ditko napadne tu pridelenou IP (nebo MAC) proste zmenit - to je jednodussi, nez lovit derave wifiny sousedu (taky zalezi kde clovek bydli a kolik toho je okolo - ano, prusvih jsou tady vykopavky, jejichz provoz i zde na rootu par lidi obhajuje)....

Ono teda uprimne receno - odevzdavani vsech vypocetnich prostredku v konkretni cas ja za reseni nepovazuju (vzdy to byly vnejsi pozadavky, kdyz jsem to resil). Protoze me samotneho nejvic naucily ty noci travene u rozsviceneho monitoru v nocnim klidu. Takze az to potka me, budu hledat nejake reseni oprena o "DNS RPZ" spise nez vypinani na noc, ale uvidime, co prinese doba za par let...

No - ono u nás není moc co omezovat, protože tady jsou dva stroje s Windows, tři s Linuxem a dva mobily; plus několik malin, ale ty jsou tak nějak pod kontrolou a nemají tendenci volat někam co cloudu. Žádná chytrá televize a chytrá pračka je off-line.

Wifin je tu jen na první scan dvougigového pásma šestadvacet, z toho dvě úplně bez hesla, čtyři s výchozím dobře známým a asi tři se snadno uhádnutelným. Prostě byt na sídlišti. Takže vybírat je z čeho.

Však já jim tu techniku nesbírám, protože mám strach, že polezou, kam by neměli, ale proto, aby se v noci vyspali.
A až si sáhnou na rozpálená kamna; tak první, co ode mne uslyší, bude: Já ti to říkal!.

24. 12. 2023, 00:37 editováno autorem komentáře

Dobrej hnusnej diktator :-). Rodice by ode mne dostali peknou cocku kdybych tohle musel udelat. A to rikam jako otec dvou deti.

Ale to je vzdycky sporne. Proc cocku? Ono jedna vec je edukace a jeji role je nezastupitelna - ale taky je dobre mit nejakou pojistku, protoze ta edukace neni vsespasitelna, coz leta zname i odjinud. O antiviru take prohlasujete, ze je zbytecny? Samozrejme, pokud mate echt dobre navyky, pak ho asi potrebovat nebudete. Kolem sebe v online svete mame hromadu patologickych jevu. A ten rodic bejt u vseho nemuze.

Však nemusím bejt u všeho - stačí mi ráno si přečíst logy. ;oD

Precist si rano v logu, ze pred dvema hodinama se zasifroval disk od nejakyho ransomware asi neni uplne to, co by tam clovek chtel najit :D

Když si nechá zašifrovat disk - je to jeho problém. Nemá lézt, kam nemá. ;oD

O zabezpečení nemám obavy. Zrovna dneska mi přišel e-mail, že všechna má data jsou zašifrována. Kdybych je potřeboval, stačí zaplatit jeden Bitcoin.

Ano, zvýšená náročnost v tomto případě prakticky vůbec neospravedlňuje přínos. To je celkem běžný jev, Danny.

... jo a ještě něco, takže já tu budu segmentovat síť a řešit Radius když v potřebné míře funkčně totéž vyrobím za pět minut na routeru podle MAC adres a je to jednoduše dostatečné. To bych se asi musel zbláznit.

Až budete mít děti, uvidíte sám, že řešit podobné hovadiny jakkoliv složitěji je zbytečné. Ono blbostí si lze navymýšlet hodně, dokud máte spoustu času a žádné závazky a nemáte vlastně co dělat. Ale jsou to ve výsledku jen nesmyslné teorie. To pak leda pokud to máte jako koníčka. Ale jinak půjdu raději třeba s dětmi ven.

z lan pouze wg, udelat configy je na chvilku. voila mas lidi podle privatnich klicu klido na separe if.

Dost kanón, na vrabčáky.
Tady jsme vcelku běžná rodina o dvou dospělých, dvou dětech, a psu (který je přesvědčený, že na internetu se to stejně nepozná). Pravidla máme všichni stejná a sdílíme spejnou důvěru jeden k druhému a stejnou nedůvěru ke Googlu, Facebooku i Microsoftu. ;oD

@Wasper Můžete prosím uvést, jak se "tyhle věci" jako traffic engineering, nebo řízení přístupů (třeba aby dítě nemělo net po půlnoci) teda dělají "moderně" v prostředí domácí sítě?

klidne stejne jako si delal pred 20lety, das mu SSID ktere povolis pristup jen znamejm MAC, jeho MAC omezis jak potrebujes...
to 'delat "moderne"' je jen to, uvedomit si ze uz Xlet mobily maji vychozi random MAC pro pristup Wifi... takze mu to prepnes v mobilu na device MAC...

Jak to vnimam ja - tak trend je takovy, ze od absolutni a tupe randomizace se ustupuje, coz doklada i zpravicka, pod kterou diskutujeme. Vazani nahodne MAC na konkretni SSID je rozumny kompromis.

"Vazani nahodne MAC na konkretni SSID je rozumny kompromis."

Az na to ze je to totalni nesmysl.

To jen znamena, ze to zarizeni kdykoli jednoznacne identifikuju ze? Co hur, ssid si dokonce muzu generovat, takze muzu zjistit, jake jine MAC to kde pouziva ze?

Omyl, - pracujeme s pravdepodobnosti, v tomto pripade s cislem 2^46 (MAC je 48-bitova, jeden bit je ten lokalne-administrovany flag, druhy flag je multicast). Ta MAC se vygeneruje nahodne a ulozi k danemu SSID. Ale muzete prekvapit, a z predmetneho commitu nam sdelit, co ze to tam zjistite... ;-)

@LivingLegend je problém ten že ty mac adresy nejsou vidět v nastaveni sítě.

ja tedy v Android 13 (@ Fairphone 5):
- hold v notifikaci na internet zobrazi okno Nastaveni/Internet
- Ulozene site, vyberu tu co me zajima a vidim:
"Adresa MAC zarizeni: 11:22:33:44:55:66"
nebo
"Nahodna adresa MAC (naposledy pouzita): 32:45:54:43:67:98"
podle toho co je vybrano v "Ochrana soukromi"
("Pouzit nahodnou MAC (vychozi)" nebo "Pouzit adresu MAC zarizeni")

@k3dAR Tak ja to na A14 (S22+) teda nevidím, a to ani s detaily o síti, zapnuté v devtools.

Každopádně díky za navedení....

Fakt? :-) A14, S22...pravda - ne plus, nepotrebuju padlo do kanoe :-)

Je videt ze jsi i odbornik na veliksot telefonu na slovo vzaty:

s22+ 157.4 x 75.8 x 7.6 mm (6.20 x 2.98 x 0.30 in)
s22 146 x 70.6 x 7.6 mm (5.75 x 2.78 x 0.30 in)
Zdroj, <a>https://ww­w.gsmarena.com/com­pare.php3?idPho­ne1=11252&idPho­ne2=11253

1cm rozdil je fakt padlo :D Za to ze mam mensi telefon, mam i o kus mensi baterku, a pomalejsi nabijeni ze site, dekuji... Proti gustu zadny disputat.

Hm nejak jsem nepochopil ze to je ta pouze generovana, a ne i originalni, nejak jsem cekal dva zaznamy. Ale za to patri dik @k3dAR ze jsem to pochopil...

@LivingLegend
pro jistotu, nemam to kdyz bych dal hold nad ulozenou siti co je rovnou v Internet okne, musim nejdriv tuknout na "Ulozene site" (mam to mezi "Nastaveni site" a "Vyuziti dat mimo operatora" a az tam tuknout na konkretni wifi...

pripadne to jde rovnou v tom Internet okne jen u aktivni pripojene ze na ni tuknu, pokud to udelam tam na nepripojene tak se na ni snazi pripojit v tom "Ulozene site" prave ze nepripojuje ale zobrazi komplet prehled

Pletete si diskuzi s dotaznikem, anketou ci poradnou :-) V diskuzi neexistuje zadna povinnost exaktne odpovidat na polozene otazky. A ze vam je zatezko kliknout na odkazy, ktere problematiku obsirneji popisuji je vas problem, ja to kvuli vam opisovat nebudu.

Opakuju, mlceti zlato.

Pokud se nic nezměnilo tak k logum na androidu je třeba min aktivovat dev mod a připojit k PC nebo rovnou rootnout zařízení .. to nezní jako úplně vždy dostupné causal log check :D

App LogCat Reader root nevyzaduje ;⁠-⁠)