Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst MAC Whitelisting trotz iOS MAC Spoofing

Mitglied: CAT404

CAT404 (Level 1) - Jetzt verbinden

08.10.2019 um 17:25 Uhr, 1588 Aufrufe, 11 Kommentare, 1 Danke

Moin

ich stehe mal wieder vor einem Elefanten von Problem.

Für ein BYOD (Bring Your Own Device) Projekt sollen ca 120 Leute in einem seperaten Netzwerk arbeiten. Aus Vorgaben die uns gemacht wurden, muss dieses Netzwerk mit einem MAC Adressen Filter betrieben werden, genauer einer Whitelist. Nun zum eigentlichen Problem: Apple Nutzer aus dem Projekt haben Probleme mit dem Filter, Wir haben die Geräte bei der ersten Verbindung identifiziert und im Netzwerk zugelassen, aber nach einigen Tagen hatten diese Geräte eine andere MAC Adresse. Dank Google bin ich so weit, dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.

Für Netzwerke mit Whitelist ist das natürlich "unschön" - leider konnte ich bisher nicht herausfinden ob man diese Funktion, bei entweder allen oder zumindest diesem einen WLAN abschalten kann, denn ich kann nicht alle paar Minuten Leute neu hinzufügen (bisschen übertrieben aber es ist schon ein Aufwand)

Wäre großartig wenn einer von euch weiß, was dort zu tun ist.

Beste Grüße
Mitglied: 141320
08.10.2019, aktualisiert um 17:41 Uhr
Statt mit unsicherer MAC Auth, mach es gleich mit 802.1x und Zertifikaten (WPA2-(P)EAP Enterprise), das ist wasserdicht, mit den Zertifikaten zusätzlich auch an die Geräte gebunden und du hast diesen Blender-Blödsinn mit den MAC-Adressen nicht. Per Separater SSID oder Radius VLAN Zuweisung auch über die selbe SSID möglich findet dann das Mapping zum entsprechenden Netz statt.
Bitte warten ..
Mitglied: CAT404
08.10.2019 um 17:47 Uhr
Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 17:50 Uhr
Zitat von CAT404:

Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
Vorgesetzten feuern lassen oder Einlauf verpassen .

Wenn's unbedingt sein muss, den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.
Bitte warten ..
Mitglied: CAT404
08.10.2019, aktualisiert um 17:56 Uhr
Zitat von 141320:
[...] den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.

jup, exakt das will ich wissen wie das geht. Ich gehe mal davon aus, dass es da Wege gibt.

Zitat von 141320:
Vorgesetzten feuern lassen oder Einlauf verpassen .

Behörde, ich denke das sagt alles.
Bitte warten ..
Mitglied: aqui
LÖSUNG 08.10.2019, aktualisiert um 18:38 Uhr
dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.
Richtig ! Und nicht nur iPhones und Pads sondern Apple Macs auch.
Ist aber keine Apple Erfindung denn moderne Androiden und auch Linux haben es mittlerweile durchgehend auch.
Nennt sich WiFi Mac Address Randomization und dient zum Abschalten des User Trackings ala Facebook was großflächig in allen öffentlichen WLANs bekanntermaßen gemacht wird um Bewegungs- und Verhaltensprofile individueller Smartphone und WLAN Nutzer zu erstellen und diese zu vermarkten.
Desgleichen übrigens auch mit Bluetooth, denn keiner bequemt sich ja sein Bluetooth am Smartphone mehr abzuschalten.
Jeder bekommt halt das Profil was er verdient...!
https://www.turais.de/mac-address-randomization-on-ios-12/
Man kann das Abschalten aber nur über den Apple iPhone Konfiguratior. Bei unixoiden OS macht es ein wifi.mac-address-randomization=0 in der supplicant.conf Datei oder dem Network Manager.
Fraglich ob private BYOD User solche Manipulation zulassen an ihren Geräten. Wohl eher nicht...

Um die User wasserdicht zu isolieren ist es dann sinnvoller mit einer Standard 802.1x Authentisierung (WPA Enterprise) zu arbeiten. Das ist universell und klappt immer und lässt sich kinderleicht in jedem WLAN umsetzen. Sogar in fast allen heutigen China Billig APs. Zudem ist es auch noch sicherer da nicht manipulierbar wie Mac Adressen die jeder beliebig einstellen und anpassen kann um das WLAN mit solch dümmlichen und einfachen Whitelistst die keinerlei Hürde darstellen zu kapern.
Kollege @nc6400 hat ja oben schon alles zu dem Thema gesagt !
Eine Lösung findest du hier:
https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...
Idealerweise hat man MSSID fähige Accesspoints und zwingt diese User dann auch in ein von der MSSID abhängiges VLAN. Stichwort 802.1x und dynamische VLANs.
Das wäre heutzutage eine sinnvole Lösung und nicht diese dillettantische Mac Adressen Whitelist. Das macht nichtmal mehr Fritzchen Müller zuhause an seiner FritzBox weil er weiss das das nix bringt.
Solch eine dümmliche Liste kann man auch gleich weglassen. Kann man mal sehen auf welchem Wissenstand Behörden sind...traurig.

Als Workaround für die Behörde könnte man ein vollständig isoliertes Layer 2 VLAN auf der Switch Infrastruktur einrichten und wo sich diese User befinden preiswerte APs wie z.B. einen 20 Euro Mikrotik cAP nehmen und so ein vollständig isoliertes Netz aufbauen.
Es wäre dann zwar isoliert vom Behördennetz aber auch nicht wirklich sicher, denn dort kommt dann wieder jeder x-Belibige rein. Bringt also auch nicht wirklich was und ist eher auch ein dilletantischer (Bastel) Workaround.
Der Weg führt an 802.1x nicht vorbei wenn man es richtig machen will. Anders geht es de facto nicht.
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 18:02 Uhr
Zitat von CAT404:
Behörde, ich denke das sagt alles.
Mein Beileid.

Les dir mal die Funktionsweise dazu durch
https://www.turais.de/mac-address-randomization-on-ios-12/
Bitte warten ..
Mitglied: Lochkartenstanzer
08.10.2019, aktualisiert um 20:23 Uhr
Zitat von CAT404:

Wäre großartig wenn einer von euch weiß, was dort zu tun ist.

Einfach 802.1X verwenden. und den vorgesetzten mit Cat9 bearbeiten.
lks
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 22:00 Uhr
Zitat von Lochkartenstanzer:

und den vorgesetzten mit Cat9 bearbeiten.

Oder ihn mal in Tegel(TXL) im Lost n' Found der Gepäckabfertigung arbeiten lassen. Das wirkt wahre Wunder 🤣😁.
Bitte warten ..
Mitglied: CAT404
09.10.2019 um 03:09 Uhr
Ich danke dir für deinen sehr umfangreichen Beitrag, ja scheint dann ja n Spaß zu werden. Ich habe heute nachmittag mit den Entscheidungsträgern (die gerade mal so Word bedienen können... Ich glaube die Wissen nicht mal was ne MAC Adresse ist....) und werde das mal zur Ansprache bringen.
Wird dann entweder X802.1x Auth oder einfach ein WPA2 Passwort und dann gehts halt rum, dann ist das so. Spaß macht Schulinternet eh nicht, ist stark gefiltert und ultralangsam (16 Mbit auf 1200 Schüler :D Jaja, digital und modern das Land)

Vielen Dank nochmals
Bitte warten ..
Mitglied: CAT404
21.10.2019 um 14:50 Uhr
Im Übrigen wurde inzwischen einfach WPA2 mit einem sehr stupiden Passwort umgesetzt (Stadtteil + Jahr der Gründung), bekommt man nicht nur von Wikipedia sondern auch direkt am schwarzen Brett, bald ist also jeder in dem Netzwerk.
Kampf gegen Windmühlen hier.
Bitte warten ..
Mitglied: aqui
21.10.2019 um 14:57 Uhr
🤦‍♂️ Kein Kommentar....!

Case closed.
Bitte warten ..
Ähnliche Inhalte
Windows Server

WLAN authentifizierung über Radius (MAC IOS)

Frage von checknixWindows Server3 Kommentare

Hallo zusammen, bei uns in der Firma wird die WLAN Authentifizierung über den Radius geregelt. Die User melden sich ...

Windows 10

Application Whitelisting Windows 10 Pro

gelöst Frage von ad-minWindows 104 Kommentare

Guten Abend, da der Applocker nicht verfügbar ist für Windows 10 Pro, ist meine Frage: gibt es eine andere ...

Netzwerke

Firewall Anti Spoofing Verständnisfrage

gelöst Frage von Dr.CornwallisNetzwerke9 Kommentare

Liebe Gemeinde, Internes Netz: 192.168.0.0/16 eine Firewall mit 3 Anti Spoofing Regeln konfiguriert: ext. Interface(externe IP): Inbound Deny Dest:any ...

E-Mail

Vermehrtes Mail Spoofing

Frage von ostronautE-Mail30 Kommentare

Hallo zusammen, Frage in die Runde: Beobachtet ihr derzeit auch zunehmende Fälle von Mail-Spoofing? Wir werden derzeit immer wieder ...

Neue Wissensbeiträge
Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 1 TagMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 1 TagVirtualisierung

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 1 TagFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Sicherheit
NSA: UEFI und Secure Boot einsetzen
Ticker von sabines vor 2 TagenSicherheit3 Kommentare

Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA Näheres hier: NSA Bericht

Heiß diskutierte Inhalte
Sicherheits-Tools
Passwortmanager Vorschläge
Frage von BelmontSicherheits-Tools17 Kommentare

Servus, Ich bin aktuell auf der Suche nach einem cloudbasiertem Passwortmanager mit bestimmten Features: 1. LDAP-Anbindung bzw. Azure AD ...

Schulung & Training
Einstieg in die Linux Welt
Frage von simi2204Schulung & Training13 Kommentare

Hallo zusammen, ich bin dieses Jahr im Juli mit meiner Ausbildung zum Fachinformatiker für Systemintegration fertig geworden und bin ...

Netzwerkmanagement
Wireguard VPN Server (Dual Stack) von außerhalb (DSLite) erreichen
gelöst Frage von juma2312Netzwerkmanagement13 Kommentare

Hallo, ich habe mich mal hier registriert, da ich seit längerem bei einem Problem nicht weiterkomme und hoffe, dass ...

E-Business
Tipp oder Ansatz für ein Email-System gesucht
Frage von StefanKittelE-Business13 Kommentare

Hallo, ich habe einen Kunden der sehr viele Email-Postfächer (5-15) pro Benutzer in Outlook mit sehr großen Datenmenge hat. ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN