17
MacBook: Gefahr durch WireGuard Client?
Hallo,
bei einem meiner Kunden, einem kleinen Verein mit 3 Mitarbeitern, haben letztere seit Corona die Möglichkeit zum Home-Office und bislang noch die Erlaubnis, dafür über ihre privaten Notebooks eine WireGuard VPN zum Arbeitsplatz herzustellen. (Bitte hier keine allgemeinen Kommentare zu BOYD - es wird gerade geändert)
Das aktuelle technische Problem: Im aktuellen Verbindungsprotokoll wird ausgewiesen, dass das MacBook eines Mitarbeiters zahlreiche Verbindungen zum Büro hergestellt und nach genau 180 +-1 Sekunden wieder beendet hat. Diese Verbindungen wurden auch über Nacht in ca stünlichem Abstand hergestellt. Der Mitarbeiter beteuert, das MacBook nachts immer herunterzufahren. Die Verbindungs-IP ist immer die des Routers in der Wohnung oder die des Routers, über den er sich ausserhalb der Wohnung einwählt. Damit ist sicher, dass die Verbindungen wirklich nur vom MacBook ausgehen konnten. Der betroffene WireGuard-Zugang wurde deaktiviert.
Meine Fragen:
- Ist ein solches Phänomen bekannt?
- Muss eine Bedrohung in Betracht gezogen werden?
- Wie lässt sich das Verhalten gfs. im MacBook abstellen?
bei einem meiner Kunden, einem kleinen Verein mit 3 Mitarbeitern, haben letztere seit Corona die Möglichkeit zum Home-Office und bislang noch die Erlaubnis, dafür über ihre privaten Notebooks eine WireGuard VPN zum Arbeitsplatz herzustellen. (Bitte hier keine allgemeinen Kommentare zu BOYD - es wird gerade geändert)
Das aktuelle technische Problem: Im aktuellen Verbindungsprotokoll wird ausgewiesen, dass das MacBook eines Mitarbeiters zahlreiche Verbindungen zum Büro hergestellt und nach genau 180 +-1 Sekunden wieder beendet hat. Diese Verbindungen wurden auch über Nacht in ca stünlichem Abstand hergestellt. Der Mitarbeiter beteuert, das MacBook nachts immer herunterzufahren. Die Verbindungs-IP ist immer die des Routers in der Wohnung oder die des Routers, über den er sich ausserhalb der Wohnung einwählt. Damit ist sicher, dass die Verbindungen wirklich nur vom MacBook ausgehen konnten. Der betroffene WireGuard-Zugang wurde deaktiviert.
Meine Fragen:
- Ist ein solches Phänomen bekannt?
- Muss eine Bedrohung in Betracht gezogen werden?
- Wie lässt sich das Verhalten gfs. im MacBook abstellen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4828668291
Url: https://administrator.de/contentid/4828668291
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
17 Kommentare
Neuester Kommentar
Also der MA hat sein Macbook runtergefahren und trotzdem baut es im Stundenrythmus WG-Verbindungen auf?!
Das macht doch so gar keinen Sinn?!
Das macht doch so gar keinen Sinn?!
Ich kann leider nicht überprüfen, wie zuverlässig die Aussagen des Mitarbeiters sind (evtl. Schutzbehauptung). Andererseits soll es angeblich Möglichkeiten geben, bei denen auch ein ausgeschaltetes MacBook seine Position senden kann, um es bei Verlust orten zu können.
Leider habe ich bisher nicht mit Apple gearbeitet.
Leider habe ich bisher nicht mit Apple gearbeitet.
Nun definiere mal mit dem MA was er unter Runterfahren versteht, Deckel zu != Apefl Menü (Links oben) -> Ausschalten 
P.S. Visucius, danke für Deine schnelle Nachricht!
Moin,
wenn das Gerät nur im Stand-By-Modus ist, Deckel zuklappen, dann kann eine Software das Gerät aufwecken.
Stefan
wenn das Gerät nur im Stand-By-Modus ist, Deckel zuklappen, dann kann eine Software das Gerät aufwecken.
Stefan
Danke godlie, bin ich nicht drauf gekommen ...
Es geht mir hier ausschließlich um die technische Frage, ob das o.g. Phänomen möglich ist und wie es gfs. hervorgerufen werden kann.
Es geht mir hier ausschließlich um die technische Frage, ob das o.g. Phänomen möglich ist und wie es gfs. hervorgerufen werden kann.
Hm, nehmen wir an, der klappt nur zu (das kann man auch individualisieren), nehmen wir weiter an, der arbeitet zwar über VPN aber mit einer lokal installierten Software (DBßFrontend?), die er ebenfalls nicht heruntergefahren hat. Und die triggert dann die IP-Adresse von ihrem DB-Server, dessen Routing übers WG-Interface läuft?!
Könnte doch sein?!
Könnte doch sein?!
Moin Stefan,
das wäre denkbar. Dann könnte der WireGuard Client, sofern er vorher nicht bewusst geschlossen wurde, sich selbständig mit dem Host verbinden (was ich für ein generelles Sicherheitsproblem halte! Deswegen wird in Zukunft alles auf IPSec umgestellt) . Allerdings erscheint im angenommenen Fall dann im Verbindungsprotokoll immer nur die Meldung über die Herstellung, aber nicht über die Beendigung der Verbindung. Im obigen Fall müsste ein Programm gezielt die WireGuard-Verbindung für genau 190 Sekunden (180 war falsch) herstellen und dann wieder beenden. Ein solches Programm wurde vom MA nicht wissentlich installiert.
das wäre denkbar. Dann könnte der WireGuard Client, sofern er vorher nicht bewusst geschlossen wurde, sich selbständig mit dem Host verbinden (was ich für ein generelles Sicherheitsproblem halte! Deswegen wird in Zukunft alles auf IPSec umgestellt) . Allerdings erscheint im angenommenen Fall dann im Verbindungsprotokoll immer nur die Meldung über die Herstellung, aber nicht über die Beendigung der Verbindung. Im obigen Fall müsste ein Programm gezielt die WireGuard-Verbindung für genau 190 Sekunden (180 war falsch) herstellen und dann wieder beenden. Ein solches Programm wurde vom MA nicht wissentlich installiert.
Es gab/gibt das Feature PowerNap bei MacBooks. Im StandBy wacht er alle 60 Minuten auf, ruft Mails ab und geht danach automatisch wieder in StandBy. Vermute das es hier auch so ist.
Und wenn WireGuard vor dem Standby aktiv war, wird es dadurch natürlich auch wieder kurzzeitig aktiviert
Und wenn WireGuard vor dem Standby aktiv war, wird es dadurch natürlich auch wieder kurzzeitig aktiviert
Im obigen Fall müsste ein Programm gezielt die WireGuard-Verbindung
Das hängt ganz davon ab ob der Client einen Keepalive definiert hat oder nicht. Leider machst du dazu keinerlei hilfreiche Angaben. 
Mit einem Keepalive bleibt der Tunnel permanent offen. Siehe auch Wireguard Tutorial!
Sinnvoller wäre natürlich immer die so oder so vorhanden onboard VPN Clients zu nutzen anstatt mit externen Software auf Mac und Winblows zu frickeln:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server mit Linux, Raspberry Pi etc.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Routern
L2TP VPN Server mit Cisco Routern
Danke, Snuffchen, ich werde dem Hinweis nachgehen.
Hallo aqui,
danke für die Informationen. Der WireGuard-Client von WireGuard wurde vom Apple-Store heruntergeladen und mit "PersistentkeepAlive = 25" konfiguriert - wie in deinem sehr aufschlussreichen (vielen Dank dafür!!) Tutorial auch.
Im übrigen stimme ich dir in allen Punkten zu!
danke für die Informationen. Der WireGuard-Client von WireGuard wurde vom Apple-Store heruntergeladen und mit "PersistentkeepAlive = 25" konfiguriert - wie in deinem sehr aufschlussreichen (vielen Dank dafür!!) Tutorial auch.
Im übrigen stimme ich dir in allen Punkten zu!
1
Hallo Snuffchen,
Dein Hinweis führte in die richtige Richtung. In der Tat hatte der MA PowerNap aktiviert. Das führte bei nicht beendetem WireGuard auf Grund der Allowed IPs u.a. 0.0.0.0/0 dazu, dass das MacBook die E-Mails nur über die WireGuard-Verbindung abrufen konnte.
Danke noch mal für den Hinweis!
Dein Hinweis führte in die richtige Richtung. In der Tat hatte der MA PowerNap aktiviert. Das führte bei nicht beendetem WireGuard auf Grund der Allowed IPs u.a. 0.0.0.0/0 dazu, dass das MacBook die E-Mails nur über die WireGuard-Verbindung abrufen konnte.
Danke noch mal für den Hinweis!
2
Super das die Ursache gefunden ist. Dieses regelmäßige Verbinden trotz Standby hat förmlich nach PowerNap geschrien 😀
Das führte bei nicht beendetem WireGuard auf Grund der Allowed IPs u.a. 0.0.0.0/0 dazu, dass das MacBook die E-Mails nur über die WireGuard-Verbindung abrufen konnte.
Die übliche Leier wenn man statt dem sinnvollen Split Tunneling fälschlicherweise ein Gateway Redirect konfiguriert hat!!Das hiesige Wireguard Tutorial geht explizit auf diesen Punkt ein....wenn man es denn einmal liest! 🧐
Merkzettel: VPN Installation mit Wireguard
... ich wollte es nicht schreiben 
PS: An @knurrhahn: Bist ja noch frisch hier. "Wir" hier sind aber nur in Ausnahmefällen so egozentrisch, dass wir die Lösung an unsere eigene Antwort tackern. Sei doch so lieb und gib wengstens @schnuffchen das Fleißsternchen ab. (Man kann das grundsätzlich auch auf mehrere Antworten verteilen – was aber hier wohl weniger angesagt ist)
PS: An @knurrhahn: Bist ja noch frisch hier. "Wir" hier sind aber nur in Ausnahmefällen so egozentrisch, dass wir die Lösung an unsere eigene Antwort tackern. Sei doch so lieb und gib wengstens @schnuffchen das Fleißsternchen ab. (Man kann das grundsätzlich auch auf mehrere Antworten verteilen – was aber hier wohl weniger angesagt ist)
An @Visucius:
danke für den Hinweis! Zumal ich noch einem Denkfehler unterlag: die jeweilige Verbindungsaufnahme war nicht vom Gateway Redirect abhängig, sie wäre auch beim Split Tunneling passiert. Also: Asche auf mein Haupt!
An @aqui: natürlich hast du Recht!
Noch einmal danke an alle für die Unterstützung!
danke für den Hinweis! Zumal ich noch einem Denkfehler unterlag: die jeweilige Verbindungsaufnahme war nicht vom Gateway Redirect abhängig, sie wäre auch beim Split Tunneling passiert. Also: Asche auf mein Haupt!
An @aqui: natürlich hast du Recht!
Noch einmal danke an alle für die Unterstützung!
3
