kartoffelesser
Goto Top

Tethering oder "mobiler Hotspot" im LAN verhindern - überhaupt möglich?

Hallo Admins,
zuerst meine grundsätzlichen Fragen:
kann man Tethering bzw. mobiler Hotspot (nicht via UMTS o.ä.) grundsätzlich in einem LAN verhindern? Ich habe was von "Next Generation Firewall" bzw. "Deep Packet Inspektion" gelesen geht es auch einfacher? Eventuell verstösst die Packetanalyse auch gegen den Datenschutz? Können die ISPs Tethering überhaupt verhindern?

Der Hintergrund ist, dass einige Kollegen immer wieder Hotspots mit ihren Notebooks aufspannen. Das wäre nicht so schlimm, wenn wir mehr Bandbreite hätten. Ein Update diesbezüglich ist in absehbarer leider Zeit nicht möglich.

Als Firewall benutze ich PFSense kann ich dort ggf. etwas drehen? Z.b. "Block Bogon Networks" da Tethering ja mit NAT und dabei auch IP-Adressen aus privaten Netzen benutzt?? Oder mache ich hier einen Denkfehler? Zudem plane ich den Einsatz des Radius Server "Userman" auf unserem Mikrotik Router. Kann ich dort vielleicht was sperren? Ausser die Bandbreite bei den Kollegen zu verringern ist mir (noch) nichts eingefallen.

Wäre über jeden Tipp, technischer Art, dankbar!

Danke und Gruss

Kartoffelesser

Content-ID: 333406

Url: https://administrator.de/contentid/333406

Ausgedruckt am: 09.11.2024 um 01:11 Uhr

BassFishFox
BassFishFox 27.03.2017 um 21:52:25 Uhr
Goto Top
Hallo,

Stoert das "Hotspotten" die Geschaftsablaeufe durch Entziehen der Bandbreite? Informiere als erstes die Geschaeftsfuehrung.

BFF
LordGurke
LordGurke 28.03.2017 um 00:06:37 Uhr
Goto Top
Ein einfacher und effektiver Weg ist:
Lasse aus der Firewall Richtung LAN-Clients alle Pakete mit einer TTL von 1 herausfallen.
Ob und wie das mit pfSense-Bordmitteln machbar ist kann ich nicht sagen, es ist jedoch mit regulären iptables-Regeln machbar und evtl. kennt sich hier jemand besser mit diesem System aus und hat einen Tipp wie man das umsetzen kann.

Das Reduzieren der TTL auf 1 führt dazu, dass diese Pakete nicht mehr durch ein Tethering weitergeroutet werden können und sollte technisch nur mäßig versierte Nutzer sehr zuverlässig an ihrem Ansinnen hindern.
Damit kannst du dir aber natürlich auch sehr gut selbst in den Fuß schießen, da diese Pakete generell keinen weiteren, nachgelagerten Router mehr "überleben".
Du solltest also - wenn du dich für diese Vorgehensweise entscheiden solltest - diese Maßnahme auf eng definierte Bereiche beschränken wie z.B. den DHCP-Pool für euer Client-Netzwerk.
108012
108012 28.03.2017 aktualisiert um 00:42:17 Uhr
Goto Top
Hallo zusammen,

Ich habe was von "Next Generation Firewall" bzw. "Deep Packet Inspektion" gelesen geht es auch einfacher?
Eine NG (NextGeneration) Firewall will aber auch richtig bedient und konfiguriert werden und kostet in der Regel "richtig Geld"!

Eventuell verstösst die Packetanalyse auch gegen den Datenschutz?
Wenn man in einem Unternehmen Administrator ist, und dort sicherlich auch Anweisungen verschiedener Art erhält, wie zum
das benutzen bestimmter Programme zu unter binden, ist das ganz etwas anderes als wenn man im unternehmen den
WireShark anwirft um mal zu schauen wer denn da so was treibt.

Können die ISPs Tethering überhaupt verhindern?
Bist Du bzw. seit Ihr ein ISP oder eine Firma?

Der Hintergrund ist, dass einige Kollegen immer wieder Hotspots mit ihren Notebooks aufspannen.
Im Betrieb oder auswärts also außerhalb des Unternehmens? Und was machen die dann mit diesem "illegalen" bzw. unerwünschten
HotSpot!? Lassen die dann alle im Raum mit Ihren eigenen Smartphones surfen oder was machen die dann dort?

Das wäre nicht so schlimm, wenn wir mehr Bandbreite hätten. Ein Update diesbezüglich ist in absehbarer leider Zeit nicht möglich.
Was spricht gegen eine schriftliche Anweisung die von allen unterschrieben wird? Oder machen die das damit sie Ihre Arbeit schneller
erledigen können und spannen deshalb Ihren eigenen HotSpot via UMTS auf!?

Als Firewall benutze ich PFSense kann ich dort ggf. etwas drehen?
Man könnte einen Proxy wie Squid und SquidGuard dazu benutzen und zwar mit einer Benutzeranmeldung am Proxy und dann
einfach für jedes Gerät den Benutzer anlegen und das mit MAC und statischer IP Adresse und fertig ist die Sache. (Erster Teil)

Z.b. "Block Bogon Networks" da Tethering ja mit NAT und dabei auch IP-Adressen aus privaten Netzen benutzt?? Oder mache
ich hier einen Denkfehler?
Nein das ist schon richtig, nur wenn man dann nur das Laptop sieht ist das auch wieder Müll, denn die anderen Geräte sieht man ja
nicht!

Zudem plane ich den Einsatz des Radius Server "Userman" auf unserem Mikrotik Router. Kann ich dort vielleicht was sperren?
Ausser die Bandbreite bei den Kollegen zu verringern ist mir (noch) nichts eingefallen.
Wenn Du nun noch die MikroTik WLAN APs dazu hast könnte man bei denen hinterlegen dass sich kein anderes Gerät mit dem
WLAN verbinden soll bzw. kann. (Zweiter Teil)

Wäre über jeden Tipp, technischer Art, dankbar!
Kombiniert wird es eventuell etwas, denn wenn man nun noch mittels AD / DC und GPOs dafür sorgt dass die Benutzer (Keine Admins)
ein neues WLAN Netzwerk erstellen dann sollte da nicht mehr zu machen sein. Denn dazu muss man dann Admin Rechte haben!
Tethering lässt sich aber auch über USB und Bluetooth eirichten, also sollte das auch via GPOs kontrolliert oder unterbunden werden.

Ist natürlich alles "Mumpitz" wenn das Außendienstmitarbeiter sind die auch woanders vor Ort ein WLAN benutzen müssen.

Gruß
Dobby
Lochkartenstanzer
Lochkartenstanzer 28.03.2017 aktualisiert um 10:29:42 Uhr
Goto Top
Zitat von @kartoffelesser:
>
kann man Tethering bzw. mobiler Hotspot (nicht via UMTS o.ä.) grundsätzlich in einem LAN verhindern?

Moin,

geht Durch konsequentes Anwenden folgender Punkte:

  • 802.11X nutzen.
  • Benutzerrechte auf den Clients nur soweit nötig einräumen. Berechtigungen am Netzwerk rumzufummeln ganz abdrehen.
  • Cat9 nutzen
  • ggf. mit dem Meinungsverstärker nachhelfen.

lks

PS: Ein Freibrief von der GL für die obengenannten Maßnahmen wäre natürlich auch angebracht.

PPS: Du kannst natürlich auch einfach ein paar raspberries in den Räumen als Sensoren verteilen, die bei auftauchen von unautorisierten Hotspots Alarm geben, so daß Du sofort mit Cat9 oder Kloppe den Leuten ins Genick hauen kannst.
aqui
aqui 28.03.2017 um 11:19:58 Uhr
Goto Top
kann man Tethering bzw. mobiler Hotspot (nicht via UMTS o.ä.) grundsätzlich in einem LAN verhindern?
Ja das kann man ! Oben hast du dazu ja die klassischen Tips schon gelesen. Soviel Aufwand wie mit Deep Inspection usw. muss man gar nicht machen.
Zu 90% unterbindest du das schon mit 802.1x Port Security und mit DHCP Snooping.
Simple Standard features von Switches heutzutage.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
Damit hast du quasi mit Brodmitteln und minimalem Aufwand alles wasserdicht gemacht.
108012
108012 28.03.2017 aktualisiert um 12:34:36 Uhr
Goto Top
Hallo nochmal,

nachträgliche Anmerkung von mir dazu, wenn man schon eine Radiusanmeldung dazu benutzt dann bitte auch Switche die eine
Multi-Auth. Anmeldung unterstützen, denn sonst wird nur das erste Gerät (Notebook) authetifiziert und die nachfolgenden Geräte
einfach mit versorgt und weil es ja ein mobiler Router (HotSpot) ist der eventuell NAT macht kann man hinter diesem NAT dann
auch gar nicht den DHCP finden den er benutzt um seine Klienten zu versorgen.

Gruß
Dobby
LordGurke
LordGurke 28.03.2017 um 13:06:35 Uhr
Goto Top
Wenn ich das richtig verstehe ist das Problem, dass die Nutzer an einem Notebook (per LAN-Kabel verbunden) per WLAN anderen Geräten per Tethering das Netzwerk routen.
Da hilft dir nichts, was den Client wie auch immer authentifiziert - denn der Client ist ja authentifiziert.
Das Problem ist, dass das Notebook selbst NAT und DHCP auf dem eigenen WLAN-AP betreibt und keine transparente Bridge bereitstellt.
Die Pakete werden vom Notebook mit NAT geroutet und du hast auf dem Switchport keine Chance den Traffic zu unterscheiden.

Deshalb ja mein Tipp mit der Reduzierung der TTL, damit dieses Routing durch das Notebook nicht mehr funktioniert.
108012
108012 28.03.2017 um 15:19:17 Uhr
Goto Top
Wenn ich das richtig verstehe ist das Problem, dass die Nutzer an einem Notebook (per LAN-Kabel verbunden) per WLAN anderen
Geräten per Tethering das Netzwerk routen.
Ich dachte das wie folgt;
Internet --- Firewall --- LAN Switche --- Laptop --- eigener mobiler WLAN HotSpot mit NAT --- WLAN Geräte der Kollegen für Youtube und etc......
Mobiler HotSpot Router

Da hilft dir nichts, was den Client wie auch immer authentifiziert - denn der Client ist ja authentifiziert.
Man sieht nur das Laptop im LAN! Und die WLAN Verbbindung zu, mobilen Router (Link) an das dann alle anderen Geräte
gekoppelt (verbunden) werden! Und wenn dort der Router NAT macht, sieht man die ganzen Geräte nicht!

Das Problem ist, dass das Notebook selbst NAT und DHCP auf dem eigenen WLAN-AP betreibt und keine transparente Bridge
bereitstellt.
"Internetverbindung freigeben" aktivieren und dann alle anderen hinter dem WLAN HotSpot Router anbinden, dann sieht man
nichts außer dem Laptop! Aber mittels meiner Mehrfach-Radius Auth. kann man das unterbinden.

Die Pakete werden vom Notebook mit NAT geroutet und du hast auf dem Switchport keine Chance den Traffic zu unterscheiden.
Wo hat denn ein Benutzer (Rechte) die Möglichkeit am Firmennotebook NAT, DHCP und Routing zu aktivieren!? Dann hat er
Adminrechte und da stimmt etwas ganz anderes nicht!

Deshalb ja mein Tipp mit der Reduzierung der TTL, damit dieses Routing durch das Notebook nicht mehr funktioniert.
Die Mehrfachanmeldung (Auth.) pro Switchport nimm sich auch dieser Sache an. Man kann dann nicht mehr nur das
Notebook anmelden und authentifizieren und dann noch andere Geräte dahinter mit surfen lassen!

Gruß
Dobby
aqui
aqui 28.03.2017 um 18:01:17 Uhr
Goto Top
Da hilft dir nichts, was den Client wie auch immer authentifiziert - denn der Client ist ja authentifiziert.
Das ist natürlich richtig wenn es KEIN privates Notebook etc. ist.
.1x hilft dann nur wenn es ein offizielles ist das man via Gruppenrichtlininen das Freigeben verbietet sofern es Winblows ist.
Bei Mac OS oder Linux wirds etwas kniffliger.
Da ist der Tip mit der TTL Reduzierung natürlich pfiffiger, keine Frage.
kartoffelesser
kartoffelesser 28.03.2017 um 21:27:49 Uhr
Goto Top
Wow, so viele Antworten face-smile DANKE!
Wir sind keine Firma oder gar ein ISP. Nur eine kleine Schule mitten in der Pampa mit geringer Netzanbindung. Trotz alle Bitten, Flehen und Androhung von diversen Meinungsverstärkern (Danke für die Links!!) nutzen die lieben Kollegen ihre privaten Notebooks immer wieder für Tethering um im Unterricht Internet nutzen zu können. Das dadurch das Netz quälend langsam wird interssiert nicht und der Schuldige ist dann immer der Schuladmin - also ich face-sad

Wenn ich die Antworten richtig verstanden habe, sind die TTL- und Mehrfachanmeldung (Auth.) pro Switchport die Besten bzw. für mich einzigen umsetzbaren Tipps. Bin mir aber noch unsicher ob der Lösungsvorschlag von Dobby "nur" am ersten Switch hinter den bösen Notebooks funktioniert. Kann ich das auch am Core Switch / Router einstellen?

Mir fällt gerade ein, dass der Radiusserver die Option hat, das sich jede MAC Adresse nur einmal anmelden kann um sich dann seine IP abzuholen. Wäre das eventuell die Lösung? Wahrscheinlich nicht, da wie LordGurke geschrieben hat, auf den Notebooks NAT getrieben wird??
aqui
aqui 29.03.2017 um 09:52:04 Uhr
Goto Top
nutzen die lieben Kollegen ihre privaten Notebooks
Das war doch das Stichwort. Dann kannst du ganz einfach 802.1x nutzen auf deinem Switch und diese privaten Notebooks ganz einfach aussperren.
Du lässt dann nur Hardware der Schule zu und fertig ist der Lack. Das ist schnell eingerichtet wenn du einigermaßen aktuelle Switch Hardware hast. Siehe Tutorial oben !
Wäre das eventuell die Lösung? Wahrscheinlich nicht, da wie LordGurke geschrieben hat, auf den Notebooks NAT getrieben wird??
Wäre auch denkbar. Lies mal was du selber schreibst...es geht um die Mac Adresse und nicht die IP.
Du könntest in der tat den DHCP Server so einstellen das ausschliesslich von dir registrierte Mac Adressen dann im Netzwerk IP Adressen bekommen und andere nicht.
Wenn aber einer der Kollegen nur ein klein wenig Fachwissen hat stellt er sich eine statische IP Adresse aus dem Schulnetz ein am Rechner und hat das dann ausgehebelt.
Kommt drauf an wie Technik affin die Kollegen sind.
802.1x Port Security mit Mac Adressen ist da weitaus sicherer, denn dann wird der komplette Port geblockt, egal welche IP.
Klar kann man auch Mac Adressen faken aber das erfordert schon wirkliches Fachwissen und einen erhöhten Aufwand vor dem 98% der Kollegen sicher scheitern.
.1x Port Security wäre dann also der Königsweg für dich.
kartoffelesser
kartoffelesser 29.03.2017 um 21:15:01 Uhr
Goto Top
Danke aqui! und @ alle,
das problematische an der Geschichte ist, dass die Kollegen ihre privaten Notebooks benutzen und auf Wunsch der Schulleitung dies auch sollen. Die Stadt als Schulträger ist quasi pleite und hat die Schulen "gebeten" den Einsatz von privaten Geräten zu "fördern" face-sad

Entschuldigung das ich es nicht deutlicher gemacht habe das es sich um private Notebooks handelt!

Passen jetzt noch die beiden von Euch genannten Vorschläge also die TTL-Option und Mehrfachanmeldung (Auth.) pro Switchport bei meinem Problem?
Lochkartenstanzer
Lochkartenstanzer 29.03.2017 um 21:37:08 Uhr
Goto Top
Zitat von @kartoffelesser:

Danke aqui! und @ alle,
das problematische an der Geschichte ist, dass die Kollegen ihre privaten Notebooks benutzen und auf Wunsch der Schulleitung dies auch sollen. Die Stadt als Schulträger ist quasi pleite und hat die Schulen "gebeten" den Einsatz von privaten Geräten zu "fördern" face-sad

Divarmer Tropf kann ich da nur sagen. Da würde ch dann einfach traffc-shaping anwerfen und die maximale Bandbreite pro user auf 1% der Leitungskazität begrenzen, wenn die leiteces übertreiben.

lks
aqui
aqui 30.03.2017 um 18:33:19 Uhr
Goto Top
Ja, dann hast du quasi ja ein zwangsweise offenens netzwerk wo Fremdgeräte eher gewollt sind.
Da hilft dir dann wirklich nur der TTL Trick vom Lord.
kartoffelesser
kartoffelesser 02.04.2017 aktualisiert um 19:31:49 Uhr
Goto Top
Obwohl es keine konkrete Lösung gibt, ein GROSSES DANKESCHÖN an alle die mir geantwortet haben!!!

Da wohl nur der TTL-Trick übrigbleibt, werde ich diesen versuchen und hier über die Ergebnisse berichten.

Gruß kartoffelesser