Pokud jste někdy procházeli nastavením svého domácího routeru, doporučujeme vám to udělat, protože některé mohou obsahovat nezabezpečené výchozí nastavení a hesla. Možná jste si všimli funkce zvané MAC filtrování nebo něco podobného. Bylo by vám odpuštěno, když jste předpokládali, že toto nastavení bránilo počítačům Apple Mac v připojení k vaší síti nebo jej omezovalo tak, aby se k vaší síti mohly připojit pouze počítače Mac.
Navzdory potenciálně matoucímu názvu nemá MAC nic společného s Apple. MAC je zkratka pro Media Access Control a MAC adresa je nezbytný v počítačových sítích. Ti z vás, kteří jsou vágně obeznámeni s koncepty sítí, mohou předpokládat, že IP adresy jsou jedinou formou adresy používané pro komunikaci přes počítačovou síť. To však není tento případ. IP adresy se používají pro směrování provozu mezi sítěmi. Přesto zařízení používají MAC adresy ke směrování dat v rámci sítě.
Co je MAC adresa?
MAC adresa je součástí schématu adresování vrstvy 2 na OSI model. Vrstva 2 se používá pro místní komunikaci po jedné síti. Naproti tomu vrstva 3 se svými IP adresami se používá pro mezisíťovou komunikaci. MAC adresy mají jednoduchou strukturu tvořenou 12 hexadecimálními znaky. Ve většině případů se MAC adresa zobrazí s dvojicemi hexadecimálních znaků oddělenými dvojtečkou „:“. MAC adresa může vypadat například takto „00:20:91:AB: CD: EF“. Méně často mohou být MAC adresy odděleny pomlčkou a v některých případech nemusí být odděleny vůbec.
Poznámka: Hexadecimální znamená, že jsou povoleny následující znaky „0123456789ABCDEF“. Ty tvoří základní 16 systém. Pohodlně to znamená, že jeden 8bitový bajt dat může být reprezentován 2 hexadecimálními znaky.
MAC adresa je rozdělena na dvě části, rozdělené uprostřed. První polovina MAC adresy identifikuje „dodavatele, výrobce nebo jinou organizaci“ zařízení. Jedná se o OUI nebo Organisationally Unique Number přidělené na požádání IEEE. Všechny síťové karty vyráběné výrobcem budou mít MAC adresu začínající stejnými šesti hexadecimálními znaky.
Druhá polovina MAC adresy je „jedinečná“ a je přiřazena při vytvoření zařízení. Uvozovky jsou nezbytné, protože při zbývajících 12 bitech adresního prostoru existuje pouze 16 777 216 možných kombinací. To znamená, že při velkoobjemové výrobě jsou pravděpodobně duplikáty. Naštěstí se MAC adresa používá pouze v místních připojeních a nikdy se nepoužívá pro mezisíťovou komunikaci. To znamená, že MAC adresa nemusí být jedinečná na světě, ale pouze jedinečná v síti. Je možné mít problém, ale je to nepravděpodobné.
Rozdíl mezi IP a MAC adresami
Každé zařízení v síti občas vysílá svou MAC adresu, aby ostatním zařízením oznámilo, že je připojeno k síti. Tato vysílání nejsou nikdy rozšířena mimo síť. Z tohoto důvodu nehrozí, že by někdo na internetu znal vaši MAC adresu. Informace by byly užitečné pouze teoreticky pro někoho ve stejné místní síti jako vy.
Poznámka: Sítí konkrétně myslíme místní síť, jako je vaše domácí síť Wi-Fi, nikoli síť vašeho poskytovatele internetových služeb.
IP adresy jsou schéma adresování používané pro komunikaci napříč sítěmi. To znamená, že vaše IP adresa by mohla být užitečná pro útočníka na internetu a potenciálně na vás zacílit útoky DDOS. Z tohoto důvodu byste neměli sdílet svou veřejnou IP adresu, kde je to možné.
Uvědomte si však, že se tomu opravdu nemůžete vyhnout, pokud někomu posíláte síťový provoz, protože potřebuje znát vaši IP adresu, aby mohl odeslat odpověď. IP adresy jsou také globálně jedinečné, i když existuje upozornění na vyhrazené rozsahy soukromých adres, se kterými se zachází podobně jako s adresami MAC.
Problémy se soukromím
Jedním z problémů s bezdrátovými připojeními, jako je Wi-Fi, je to, že když vaše zařízení není připojeno k síti, pokouší se vyhledat známé sítě, ke kterým se může připojit. Tato funkce umožňuje, aby se váš mobilní telefon automaticky znovu připojil k vaší domácí Wi-Fi, když se dostanete do dosahu, což je užitečné, ale je zde také problém s ochranou soukromí. Za tímto účelem vaše zařízení pravidelně vysílá názvy všech sítí Wi-Fi, pro které bylo nakonfigurováno automatické připojení. Říká: „Chci se připojit k těmto sítím. Je tam někdo z vás?"
To zní dobře, dokud si neuvědomíte, že to vaše zařízení dělá s paketem, který používá jeho MAC adresu. To znamená, že velká organizace se spoustou Wi-Fi přístupových bodů nebo zařízení pro poslech Wi-Fi provozu může sledovat pohyb konkrétních zařízení v okolí budovy, města nebo země. Nebo dokonce mezinárodně, kdekoli mají infrastrukturu.
Aby se to vyhnulo, moderní zařízení, zejména mobilní zařízení, mají tendenci při provádění těchto vysílání randomizovat svou MAC adresu. To komukoli odepírá možnost sledovat vaše pohyby sledováním pohybu jedné MAC adresy. MAC randomizace je dokonce ve výchozím nastavení obecně povolena.
Možná si vzpomínáte, že jsme již dříve řekli, že MAC adresa byla pevně zakódována při výrobě síťového zařízení. Počítačové i mobilní operační systémy umožňují ručně přepsat MAC adresu. To je užitečné a dobré pro soukromí. Má to však jeden malý důsledek. Znamená to, že filtry MAC na směrovačích Wi-Fi lze obecně snadno obejít.
Vtipná vedlejší poznámka
Mnoha organizacím bylo přiděleno OID podle IEEE. Mnoho společností bude těmi, které byste očekávali, skutečnými výrobci hardwaru. Mnoho bude společností, o kterých jste nikdy neslyšeli. Jsou tu však některé zajímavé. Jedním z takových zajímavých je NSA. Ano, všichni oblíbený třípísmenná americká agentura je Národní bezpečnostní agentura. Mají OID „00-20-91“.
Mnoho systémů pro monitorování sítě překládá první polovinu adresy MAC do skutečného textového názvu organizace, kterou zastupuje. Je to proto, že je pro lidi o něco dostupnější číst a rozpoznávat vzory tímto způsobem. Znamená to také, že pokud nakonfigurujete MAC adresu svého zařízení, pro začátek „00-20-91“, zobrazí se v jakémkoli monitorovacím systému jako od NSA. To bylo použito k žertování neopatrných systémových administrátorů ve společnostech. Technicky neexistuje žádné právní omezení nebo problém s tím, že to uděláte sami. Nezbytně to nedoporučujeme, i když, zejména ve firemním prostředí, nemusí být malý žert oceněn.
Závěr
MAC adresa je 48bitová adresa používaná pro komunikaci vrstvy 2. Jelikož se jedná o schéma adresování vrstvy 2, nikdy se nepřenáší mimo místní síť. MAC adresa však musí být v síti jedinečná. MAC adresa má dvě poloviny. První polovina identifikuje výrobce zařízení, zatímco druhá polovina je síťový speciální identifikátor zařízení.
MAC adresy jsou síťovému adaptéru přiřazeny při jejich výrobě. Většina operačních systémů však nabízí funkci přepsání dané MAC adresy vlastní. MAC adresy jsou zobrazeny jako 12 hexadecimálních číslic, obvykle oddělených ve dvojicích dvojtečkami nebo pomlčkami.