knurrhahn
Goto Top

MacBook: Gefahr durch WireGuard Client?

Hallo,
bei einem meiner Kunden, einem kleinen Verein mit 3 Mitarbeitern, haben letztere seit Corona die Möglichkeit zum Home-Office und bislang noch die Erlaubnis, dafür über ihre privaten Notebooks eine WireGuard VPN zum Arbeitsplatz herzustellen. (Bitte hier keine allgemeinen Kommentare zu BOYD - es wird gerade geändert)

Das aktuelle technische Problem: Im aktuellen Verbindungsprotokoll wird ausgewiesen, dass das MacBook eines Mitarbeiters zahlreiche Verbindungen zum Büro hergestellt und nach genau 180 +-1 Sekunden wieder beendet hat. Diese Verbindungen wurden auch über Nacht in ca stünlichem Abstand hergestellt. Der Mitarbeiter beteuert, das MacBook nachts immer herunterzufahren. Die Verbindungs-IP ist immer die des Routers in der Wohnung oder die des Routers, über den er sich ausserhalb der Wohnung einwählt. Damit ist sicher, dass die Verbindungen wirklich nur vom MacBook ausgehen konnten. Der betroffene WireGuard-Zugang wurde deaktiviert.

Meine Fragen:

- Ist ein solches Phänomen bekannt?
- Muss eine Bedrohung in Betracht gezogen werden?
- Wie lässt sich das Verhalten gfs. im MacBook abstellen?

Content-ID: 4828668291

Url: https://administrator.de/en/macbook-gefahr-durch-wireguard-client-4828668291.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

Visucius
Visucius 12.03.2024 um 15:00:09 Uhr
Goto Top
Also der MA hat sein Macbook runtergefahren und trotzdem baut es im Stundenrythmus WG-Verbindungen auf?!

Das macht doch so gar keinen Sinn?!
knurrhahn
knurrhahn 12.03.2024 um 15:21:07 Uhr
Goto Top
Ich kann leider nicht überprüfen, wie zuverlässig die Aussagen des Mitarbeiters sind (evtl. Schutzbehauptung). Andererseits soll es angeblich Möglichkeiten geben, bei denen auch ein ausgeschaltetes MacBook seine Position senden kann, um es bei Verlust orten zu können.

Leider habe ich bisher nicht mit Apple gearbeitet.
godlie
godlie 12.03.2024 aktualisiert um 15:25:59 Uhr
Goto Top
Nun definiere mal mit dem MA was er unter Runterfahren versteht, Deckel zu != Apefl Menü (Links oben) -> Ausschalten face-smile
knurrhahn
knurrhahn 12.03.2024 um 15:25:27 Uhr
Goto Top
P.S. Visucius, danke für Deine schnelle Nachricht!
StefanKittel
StefanKittel 12.03.2024 um 15:30:37 Uhr
Goto Top
Moin,
wenn das Gerät nur im Stand-By-Modus ist, Deckel zuklappen, dann kann eine Software das Gerät aufwecken.
Stefan
knurrhahn
knurrhahn 12.03.2024 um 15:35:51 Uhr
Goto Top
Danke godlie, bin ich nicht drauf gekommen ...

Es geht mir hier ausschließlich um die technische Frage, ob das o.g. Phänomen möglich ist und wie es gfs. hervorgerufen werden kann.
Visucius
Visucius 12.03.2024 um 15:50:48 Uhr
Goto Top
Hm, nehmen wir an, der klappt nur zu (das kann man auch individualisieren), nehmen wir weiter an, der arbeitet zwar über VPN aber mit einer lokal installierten Software (DBßFrontend?), die er ebenfalls nicht heruntergefahren hat. Und die triggert dann die IP-Adresse von ihrem DB-Server, dessen Routing übers WG-Interface läuft?!

Könnte doch sein?!
knurrhahn
knurrhahn 12.03.2024 um 15:52:04 Uhr
Goto Top
Moin Stefan,

das wäre denkbar. Dann könnte der WireGuard Client, sofern er vorher nicht bewusst geschlossen wurde, sich selbständig mit dem Host verbinden (was ich für ein generelles Sicherheitsproblem halte! Deswegen wird in Zukunft alles auf IPSec umgestellt) . Allerdings erscheint im angenommenen Fall dann im Verbindungsprotokoll immer nur die Meldung über die Herstellung, aber nicht über die Beendigung der Verbindung. Im obigen Fall müsste ein Programm gezielt die WireGuard-Verbindung für genau 190 Sekunden (180 war falsch) herstellen und dann wieder beenden. Ein solches Programm wurde vom MA nicht wissentlich installiert.
Snuffchen
Lösung Snuffchen 12.03.2024 aktualisiert um 16:09:09 Uhr
Goto Top
Es gab/gibt das Feature PowerNap bei MacBooks. Im StandBy wacht er alle 60 Minuten auf, ruft Mails ab und geht danach automatisch wieder in StandBy. Vermute das es hier auch so ist.

Und wenn WireGuard vor dem Standby aktiv war, wird es dadurch natürlich auch wieder kurzzeitig aktiviert
aqui
aqui 12.03.2024 aktualisiert um 17:22:51 Uhr
Goto Top
Im obigen Fall müsste ein Programm gezielt die WireGuard-Verbindung
Das hängt ganz davon ab ob der Client einen Keepalive definiert hat oder nicht. Leider machst du dazu keinerlei hilfreiche Angaben. face-sad
Mit einem Keepalive bleibt der Tunnel permanent offen. Siehe auch Wireguard Tutorial!

Sinnvoller wäre natürlich immer die so oder so vorhanden onboard VPN Clients zu nutzen anstatt mit externen Software auf Mac und Winblows zu frickeln:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server mit Linux, Raspberry Pi etc.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Routern
L2TP VPN Server mit Cisco Routern
knurrhahn
knurrhahn 12.03.2024 um 17:23:35 Uhr
Goto Top
Danke, Snuffchen, ich werde dem Hinweis nachgehen.
knurrhahn
knurrhahn 12.03.2024 um 17:50:06 Uhr
Goto Top
Hallo aqui,

danke für die Informationen. Der WireGuard-Client von WireGuard wurde vom Apple-Store heruntergeladen und mit "PersistentkeepAlive = 25" konfiguriert - wie in deinem sehr aufschlussreichen (vielen Dank dafür!!) Tutorial auch.

Im übrigen stimme ich dir in allen Punkten zu!
knurrhahn
knurrhahn 15.03.2024 um 03:02:25 Uhr
Goto Top
Hallo Snuffchen,

Dein Hinweis führte in die richtige Richtung. In der Tat hatte der MA PowerNap aktiviert. Das führte bei nicht beendetem WireGuard auf Grund der Allowed IPs u.a. 0.0.0.0/0 dazu, dass das MacBook die E-Mails nur über die WireGuard-Verbindung abrufen konnte.

Danke noch mal für den Hinweis!
Snuffchen
Snuffchen 15.03.2024 um 06:06:01 Uhr
Goto Top
Super das die Ursache gefunden ist. Dieses regelmäßige Verbinden trotz Standby hat förmlich nach PowerNap geschrien 😀
aqui
aqui 15.03.2024 um 09:46:21 Uhr
Goto Top
Das führte bei nicht beendetem WireGuard auf Grund der Allowed IPs u.a. 0.0.0.0/0 dazu, dass das MacBook die E-Mails nur über die WireGuard-Verbindung abrufen konnte.
Die übliche Leier wenn man statt dem sinnvollen Split Tunneling fälschlicherweise ein Gateway Redirect konfiguriert hat!!
Das hiesige Wireguard Tutorial geht explizit auf diesen Punkt ein....wenn man es denn einmal liest! 🧐
Merkzettel: VPN Installation mit Wireguard
Visucius
Visucius 15.03.2024 aktualisiert um 10:33:50 Uhr
Goto Top
... ich wollte es nicht schreiben face-wink

PS: An @knurrhahn: Bist ja noch frisch hier. "Wir" hier sind aber nur in Ausnahmefällen so egozentrisch, dass wir die Lösung an unsere eigene Antwort tackern. Sei doch so lieb und gib wengstens @schnuffchen das Fleißsternchen ab. (Man kann das grundsätzlich auch auf mehrere Antworten verteilen – was aber hier wohl weniger angesagt ist) face-wink
knurrhahn
knurrhahn 15.03.2024 um 15:16:22 Uhr
Goto Top
An @Visucius:
danke für den Hinweis! Zumal ich noch einem Denkfehler unterlag: die jeweilige Verbindungsaufnahme war nicht vom Gateway Redirect abhängig, sie wäre auch beim Split Tunneling passiert. Also: Asche auf mein Haupt!

An @aqui: natürlich hast du Recht!

Noch einmal danke an alle für die Unterstützung!