MacBook: Gefahr durch WireGuard Client?
Hallo,
bei einem meiner Kunden, einem kleinen Verein mit 3 Mitarbeitern, haben letztere seit Corona die Möglichkeit zum Home-Office und bislang noch die Erlaubnis, dafür über ihre privaten Notebooks eine WireGuard VPN zum Arbeitsplatz herzustellen. (Bitte hier keine allgemeinen Kommentare zu BOYD - es wird gerade geändert)
Das aktuelle technische Problem: Im aktuellen Verbindungsprotokoll wird ausgewiesen, dass das MacBook eines Mitarbeiters zahlreiche Verbindungen zum Büro hergestellt und nach genau 180 +-1 Sekunden wieder beendet hat. Diese Verbindungen wurden auch über Nacht in ca stünlichem Abstand hergestellt. Der Mitarbeiter beteuert, das MacBook nachts immer herunterzufahren. Die Verbindungs-IP ist immer die des Routers in der Wohnung oder die des Routers, über den er sich ausserhalb der Wohnung einwählt. Damit ist sicher, dass die Verbindungen wirklich nur vom MacBook ausgehen konnten. Der betroffene WireGuard-Zugang wurde deaktiviert.
Meine Fragen:
- Ist ein solches Phänomen bekannt?
- Muss eine Bedrohung in Betracht gezogen werden?
- Wie lässt sich das Verhalten gfs. im MacBook abstellen?
bei einem meiner Kunden, einem kleinen Verein mit 3 Mitarbeitern, haben letztere seit Corona die Möglichkeit zum Home-Office und bislang noch die Erlaubnis, dafür über ihre privaten Notebooks eine WireGuard VPN zum Arbeitsplatz herzustellen. (Bitte hier keine allgemeinen Kommentare zu BOYD - es wird gerade geändert)
Das aktuelle technische Problem: Im aktuellen Verbindungsprotokoll wird ausgewiesen, dass das MacBook eines Mitarbeiters zahlreiche Verbindungen zum Büro hergestellt und nach genau 180 +-1 Sekunden wieder beendet hat. Diese Verbindungen wurden auch über Nacht in ca stünlichem Abstand hergestellt. Der Mitarbeiter beteuert, das MacBook nachts immer herunterzufahren. Die Verbindungs-IP ist immer die des Routers in der Wohnung oder die des Routers, über den er sich ausserhalb der Wohnung einwählt. Damit ist sicher, dass die Verbindungen wirklich nur vom MacBook ausgehen konnten. Der betroffene WireGuard-Zugang wurde deaktiviert.
Meine Fragen:
- Ist ein solches Phänomen bekannt?
- Muss eine Bedrohung in Betracht gezogen werden?
- Wie lässt sich das Verhalten gfs. im MacBook abstellen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4828668291
Url: https://administrator.de/en/macbook-gefahr-durch-wireguard-client-4828668291.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
17 Kommentare
Neuester Kommentar
Hm, nehmen wir an, der klappt nur zu (das kann man auch individualisieren), nehmen wir weiter an, der arbeitet zwar über VPN aber mit einer lokal installierten Software (DBßFrontend?), die er ebenfalls nicht heruntergefahren hat. Und die triggert dann die IP-Adresse von ihrem DB-Server, dessen Routing übers WG-Interface läuft?!
Könnte doch sein?!
Könnte doch sein?!
Im obigen Fall müsste ein Programm gezielt die WireGuard-Verbindung
Das hängt ganz davon ab ob der Client einen Keepalive definiert hat oder nicht. Leider machst du dazu keinerlei hilfreiche Angaben. Mit einem Keepalive bleibt der Tunnel permanent offen. Siehe auch Wireguard Tutorial!
Sinnvoller wäre natürlich immer die so oder so vorhanden onboard VPN Clients zu nutzen anstatt mit externen Software auf Mac und Winblows zu frickeln:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server mit Linux, Raspberry Pi etc.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Routern
L2TP VPN Server mit Cisco Routern
Das führte bei nicht beendetem WireGuard auf Grund der Allowed IPs u.a. 0.0.0.0/0 dazu, dass das MacBook die E-Mails nur über die WireGuard-Verbindung abrufen konnte.
Die übliche Leier wenn man statt dem sinnvollen Split Tunneling fälschlicherweise ein Gateway Redirect konfiguriert hat!!Das hiesige Wireguard Tutorial geht explizit auf diesen Punkt ein....wenn man es denn einmal liest! 🧐
Merkzettel: VPN Installation mit Wireguard
... ich wollte es nicht schreiben
PS: An @knurrhahn: Bist ja noch frisch hier. "Wir" hier sind aber nur in Ausnahmefällen so egozentrisch, dass wir die Lösung an unsere eigene Antwort tackern. Sei doch so lieb und gib wengstens @schnuffchen das Fleißsternchen ab. (Man kann das grundsätzlich auch auf mehrere Antworten verteilen – was aber hier wohl weniger angesagt ist)
PS: An @knurrhahn: Bist ja noch frisch hier. "Wir" hier sind aber nur in Ausnahmefällen so egozentrisch, dass wir die Lösung an unsere eigene Antwort tackern. Sei doch so lieb und gib wengstens @schnuffchen das Fleißsternchen ab. (Man kann das grundsätzlich auch auf mehrere Antworten verteilen – was aber hier wohl weniger angesagt ist)