Tethering oder "mobiler Hotspot" im LAN verhindern - überhaupt möglich?

Ein einfacher und effektiver Weg ist:
Lasse aus der Firewall Richtung LAN-Clients alle Pakete mit einer TTL von 1 herausfallen.
Ob und wie das mit pfSense-Bordmitteln machbar ist kann ich nicht sagen, es ist jedoch mit regulären iptables-Regeln machbar und evtl. kennt sich hier jemand besser mit diesem System aus und hat einen Tipp wie man das umsetzen kann.

Das Reduzieren der TTL auf 1 führt dazu, dass diese Pakete nicht mehr durch ein Tethering weitergeroutet werden können und sollte technisch nur mäßig versierte Nutzer sehr zuverlässig an ihrem Ansinnen hindern.
Damit kannst du dir aber natürlich auch sehr gut selbst in den Fuß schießen, da diese Pakete generell keinen weiteren, nachgelagerten Router mehr "überleben".
Du solltest also - wenn du dich für diese Vorgehensweise entscheiden solltest - diese Maßnahme auf eng definierte Bereiche beschränken wie z.B. den DHCP-Pool für euer Client-Netzwerk.

Hallo zusammen,

Eine NG (NextGeneration) Firewall will aber auch richtig bedient und konfiguriert werden und kostet in der Regel "richtig Geld"!

Wenn man in einem Unternehmen Administrator ist, und dort sicherlich auch Anweisungen verschiedener Art erhält, wie zum
das benutzen bestimmter Programme zu unter binden, ist das ganz etwas anderes als wenn man im unternehmen den
WireShark anwirft um mal zu schauen wer denn da so was treibt.

Bist Du bzw. seit Ihr ein ISP oder eine Firma?

Im Betrieb oder auswärts also außerhalb des Unternehmens? Und was machen die dann mit diesem "illegalen" bzw. unerwünschten
HotSpot!? Lassen die dann alle im Raum mit Ihren eigenen Smartphones surfen oder was machen die dann dort?

Was spricht gegen eine schriftliche Anweisung die von allen unterschrieben wird? Oder machen die das damit sie Ihre Arbeit schneller
erledigen können und spannen deshalb Ihren eigenen HotSpot via UMTS auf!?

Man könnte einen Proxy wie Squid und SquidGuard dazu benutzen und zwar mit einer Benutzeranmeldung am Proxy und dann
einfach für jedes Gerät den Benutzer anlegen und das mit MAC und statischer IP Adresse und fertig ist die Sache. (Erster Teil)

Nein das ist schon richtig, nur wenn man dann nur das Laptop sieht ist das auch wieder Müll, denn die anderen Geräte sieht man ja
nicht!

Wenn Du nun noch die MikroTik WLAN APs dazu hast könnte man bei denen hinterlegen dass sich kein anderes Gerät mit dem
WLAN verbinden soll bzw. kann. (Zweiter Teil)

Kombiniert wird es eventuell etwas, denn wenn man nun noch mittels AD / DC und GPOs dafür sorgt dass die Benutzer (Keine Admins)
ein neues WLAN Netzwerk erstellen dann sollte da nicht mehr zu machen sein. Denn dazu muss man dann Admin Rechte haben!
Tethering lässt sich aber auch über USB und Bluetooth eirichten, also sollte das auch via GPOs kontrolliert oder unterbunden werden.

Ist natürlich alles "Mumpitz" wenn das Außendienstmitarbeiter sind die auch woanders vor Ort ein WLAN benutzen müssen.

Gruß
Dobby

Moin,

geht Durch konsequentes Anwenden folgender Punkte:

• 802.11X nutzen.
• Benutzerrechte auf den Clients nur soweit nötig einräumen. Berechtigungen am Netzwerk rumzufummeln ganz abdrehen.
• Cat9 nutzen
• ggf. mit dem Meinungsverstärker nachhelfen.

lks

PS: Ein Freibrief von der GL für die obengenannten Maßnahmen wäre natürlich auch angebracht.

PPS: Du kannst natürlich auch einfach ein paar raspberries in den Räumen als Sensoren verteilen, die bei auftauchen von unautorisierten Hotspots Alarm geben, so daß Du sofort mit Cat9 oder Kloppe den Leuten ins Genick hauen kannst.

Ja das kann man ! Oben hast du dazu ja die klassischen Tips schon gelesen. Soviel Aufwand wie mit Deep Inspection usw. muss man gar nicht machen.
Zu 90% unterbindest du das schon mit 802.1x Port Security und mit DHCP Snooping.
Simple Standard features von Switches heutzutage.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
Damit hast du quasi mit Brodmitteln und minimalem Aufwand alles wasserdicht gemacht.

Hallo nochmal,

nachträgliche Anmerkung von mir dazu, wenn man schon eine Radiusanmeldung dazu benutzt dann bitte auch Switche die eine
Multi-Auth. Anmeldung unterstützen, denn sonst wird nur das erste Gerät (Notebook) authetifiziert und die nachfolgenden Geräte
einfach mit versorgt und weil es ja ein mobiler Router (HotSpot) ist der eventuell NAT macht kann man hinter diesem NAT dann
auch gar nicht den DHCP finden den er benutzt um seine Klienten zu versorgen.

Gruß
Dobby

Wenn ich das richtig verstehe ist das Problem, dass die Nutzer an einem Notebook (per LAN-Kabel verbunden) per WLAN anderen Geräten per Tethering das Netzwerk routen.
Da hilft dir nichts, was den Client wie auch immer authentifiziert - denn der Client ist ja authentifiziert.
Das Problem ist, dass das Notebook selbst NAT und DHCP auf dem eigenen WLAN-AP betreibt und keine transparente Bridge bereitstellt.
Die Pakete werden vom Notebook mit NAT geroutet und du hast auf dem Switchport keine Chance den Traffic zu unterscheiden.

Deshalb ja mein Tipp mit der Reduzierung der TTL, damit dieses Routing durch das Notebook nicht mehr funktioniert.

Ich dachte das wie folgt;
Internet --- Firewall --- LAN Switche --- Laptop --- eigener mobiler WLAN HotSpot mit NAT --- WLAN Geräte der Kollegen für Youtube und etc......
Mobiler HotSpot Router

Man sieht nur das Laptop im LAN! Und die WLAN Verbbindung zu, mobilen Router (Link) an das dann alle anderen Geräte
gekoppelt (verbunden) werden! Und wenn dort der Router NAT macht, sieht man die ganzen Geräte nicht!

"Internetverbindung freigeben" aktivieren und dann alle anderen hinter dem WLAN HotSpot Router anbinden, dann sieht man
nichts außer dem Laptop! Aber mittels meiner Mehrfach-Radius Auth. kann man das unterbinden.

Wo hat denn ein Benutzer (Rechte) die Möglichkeit am Firmennotebook NAT, DHCP und Routing zu aktivieren!? Dann hat er
Adminrechte und da stimmt etwas ganz anderes nicht!

Die Mehrfachanmeldung (Auth.) pro Switchport nimm sich auch dieser Sache an. Man kann dann nicht mehr nur das
Notebook anmelden und authentifizieren und dann noch andere Geräte dahinter mit surfen lassen!

Gruß
Dobby

Das ist natürlich richtig wenn es KEIN privates Notebook etc. ist.
.1x hilft dann nur wenn es ein offizielles ist das man via Gruppenrichtlininen das Freigeben verbietet sofern es Winblows ist.
Bei Mac OS oder Linux wirds etwas kniffliger.
Da ist der Tip mit der TTL Reduzierung natürlich pfiffiger, keine Frage.

Das war doch das Stichwort. Dann kannst du ganz einfach 802.1x nutzen auf deinem Switch und diese privaten Notebooks ganz einfach aussperren.
Du lässt dann nur Hardware der Schule zu und fertig ist der Lack. Das ist schnell eingerichtet wenn du einigermaßen aktuelle Switch Hardware hast. Siehe Tutorial oben !
Wäre auch denkbar. Lies mal was du selber schreibst...es geht um die Mac Adresse und nicht die IP.
Du könntest in der tat den DHCP Server so einstellen das ausschliesslich von dir registrierte Mac Adressen dann im Netzwerk IP Adressen bekommen und andere nicht.
Wenn aber einer der Kollegen nur ein klein wenig Fachwissen hat stellt er sich eine statische IP Adresse aus dem Schulnetz ein am Rechner und hat das dann ausgehebelt.
Kommt drauf an wie Technik affin die Kollegen sind.
802.1x Port Security mit Mac Adressen ist da weitaus sicherer, denn dann wird der komplette Port geblockt, egal welche IP.
Klar kann man auch Mac Adressen faken aber das erfordert schon wirkliches Fachwissen und einen erhöhten Aufwand vor dem 98% der Kollegen sicher scheitern.
.1x Port Security wäre dann also der Königsweg für dich.

Divarmer Tropf kann ich da nur sagen. Da würde ch dann einfach traffc-shaping anwerfen und die maximale Bandbreite pro user auf 1% der Leitungskazität begrenzen, wenn die leiteces übertreiben.

lks

Ja, dann hast du quasi ja ein zwangsweise offenens netzwerk wo Fremdgeräte eher gewollt sind.
Da hilft dir dann wirklich nur der TTL Trick vom Lord.