11
MAC Whitelisting trotz iOS MAC Spoofing
Moin
ich stehe mal wieder vor einem Elefanten von Problem.
Für ein BYOD (Bring Your Own Device) Projekt sollen ca 120 Leute in einem seperaten Netzwerk arbeiten. Aus Vorgaben die uns gemacht wurden, muss dieses Netzwerk mit einem MAC Adressen Filter betrieben werden, genauer einer Whitelist. Nun zum eigentlichen Problem: Apple Nutzer aus dem Projekt haben Probleme mit dem Filter, Wir haben die Geräte bei der ersten Verbindung identifiziert und im Netzwerk zugelassen, aber nach einigen Tagen hatten diese Geräte eine andere MAC Adresse. Dank Google bin ich so weit, dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.
Für Netzwerke mit Whitelist ist das natürlich "unschön" - leider konnte ich bisher nicht herausfinden ob man diese Funktion, bei entweder allen oder zumindest diesem einen WLAN abschalten kann, denn ich kann nicht alle paar Minuten Leute neu hinzufügen (bisschen übertrieben aber es ist schon ein Aufwand)
Wäre großartig wenn einer von euch weiß, was dort zu tun ist.
Beste Grüße
ich stehe mal wieder vor einem Elefanten von Problem.
Für ein BYOD (Bring Your Own Device) Projekt sollen ca 120 Leute in einem seperaten Netzwerk arbeiten. Aus Vorgaben die uns gemacht wurden, muss dieses Netzwerk mit einem MAC Adressen Filter betrieben werden, genauer einer Whitelist. Nun zum eigentlichen Problem: Apple Nutzer aus dem Projekt haben Probleme mit dem Filter, Wir haben die Geräte bei der ersten Verbindung identifiziert und im Netzwerk zugelassen, aber nach einigen Tagen hatten diese Geräte eine andere MAC Adresse. Dank Google bin ich so weit, dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.
Für Netzwerke mit Whitelist ist das natürlich "unschön" - leider konnte ich bisher nicht herausfinden ob man diese Funktion, bei entweder allen oder zumindest diesem einen WLAN abschalten kann, denn ich kann nicht alle paar Minuten Leute neu hinzufügen (bisschen übertrieben aber es ist schon ein Aufwand)
Wäre großartig wenn einer von euch weiß, was dort zu tun ist.
Beste Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 502247
Url: https://administrator.de/contentid/502247
Printed on: April 19, 2024 at 20:04 o'clock
11 Comments
Latest comment
Statt mit unsicherer MAC Auth, mach es gleich mit 802.1x und Zertifikaten (WPA2-(P)EAP Enterprise), das ist wasserdicht, mit den Zertifikaten zusätzlich auch an die Geräte gebunden und du hast diesen Blender-Blödsinn mit den MAC-Adressen nicht. Per Separater SSID oder Radius VLAN Zuweisung auch über die selbe SSID möglich findet dann das Mapping zum entsprechenden Netz statt.
Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
Zitat von @CAT404:
Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
Vorgesetzten feuern lassen oder Einlauf verpassen Fachlich ist das absolut korrekt, leider darf ich an der Stelle nur einen MAC Filter einsetzen..
.Wenn's unbedingt sein muss, den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.
Zitat von @141320:
[...] den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.
[...] den iOS-Geräten ein Profil verpassen das die MAC-Verschleierung deaktiviert.
jup, exakt das will ich wissen wie das geht. Ich gehe mal davon aus, dass es da Wege gibt.
Zitat von @141320:
Vorgesetzten feuern lassen oder Einlauf verpassen .
Vorgesetzten feuern lassen oder Einlauf verpassen .
Behörde, ich denke das sagt alles.
dass das eine Anti Tracking Funktion zu sein scheint, die zB einem iPhone regelmäßig eine andere MAC gibt.
Richtig ! Und nicht nur iPhones und Pads sondern Apple Macs auch.Ist aber keine Apple Erfindung denn moderne Androiden und auch Linux haben es mittlerweile durchgehend auch.
Nennt sich WiFi Mac Address Randomization und dient zum Abschalten des User Trackings ala Facebook was großflächig in allen öffentlichen WLANs bekanntermaßen gemacht wird um Bewegungs- und Verhaltensprofile individueller Smartphone und WLAN Nutzer zu erstellen und diese zu vermarkten.
Desgleichen übrigens auch mit Bluetooth, denn keiner bequemt sich ja sein Bluetooth am Smartphone mehr abzuschalten.
Jeder bekommt halt das Profil was er verdient...!
https://www.turais.de/mac-address-randomization-on-ios-12/
Man kann das Abschalten aber nur über den Apple iPhone Konfiguratior. Bei unixoiden OS macht es ein wifi.mac-address-randomization=0 in der supplicant.conf Datei oder dem Network Manager.
Fraglich ob private BYOD User solche Manipulation zulassen an ihren Geräten. Wohl eher nicht...
Um die User wasserdicht zu isolieren ist es dann sinnvoller mit einer Standard 802.1x Authentisierung (WPA Enterprise) zu arbeiten. Das ist universell und klappt immer und lässt sich kinderleicht in jedem WLAN umsetzen. Sogar in fast allen heutigen China Billig APs. Zudem ist es auch noch sicherer da nicht manipulierbar wie Mac Adressen die jeder beliebig einstellen und anpassen kann um das WLAN mit solch dümmlichen und einfachen Whitelistst die keinerlei Hürde darstellen zu kapern.
Kollege @141320 hat ja oben schon alles zu dem Thema gesagt !
Eine Lösung findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Idealerweise hat man MSSID fähige Accesspoints und zwingt diese User dann auch in ein von der MSSID abhängiges VLAN. Stichwort 802.1x und dynamische VLANs.
Das wäre heutzutage eine sinnvole Lösung und nicht diese dillettantische Mac Adressen Whitelist. Das macht nichtmal mehr Fritzchen Müller zuhause an seiner FritzBox weil er weiss das das nix bringt.
Solch eine dümmliche Liste kann man auch gleich weglassen. Kann man mal sehen auf welchem Wissenstand Behörden sind...traurig.
Als Workaround für die Behörde könnte man ein vollständig isoliertes Layer 2 VLAN auf der Switch Infrastruktur einrichten und wo sich diese User befinden preiswerte APs wie z.B. einen 20 Euro Mikrotik cAP nehmen und so ein vollständig isoliertes Netz aufbauen.
Es wäre dann zwar isoliert vom Behördennetz aber auch nicht wirklich sicher, denn dort kommt dann wieder jeder x-Belibige rein. Bringt also auch nicht wirklich was und ist eher auch ein dilletantischer (Bastel) Workaround.
Der Weg führt an 802.1x nicht vorbei wenn man es richtig machen will. Anders geht es de facto nicht.
Mein Beileid.
Les dir mal die Funktionsweise dazu durch
https://www.turais.de/mac-address-randomization-on-ios-12/
Les dir mal die Funktionsweise dazu durch
https://www.turais.de/mac-address-randomization-on-ios-12/
Einfach 802.1X verwenden. und den vorgesetzten mit Cat9 bearbeiten.
lks
Oder ihn mal in Tegel(TXL) im Lost n' Found der Gepäckabfertigung arbeiten lassen. Das wirkt wahre Wunder 🤣😁.
1
Ich danke dir für deinen sehr umfangreichen Beitrag, ja scheint dann ja n Spaß zu werden. Ich habe heute nachmittag mit den Entscheidungsträgern (die gerade mal so Word bedienen können... Ich glaube die Wissen nicht mal was ne MAC Adresse ist....) und werde das mal zur Ansprache bringen.
Wird dann entweder X802.1x Auth oder einfach ein WPA2 Passwort und dann gehts halt rum, dann ist das so. Spaß macht Schulinternet eh nicht, ist stark gefiltert und ultralangsam (16 Mbit auf 1200 Schüler :D Jaja, digital und modern das Land)
Vielen Dank nochmals
Wird dann entweder X802.1x Auth oder einfach ein WPA2 Passwort und dann gehts halt rum, dann ist das so. Spaß macht Schulinternet eh nicht, ist stark gefiltert und ultralangsam (16 Mbit auf 1200 Schüler :D Jaja, digital und modern das Land)
Vielen Dank nochmals
Im Übrigen wurde inzwischen einfach WPA2 mit einem sehr stupiden Passwort umgesetzt (Stadtteil + Jahr der Gründung), bekommt man nicht nur von Wikipedia sondern auch direkt am schwarzen Brett, bald ist also jeder in dem Netzwerk.
Kampf gegen Windmühlen hier.
Kampf gegen Windmühlen hier.
🤦♂️ Kein Kommentar....!
Case closed.
Case closed.
