Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst MAC Whitelisting trotz iOS MAC Spoofing

Mitglied: CAT404

CAT404 (Level 1) - Jetzt verbinden

08.10.2019 um 17:25 Uhr, 877 Aufrufe, 11 Kommentare, 1 Danke

Moin

ich stehe mal wieder vor einem Elefanten von Problem.

Für ein BYOD (Bring Your Own Device) Projekt sollen ca 120 Leute in einem seperaten Netzwerk arbeiten. Aus Vorgaben die uns gemacht wurden, muss dieses Netzwerk mit einem MAC Adressen Filter betrieben werden, genauer einer Whitelist. Nun zum eigentlichen Problem: Apple Nutzer aus dem Projekt haben Probleme mit dem Filter, Wir haben die Geräte bei der ersten Verbindung identifiziert und im Netzwerk zugelassen, aber nach einigen Tagen hatten diese Geräte eine andere MAC Adresse. Dank Google bin ich so weit, dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.

Für Netzwerke mit Whitelist ist das natürlich "unschön" - leider konnte ich bisher nicht herausfinden ob man diese Funktion, bei entweder allen oder zumindest diesem einen WLAN abschalten kann, denn ich kann nicht alle paar Minuten Leute neu hinzufügen (bisschen übertrieben aber es ist schon ein Aufwand)

Wäre großartig wenn einer von euch weiß, was dort zu tun ist.

Beste Grüße
Mitglied: 141320
08.10.2019, aktualisiert um 17:41 Uhr
Statt mit unsicherer MAC Auth, mach es gleich mit 802.1x und Zertifikaten (WPA2-(P)EAP Enterprise), das ist wasserdicht, mit den Zertifikaten zusätzlich auch an die Geräte gebunden und du hast diesen Blender-Blödsinn mit den MAC-Adressen nicht. Per Separater SSID oder Radius VLAN Zuweisung auch über die selbe SSID möglich findet dann das Mapping zum entsprechenden Netz statt.
Bitte warten ..
Mitglied: CAT404
08.10.2019 um 17:47 Uhr
Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 17:50 Uhr
Zitat von CAT404:

Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
Vorgesetzten feuern lassen oder Einlauf verpassen .

Wenn's unbedingt sein muss, den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.
Bitte warten ..
Mitglied: CAT404
08.10.2019, aktualisiert um 17:56 Uhr
Zitat von 141320:
[...] den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.

jup, exakt das will ich wissen wie das geht. Ich gehe mal davon aus, dass es da Wege gibt.

Zitat von 141320:
Vorgesetzten feuern lassen oder Einlauf verpassen .

Behörde, ich denke das sagt alles.
Bitte warten ..
Mitglied: aqui
LÖSUNG 08.10.2019, aktualisiert um 18:38 Uhr
dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.
Richtig ! Und nicht nur iPhones und Pads sondern Apple Macs auch.
Ist aber keine Apple Erfindung denn moderne Androiden und auch Linux haben es mittlerweile durchgehend auch.
Nennt sich WiFi Mac Address Randomization und dient zum Abschalten des User Trackings ala Facebook was großflächig in allen öffentlichen WLANs bekanntermaßen gemacht wird um Bewegungs- und Verhaltensprofile individueller Smartphone und WLAN Nutzer zu erstellen und diese zu vermarkten.
Desgleichen übrigens auch mit Bluetooth, denn keiner bequemt sich ja sein Bluetooth am Smartphone mehr abzuschalten.
Jeder bekommt halt das Profil was er verdient...!
https://www.turais.de/mac-address-randomization-on-ios-12/
Man kann das Abschalten aber nur über den Apple iPhone Konfiguratior. Bei unixoiden OS macht es ein wifi.mac-address-randomization=0 in der supplicant.conf Datei oder dem Network Manager.
Fraglich ob private BYOD User solche Manipulation zulassen an ihren Geräten. Wohl eher nicht...

Um die User wasserdicht zu isolieren ist es dann sinnvoller mit einer Standard 802.1x Authentisierung (WPA Enterprise) zu arbeiten. Das ist universell und klappt immer und lässt sich kinderleicht in jedem WLAN umsetzen. Sogar in fast allen heutigen China Billig APs. Zudem ist es auch noch sicherer da nicht manipulierbar wie Mac Adressen die jeder beliebig einstellen und anpassen kann um das WLAN mit solch dümmlichen und einfachen Whitelistst die keinerlei Hürde darstellen zu kapern.
Kollege @141320 hat ja oben schon alles zu dem Thema gesagt !
Eine Lösung findest du hier:
https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...
Idealerweise hat man MSSID fähige Accesspoints und zwingt diese User dann auch in ein von der MSSID abhängiges VLAN. Stichwort 802.1x und dynamische VLANs.
Das wäre heutzutage eine sinnvole Lösung und nicht diese dillettantische Mac Adressen Whitelist. Das macht nichtmal mehr Fritzchen Müller zuhause an seiner FritzBox weil er weiss das das nix bringt.
Solch eine dümmliche Liste kann man auch gleich weglassen. Kann man mal sehen auf welchem Wissenstand Behörden sind...traurig.

Als Workaround für die Behörde könnte man ein vollständig isoliertes Layer 2 VLAN auf der Switch Infrastruktur einrichten und wo sich diese User befinden preiswerte APs wie z.B. einen 20 Euro Mikrotik cAP nehmen und so ein vollständig isoliertes Netz aufbauen.
Es wäre dann zwar isoliert vom Behördennetz aber auch nicht wirklich sicher, denn dort kommt dann wieder jeder x-Belibige rein. Bringt also auch nicht wirklich was und ist eher auch ein dilletantischer (Bastel) Workaround.
Der Weg führt an 802.1x nicht vorbei wenn man es richtig machen will. Anders geht es de facto nicht.
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 18:02 Uhr
Zitat von CAT404:
Behörde, ich denke das sagt alles.
Mein Beileid.

Les dir mal die Funktionsweise dazu durch
https://www.turais.de/mac-address-randomization-on-ios-12/
Bitte warten ..
Mitglied: Lochkartenstanzer
08.10.2019, aktualisiert um 20:23 Uhr
Zitat von CAT404:

Wäre großartig wenn einer von euch weiß, was dort zu tun ist.

Einfach 802.1X verwenden. und den vorgesetzten mit Cat9 bearbeiten.
lks
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 22:00 Uhr
Zitat von Lochkartenstanzer:

und den vorgesetzten mit Cat9 bearbeiten.

Oder ihn mal in Tegel(TXL) im Lost n' Found der Gepäckabfertigung arbeiten lassen. Das wirkt wahre Wunder 🤣😁.
Bitte warten ..
Mitglied: CAT404
09.10.2019 um 03:09 Uhr
Ich danke dir für deinen sehr umfangreichen Beitrag, ja scheint dann ja n Spaß zu werden. Ich habe heute nachmittag mit den Entscheidungsträgern (die gerade mal so Word bedienen können... Ich glaube die Wissen nicht mal was ne MAC Adresse ist....) und werde das mal zur Ansprache bringen.
Wird dann entweder X802.1x Auth oder einfach ein WPA2 Passwort und dann gehts halt rum, dann ist das so. Spaß macht Schulinternet eh nicht, ist stark gefiltert und ultralangsam (16 Mbit auf 1200 Schüler :D Jaja, digital und modern das Land)

Vielen Dank nochmals
Bitte warten ..
Mitglied: CAT404
21.10.2019 um 14:50 Uhr
Im Übrigen wurde inzwischen einfach WPA2 mit einem sehr stupiden Passwort umgesetzt (Stadtteil + Jahr der Gründung), bekommt man nicht nur von Wikipedia sondern auch direkt am schwarzen Brett, bald ist also jeder in dem Netzwerk.
Kampf gegen Windmühlen hier.
Bitte warten ..
Mitglied: aqui
21.10.2019 um 14:57 Uhr
🤦‍♂️ Kein Kommentar....!

Case closed.
Bitte warten ..
Ähnliche Inhalte
Windows Server

WLAN authentifizierung über Radius (MAC IOS)

Frage von checknixWindows Server3 Kommentare

Hallo zusammen, bei uns in der Firma wird die WLAN Authentifizierung über den Radius geregelt. Die User melden sich ...

Erkennung und -Abwehr

IP Spoofing Opfer

gelöst Frage von SpoofieErkennung und -Abwehr19 Kommentare

Hallo Community, ich bin unbewusst Opfer von IP Spoofing geworden (glaube ich) und brauche dringend Rat (Rechtsanwalt habe ich ...

Netzwerke

Firewall Anti Spoofing Verständnisfrage

gelöst Frage von Dr.CornwallisNetzwerke9 Kommentare

Liebe Gemeinde, Internes Netz: 192.168.0.0/16 eine Firewall mit 3 Anti Spoofing Regeln konfiguriert: ext. Interface(externe IP): Inbound Deny Dest:any ...

E-Mail

Vermehrtes Mail Spoofing

Frage von ostronautE-Mail30 Kommentare

Hallo zusammen, Frage in die Runde: Beobachtet ihr derzeit auch zunehmende Fälle von Mail-Spoofing? Wir werden derzeit immer wieder ...

Neue Wissensbeiträge
Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 2 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 4 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 4 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 5 TagenHumor (lol)21 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Windows Server
Kontakt mit Warenwirtschaft Software Anbieter - Netzwerkstbilität
Frage von PoddeldunktWindows Server26 Kommentare

Hallo zusammen, entschuldigt erstmal den schlechten Titel, aber mir ist nicht eingefallen wie ich das ganze Aussagekräftiger gestalten soll. ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
Frage von TallerBiskusVisual Studio22 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

Windows 10
Reicht eine 64GB SSD für einen Einwahl-PC für die Funktionsupgrade?
gelöst Frage von StefanKittelWindows 1019 Kommentare

Hallo, ich weiß, bei Google steht ganz viel, aber das meiste zu 32GB und irgendwie schreibt jeder was Anderes. ...

Windows Tools
Autologoff Local User Windows 10 bei idle Time von 900 Sekunden
Frage von Hendrik2586Windows Tools19 Kommentare

Hallo ihr lieben. :) Ich hatte das Thema schon mal vor einer Weile, aber nun muss ich es nochmal ...