Tethering oder "mobiler Hotspot" im LAN verhindern - überhaupt möglich?
Hallo Admins,
zuerst meine grundsätzlichen Fragen:
kann man Tethering bzw. mobiler Hotspot (nicht via UMTS o.ä.) grundsätzlich in einem LAN verhindern? Ich habe was von "Next Generation Firewall" bzw. "Deep Packet Inspektion" gelesen geht es auch einfacher? Eventuell verstösst die Packetanalyse auch gegen den Datenschutz? Können die ISPs Tethering überhaupt verhindern?
Der Hintergrund ist, dass einige Kollegen immer wieder Hotspots mit ihren Notebooks aufspannen. Das wäre nicht so schlimm, wenn wir mehr Bandbreite hätten. Ein Update diesbezüglich ist in absehbarer leider Zeit nicht möglich.
Als Firewall benutze ich PFSense kann ich dort ggf. etwas drehen? Z.b. "Block Bogon Networks" da Tethering ja mit NAT und dabei auch IP-Adressen aus privaten Netzen benutzt?? Oder mache ich hier einen Denkfehler? Zudem plane ich den Einsatz des Radius Server "Userman" auf unserem Mikrotik Router. Kann ich dort vielleicht was sperren? Ausser die Bandbreite bei den Kollegen zu verringern ist mir (noch) nichts eingefallen.
Wäre über jeden Tipp, technischer Art, dankbar!
Danke und Gruss
Kartoffelesser
zuerst meine grundsätzlichen Fragen:
kann man Tethering bzw. mobiler Hotspot (nicht via UMTS o.ä.) grundsätzlich in einem LAN verhindern? Ich habe was von "Next Generation Firewall" bzw. "Deep Packet Inspektion" gelesen geht es auch einfacher? Eventuell verstösst die Packetanalyse auch gegen den Datenschutz? Können die ISPs Tethering überhaupt verhindern?
Der Hintergrund ist, dass einige Kollegen immer wieder Hotspots mit ihren Notebooks aufspannen. Das wäre nicht so schlimm, wenn wir mehr Bandbreite hätten. Ein Update diesbezüglich ist in absehbarer leider Zeit nicht möglich.
Als Firewall benutze ich PFSense kann ich dort ggf. etwas drehen? Z.b. "Block Bogon Networks" da Tethering ja mit NAT und dabei auch IP-Adressen aus privaten Netzen benutzt?? Oder mache ich hier einen Denkfehler? Zudem plane ich den Einsatz des Radius Server "Userman" auf unserem Mikrotik Router. Kann ich dort vielleicht was sperren? Ausser die Bandbreite bei den Kollegen zu verringern ist mir (noch) nichts eingefallen.
Wäre über jeden Tipp, technischer Art, dankbar!
Danke und Gruss
Kartoffelesser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 333406
Url: https://administrator.de/contentid/333406
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
15 Kommentare
Neuester Kommentar
Ein einfacher und effektiver Weg ist:
Lasse aus der Firewall Richtung LAN-Clients alle Pakete mit einer TTL von 1 herausfallen.
Ob und wie das mit pfSense-Bordmitteln machbar ist kann ich nicht sagen, es ist jedoch mit regulären iptables-Regeln machbar und evtl. kennt sich hier jemand besser mit diesem System aus und hat einen Tipp wie man das umsetzen kann.
Das Reduzieren der TTL auf 1 führt dazu, dass diese Pakete nicht mehr durch ein Tethering weitergeroutet werden können und sollte technisch nur mäßig versierte Nutzer sehr zuverlässig an ihrem Ansinnen hindern.
Damit kannst du dir aber natürlich auch sehr gut selbst in den Fuß schießen, da diese Pakete generell keinen weiteren, nachgelagerten Router mehr "überleben".
Du solltest also - wenn du dich für diese Vorgehensweise entscheiden solltest - diese Maßnahme auf eng definierte Bereiche beschränken wie z.B. den DHCP-Pool für euer Client-Netzwerk.
Lasse aus der Firewall Richtung LAN-Clients alle Pakete mit einer TTL von 1 herausfallen.
Ob und wie das mit pfSense-Bordmitteln machbar ist kann ich nicht sagen, es ist jedoch mit regulären iptables-Regeln machbar und evtl. kennt sich hier jemand besser mit diesem System aus und hat einen Tipp wie man das umsetzen kann.
Das Reduzieren der TTL auf 1 führt dazu, dass diese Pakete nicht mehr durch ein Tethering weitergeroutet werden können und sollte technisch nur mäßig versierte Nutzer sehr zuverlässig an ihrem Ansinnen hindern.
Damit kannst du dir aber natürlich auch sehr gut selbst in den Fuß schießen, da diese Pakete generell keinen weiteren, nachgelagerten Router mehr "überleben".
Du solltest also - wenn du dich für diese Vorgehensweise entscheiden solltest - diese Maßnahme auf eng definierte Bereiche beschränken wie z.B. den DHCP-Pool für euer Client-Netzwerk.
Hallo zusammen,
das benutzen bestimmter Programme zu unter binden, ist das ganz etwas anderes als wenn man im unternehmen den
WireShark anwirft um mal zu schauen wer denn da so was treibt.
HotSpot!? Lassen die dann alle im Raum mit Ihren eigenen Smartphones surfen oder was machen die dann dort?
erledigen können und spannen deshalb Ihren eigenen HotSpot via UMTS auf!?
einfach für jedes Gerät den Benutzer anlegen und das mit MAC und statischer IP Adresse und fertig ist die Sache. (Erster Teil)
nicht!
WLAN verbinden soll bzw. kann. (Zweiter Teil)
ein neues WLAN Netzwerk erstellen dann sollte da nicht mehr zu machen sein. Denn dazu muss man dann Admin Rechte haben!
Tethering lässt sich aber auch über USB und Bluetooth eirichten, also sollte das auch via GPOs kontrolliert oder unterbunden werden.
Ist natürlich alles "Mumpitz" wenn das Außendienstmitarbeiter sind die auch woanders vor Ort ein WLAN benutzen müssen.
Gruß
Dobby
Ich habe was von "Next Generation Firewall" bzw. "Deep Packet Inspektion" gelesen geht es auch einfacher?
Eine NG (NextGeneration) Firewall will aber auch richtig bedient und konfiguriert werden und kostet in der Regel "richtig Geld"!Eventuell verstösst die Packetanalyse auch gegen den Datenschutz?
Wenn man in einem Unternehmen Administrator ist, und dort sicherlich auch Anweisungen verschiedener Art erhält, wie zumdas benutzen bestimmter Programme zu unter binden, ist das ganz etwas anderes als wenn man im unternehmen den
WireShark anwirft um mal zu schauen wer denn da so was treibt.
Können die ISPs Tethering überhaupt verhindern?
Bist Du bzw. seit Ihr ein ISP oder eine Firma?Der Hintergrund ist, dass einige Kollegen immer wieder Hotspots mit ihren Notebooks aufspannen.
Im Betrieb oder auswärts also außerhalb des Unternehmens? Und was machen die dann mit diesem "illegalen" bzw. unerwünschtenHotSpot!? Lassen die dann alle im Raum mit Ihren eigenen Smartphones surfen oder was machen die dann dort?
Das wäre nicht so schlimm, wenn wir mehr Bandbreite hätten. Ein Update diesbezüglich ist in absehbarer leider Zeit nicht möglich.
Was spricht gegen eine schriftliche Anweisung die von allen unterschrieben wird? Oder machen die das damit sie Ihre Arbeit schnellererledigen können und spannen deshalb Ihren eigenen HotSpot via UMTS auf!?
Als Firewall benutze ich PFSense kann ich dort ggf. etwas drehen?
Man könnte einen Proxy wie Squid und SquidGuard dazu benutzen und zwar mit einer Benutzeranmeldung am Proxy und danneinfach für jedes Gerät den Benutzer anlegen und das mit MAC und statischer IP Adresse und fertig ist die Sache. (Erster Teil)
Z.b. "Block Bogon Networks" da Tethering ja mit NAT und dabei auch IP-Adressen aus privaten Netzen benutzt?? Oder mache
ich hier einen Denkfehler?
Nein das ist schon richtig, nur wenn man dann nur das Laptop sieht ist das auch wieder Müll, denn die anderen Geräte sieht man jaich hier einen Denkfehler?
nicht!
Zudem plane ich den Einsatz des Radius Server "Userman" auf unserem Mikrotik Router. Kann ich dort vielleicht was sperren?
Ausser die Bandbreite bei den Kollegen zu verringern ist mir (noch) nichts eingefallen.
Wenn Du nun noch die MikroTik WLAN APs dazu hast könnte man bei denen hinterlegen dass sich kein anderes Gerät mit demAusser die Bandbreite bei den Kollegen zu verringern ist mir (noch) nichts eingefallen.
WLAN verbinden soll bzw. kann. (Zweiter Teil)
Wäre über jeden Tipp, technischer Art, dankbar!
Kombiniert wird es eventuell etwas, denn wenn man nun noch mittels AD / DC und GPOs dafür sorgt dass die Benutzer (Keine Admins)ein neues WLAN Netzwerk erstellen dann sollte da nicht mehr zu machen sein. Denn dazu muss man dann Admin Rechte haben!
Tethering lässt sich aber auch über USB und Bluetooth eirichten, also sollte das auch via GPOs kontrolliert oder unterbunden werden.
Ist natürlich alles "Mumpitz" wenn das Außendienstmitarbeiter sind die auch woanders vor Ort ein WLAN benutzen müssen.
Gruß
Dobby
Zitat von @kartoffelesser:
>
kann man Tethering bzw. mobiler Hotspot (nicht via UMTS o.ä.) grundsätzlich in einem LAN verhindern?
>
kann man Tethering bzw. mobiler Hotspot (nicht via UMTS o.ä.) grundsätzlich in einem LAN verhindern?
Moin,
geht Durch konsequentes Anwenden folgender Punkte:
- 802.11X nutzen.
- Benutzerrechte auf den Clients nur soweit nötig einräumen. Berechtigungen am Netzwerk rumzufummeln ganz abdrehen.
- Cat9 nutzen
- ggf. mit dem Meinungsverstärker nachhelfen.
lks
PS: Ein Freibrief von der GL für die obengenannten Maßnahmen wäre natürlich auch angebracht.
PPS: Du kannst natürlich auch einfach ein paar raspberries in den Räumen als Sensoren verteilen, die bei auftauchen von unautorisierten Hotspots Alarm geben, so daß Du sofort mit Cat9 oder Kloppe den Leuten ins Genick hauen kannst.
kann man Tethering bzw. mobiler Hotspot (nicht via UMTS o.ä.) grundsätzlich in einem LAN verhindern?
Ja das kann man ! Oben hast du dazu ja die klassischen Tips schon gelesen. Soviel Aufwand wie mit Deep Inspection usw. muss man gar nicht machen.Zu 90% unterbindest du das schon mit 802.1x Port Security und mit DHCP Snooping.
Simple Standard features von Switches heutzutage.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
Damit hast du quasi mit Brodmitteln und minimalem Aufwand alles wasserdicht gemacht.
Hallo nochmal,
nachträgliche Anmerkung von mir dazu, wenn man schon eine Radiusanmeldung dazu benutzt dann bitte auch Switche die eine
Multi-Auth. Anmeldung unterstützen, denn sonst wird nur das erste Gerät (Notebook) authetifiziert und die nachfolgenden Geräte
einfach mit versorgt und weil es ja ein mobiler Router (HotSpot) ist der eventuell NAT macht kann man hinter diesem NAT dann
auch gar nicht den DHCP finden den er benutzt um seine Klienten zu versorgen.
Gruß
Dobby
nachträgliche Anmerkung von mir dazu, wenn man schon eine Radiusanmeldung dazu benutzt dann bitte auch Switche die eine
Multi-Auth. Anmeldung unterstützen, denn sonst wird nur das erste Gerät (Notebook) authetifiziert und die nachfolgenden Geräte
einfach mit versorgt und weil es ja ein mobiler Router (HotSpot) ist der eventuell NAT macht kann man hinter diesem NAT dann
auch gar nicht den DHCP finden den er benutzt um seine Klienten zu versorgen.
Gruß
Dobby
Wenn ich das richtig verstehe ist das Problem, dass die Nutzer an einem Notebook (per LAN-Kabel verbunden) per WLAN anderen Geräten per Tethering das Netzwerk routen.
Da hilft dir nichts, was den Client wie auch immer authentifiziert - denn der Client ist ja authentifiziert.
Das Problem ist, dass das Notebook selbst NAT und DHCP auf dem eigenen WLAN-AP betreibt und keine transparente Bridge bereitstellt.
Die Pakete werden vom Notebook mit NAT geroutet und du hast auf dem Switchport keine Chance den Traffic zu unterscheiden.
Deshalb ja mein Tipp mit der Reduzierung der TTL, damit dieses Routing durch das Notebook nicht mehr funktioniert.
Da hilft dir nichts, was den Client wie auch immer authentifiziert - denn der Client ist ja authentifiziert.
Das Problem ist, dass das Notebook selbst NAT und DHCP auf dem eigenen WLAN-AP betreibt und keine transparente Bridge bereitstellt.
Die Pakete werden vom Notebook mit NAT geroutet und du hast auf dem Switchport keine Chance den Traffic zu unterscheiden.
Deshalb ja mein Tipp mit der Reduzierung der TTL, damit dieses Routing durch das Notebook nicht mehr funktioniert.
Wenn ich das richtig verstehe ist das Problem, dass die Nutzer an einem Notebook (per LAN-Kabel verbunden) per WLAN anderen
Geräten per Tethering das Netzwerk routen.
Ich dachte das wie folgt;Geräten per Tethering das Netzwerk routen.
Internet --- Firewall --- LAN Switche --- Laptop --- eigener mobiler WLAN HotSpot mit NAT --- WLAN Geräte der Kollegen für Youtube und etc......
Mobiler HotSpot Router
Da hilft dir nichts, was den Client wie auch immer authentifiziert - denn der Client ist ja authentifiziert.
Man sieht nur das Laptop im LAN! Und die WLAN Verbbindung zu, mobilen Router (Link) an das dann alle anderen Gerätegekoppelt (verbunden) werden! Und wenn dort der Router NAT macht, sieht man die ganzen Geräte nicht!
Das Problem ist, dass das Notebook selbst NAT und DHCP auf dem eigenen WLAN-AP betreibt und keine transparente Bridge
bereitstellt.
"Internetverbindung freigeben" aktivieren und dann alle anderen hinter dem WLAN HotSpot Router anbinden, dann sieht manbereitstellt.
nichts außer dem Laptop! Aber mittels meiner Mehrfach-Radius Auth. kann man das unterbinden.
Die Pakete werden vom Notebook mit NAT geroutet und du hast auf dem Switchport keine Chance den Traffic zu unterscheiden.
Wo hat denn ein Benutzer (Rechte) die Möglichkeit am Firmennotebook NAT, DHCP und Routing zu aktivieren!? Dann hat erAdminrechte und da stimmt etwas ganz anderes nicht!
Deshalb ja mein Tipp mit der Reduzierung der TTL, damit dieses Routing durch das Notebook nicht mehr funktioniert.
Die Mehrfachanmeldung (Auth.) pro Switchport nimm sich auch dieser Sache an. Man kann dann nicht mehr nur dasNotebook anmelden und authentifizieren und dann noch andere Geräte dahinter mit surfen lassen!
Gruß
Dobby
Da hilft dir nichts, was den Client wie auch immer authentifiziert - denn der Client ist ja authentifiziert.
Das ist natürlich richtig wenn es KEIN privates Notebook etc. ist..1x hilft dann nur wenn es ein offizielles ist das man via Gruppenrichtlininen das Freigeben verbietet sofern es Winblows ist.
Bei Mac OS oder Linux wirds etwas kniffliger.
Da ist der Tip mit der TTL Reduzierung natürlich pfiffiger, keine Frage.
nutzen die lieben Kollegen ihre privaten Notebooks
Das war doch das Stichwort. Dann kannst du ganz einfach 802.1x nutzen auf deinem Switch und diese privaten Notebooks ganz einfach aussperren.Du lässt dann nur Hardware der Schule zu und fertig ist der Lack. Das ist schnell eingerichtet wenn du einigermaßen aktuelle Switch Hardware hast. Siehe Tutorial oben !
Wäre das eventuell die Lösung? Wahrscheinlich nicht, da wie LordGurke geschrieben hat, auf den Notebooks NAT getrieben wird??
Wäre auch denkbar. Lies mal was du selber schreibst...es geht um die Mac Adresse und nicht die IP.Du könntest in der tat den DHCP Server so einstellen das ausschliesslich von dir registrierte Mac Adressen dann im Netzwerk IP Adressen bekommen und andere nicht.
Wenn aber einer der Kollegen nur ein klein wenig Fachwissen hat stellt er sich eine statische IP Adresse aus dem Schulnetz ein am Rechner und hat das dann ausgehebelt.
Kommt drauf an wie Technik affin die Kollegen sind.
802.1x Port Security mit Mac Adressen ist da weitaus sicherer, denn dann wird der komplette Port geblockt, egal welche IP.
Klar kann man auch Mac Adressen faken aber das erfordert schon wirkliches Fachwissen und einen erhöhten Aufwand vor dem 98% der Kollegen sicher scheitern.
.1x Port Security wäre dann also der Königsweg für dich.
Zitat von @kartoffelesser:
Danke aqui! und @ alle,
das problematische an der Geschichte ist, dass die Kollegen ihre privaten Notebooks benutzen und auf Wunsch der Schulleitung dies auch sollen. Die Stadt als Schulträger ist quasi pleite und hat die Schulen "gebeten" den Einsatz von privaten Geräten zu "fördern"
Danke aqui! und @ alle,
das problematische an der Geschichte ist, dass die Kollegen ihre privaten Notebooks benutzen und auf Wunsch der Schulleitung dies auch sollen. Die Stadt als Schulträger ist quasi pleite und hat die Schulen "gebeten" den Einsatz von privaten Geräten zu "fördern"
Divarmer Tropf kann ich da nur sagen. Da würde ch dann einfach traffc-shaping anwerfen und die maximale Bandbreite pro user auf 1% der Leitungskazität begrenzen, wenn die leiteces übertreiben.
lks