Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst MAC Whitelisting trotz iOS MAC Spoofing

Mitglied: CAT404

CAT404 (Level 1) - Jetzt verbinden

08.10.2019 um 17:25 Uhr, 236 Aufrufe, 9 Kommentare

Moin

ich stehe mal wieder vor einem Elefanten von Problem.

Für ein BYOD (Bring Your Own Device) Projekt sollen ca 120 Leute in einem seperaten Netzwerk arbeiten. Aus Vorgaben die uns gemacht wurden, muss dieses Netzwerk mit einem MAC Adressen Filter betrieben werden, genauer einer Whitelist. Nun zum eigentlichen Problem: Apple Nutzer aus dem Projekt haben Probleme mit dem Filter, Wir haben die Geräte bei der ersten Verbindung identifiziert und im Netzwerk zugelassen, aber nach einigen Tagen hatten diese Geräte eine andere MAC Adresse. Dank Google bin ich so weit, dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.

Für Netzwerke mit Whitelist ist das natürlich "unschön" - leider konnte ich bisher nicht herausfinden ob man diese Funktion, bei entweder allen oder zumindest diesem einen WLAN abschalten kann, denn ich kann nicht alle paar Minuten Leute neu hinzufügen (bisschen übertrieben aber es ist schon ein Aufwand)

Wäre großartig wenn einer von euch weiß, was dort zu tun ist.

Beste Grüße
Mitglied: 141320
08.10.2019, aktualisiert um 17:41 Uhr
Statt mit unsicherer MAC Auth, mach es gleich mit 802.1x und Zertifikaten (WPA2-(P)EAP Enterprise), das ist wasserdicht, mit den Zertifikaten zusätzlich auch an die Geräte gebunden und du hast diesen Blender-Blödsinn mit den MAC-Adressen nicht. Per Separater SSID oder Radius VLAN Zuweisung auch über die selbe SSID möglich findet dann das Mapping zum entsprechenden Netz statt.
Bitte warten ..
Mitglied: CAT404
08.10.2019 um 17:47 Uhr
Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 17:50 Uhr
Zitat von CAT404:

Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
Vorgesetzten feuern lassen oder Einlauf verpassen .

Wenn's unbedingt sein muss, den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.
Bitte warten ..
Mitglied: CAT404
08.10.2019, aktualisiert um 17:56 Uhr
Zitat von 141320:
[...] den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.

jup, exakt das will ich wissen wie das geht. Ich gehe mal davon aus, dass es da Wege gibt.

Zitat von 141320:
Vorgesetzten feuern lassen oder Einlauf verpassen .

Behörde, ich denke das sagt alles.
Bitte warten ..
Mitglied: aqui
LÖSUNG 08.10.2019, aktualisiert um 18:38 Uhr
dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.
Richtig ! Und nicht nur iPhones und Pads sondern Apple Macs auch.
Ist aber keine Apple Erfindung denn moderne Androiden und auch Linux haben es mittlerweile durchgehend auch.
Nennt sich WiFi Mac Address Randomization und dient zum Abschalten des User Trackings ala Facebook was großflächig in allen öffentlichen WLANs bekanntermaßen gemacht wird um Bewegungs- und Verhaltensprofile individueller Smartphone und WLAN Nutzer zu erstellen und diese zu vermarkten.
Desgleichen übrigens auch mit Bluetooth, denn keiner bequemt sich ja sein Bluetooth am Smartphone mehr abzuschalten.
Jeder bekommt halt das Profil was er verdient...!
https://www.turais.de/mac-address-randomization-on-ios-12/
Man kann das Abschalten aber nur über den Apple iPhone Konfiguratior. Bei unixoiden OS macht es ein wifi.mac-address-randomization=0 in der supplicant.conf Datei oder dem Network Manager.
Fraglich ob private BYOD User solche Manipulation zulassen an ihren Geräten. Wohl eher nicht...

Um die User wasserdicht zu isolieren ist es dann sinnvoller mit einer Standard 802.1x Authentisierung (WPA Enterprise) zu arbeiten. Das ist universell und klappt immer und lässt sich kinderleicht in jedem WLAN umsetzen. Sogar in fast allen heutigen China Billig APs. Zudem ist es auch noch sicherer da nicht manipulierbar wie Mac Adressen die jeder beliebig einstellen und anpassen kann um das WLAN mit solch dümmlichen und einfachen Whitelistst die keinerlei Hürde darstellen zu kapern.
Kollege @141320 hat ja oben schon alles zu dem Thema gesagt !
Eine Lösung findest du hier:
https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...
Idealerweise hat man MSSID fähige Accesspoints und zwingt diese User dann auch in ein von der MSSID abhängiges VLAN. Stichwort 802.1x und dynamische VLANs.
Das wäre heutzutage eine sinnvole Lösung und nicht diese dillettantische Mac Adressen Whitelist. Das macht nichtmal mehr Fritzchen Müller zuhause an seiner FritzBox weil er weiss das das nix bringt.
Solch eine dümmliche Liste kann man auch gleich weglassen. Kann man mal sehen auf welchem Wissenstand Behörden sind...traurig.

Als Workaround für die Behörde könnte man ein vollständig isoliertes Layer 2 VLAN auf der Switch Infrastruktur einrichten und wo sich diese User befinden preiswerte APs wie z.B. einen 20 Euro Mikrotik cAP nehmen und so ein vollständig isoliertes Netz aufbauen.
Es wäre dann zwar isoliert vom Behördennetz aber auch nicht wirklich sicher, denn dort kommt dann wieder jeder x-Belibige rein. Bringt also auch nicht wirklich was und ist eher auch ein dilletantischer (Bastel) Workaround.
Der Weg führt an 802.1x nicht vorbei wenn man es richtig machen will. Anders geht es de facto nicht.
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 18:02 Uhr
Zitat von CAT404:
Behörde, ich denke das sagt alles.
Mein Beileid.

Les dir mal die Funktionsweise dazu durch
https://www.turais.de/mac-address-randomization-on-ios-12/
Bitte warten ..
Mitglied: Lochkartenstanzer
08.10.2019, aktualisiert um 20:23 Uhr
Zitat von CAT404:

Wäre großartig wenn einer von euch weiß, was dort zu tun ist.

Einfach 802.1X verwenden. und den vorgesetzten mit Cat9 bearbeiten.
lks
Bitte warten ..
Mitglied: 141320
08.10.2019, aktualisiert um 22:00 Uhr
Zitat von Lochkartenstanzer:

und den vorgesetzten mit Cat9 bearbeiten.

Oder ihn mal in Tegel(TXL) im Lost n' Found der Gepäckabfertigung arbeiten lassen. Das wirkt wahre Wunder 🤣😁.
Bitte warten ..
Mitglied: CAT404
09.10.2019 um 03:09 Uhr
Ich danke dir für deinen sehr umfangreichen Beitrag, ja scheint dann ja n Spaß zu werden. Ich habe heute nachmittag mit den Entscheidungsträgern (die gerade mal so Word bedienen können... Ich glaube die Wissen nicht mal was ne MAC Adresse ist....) und werde das mal zur Ansprache bringen.
Wird dann entweder X802.1x Auth oder einfach ein WPA2 Passwort und dann gehts halt rum, dann ist das so. Spaß macht Schulinternet eh nicht, ist stark gefiltert und ultralangsam (16 Mbit auf 1200 Schüler :D Jaja, digital und modern das Land)

Vielen Dank nochmals
Bitte warten ..
Ähnliche Inhalte
Windows 7
Mac Spoofing über Virtual Box
gelöst Frage von JustChaosWindows 73 Kommentare

Hallo, ich stelle die Frage jetzt einfach mal direkt: Ist es unter Windows 7 möglich die Mac Adresse der ...

Erkennung und -Abwehr
Whitelisting zur Trojanerabwehr
Frage von smartinoErkennung und -Abwehr5 Kommentare

Hallo zusammen, ich suche auf Grund der zunehmenden Trojaner/CryptowareGefahr eine Möglichkeit, sowas zuverlässig abzuwehren. Traditionelle Virenschutzlösungen bieten da ja ...

Windows Server

WLAN authentifizierung über Radius (MAC IOS)

Frage von checknixWindows Server3 Kommentare

Hallo zusammen, bei uns in der Firma wird die WLAN Authentifizierung über den Radius geregelt. Die User melden sich ...

Erkennung und -Abwehr

IP Spoofing Opfer

gelöst Frage von SpoofieErkennung und -Abwehr19 Kommentare

Hallo Community, ich bin unbewusst Opfer von IP Spoofing geworden (glaube ich) und brauche dringend Rat (Rechtsanwalt habe ich ...

Neue Wissensbeiträge
Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 2 TagenOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 3 TagenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 3 TagenMicrosoft Office9 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Firewall
Übernahme von SOPHOS durch Thoma Bravo
Information von Dilbert-MD vor 4 TagenFirewall3 Kommentare

Kam die Tage per Newsletter: Zitat: " Das Sophos Board of Directors hat gestern bekanntgegeben, dass die Private-Equity-Investment-Firma Thoma ...

Heiß diskutierte Inhalte
Router & Routing
Macht es schon Sinn IPv6 Adressen einzusetzen ?
Frage von mario89Router & Routing11 Kommentare

Hallo Leute, bitte entschuldigt die vielleicht blöde frage, aber ich wollte gerne mal hören, ob im Professionellen Umfeld IPv6 ...

Batch & Shell
Batch - Datei über das Kontextmenü (Senden an) des Windows Explorer umbenennen
gelöst Frage von AlfornoBatch & Shell10 Kommentare

Hallo, ich möchte eine beliebige Word Datei mittels Batch umbenennen. Als Ergebnis soll der neue Dateiname das Änderungsdatum sowie ...

Switche und Hubs
Zwei VLANs über Trunks über zwei Layer3-Switche per Glasfaser verbinden
Frage von FreundlicherSwitche und Hubs9 Kommentare

Hi, leider habe ich weder in der Berufsschule aufgepasst, noch in der Ausbildung das Thema praktisch behandelt (kleiner Betrieb). ...

Batch & Shell
Batch variable in nächste batch mitnehmen
Frage von BytexxBatch & Shell8 Kommentare

Hallo ich möchte ein kleines .bat programm schreiben und habe eine frage. wie kann ich ein installations pfad herrausfinden ...