WLAN-Geräte mittels IP und/oder Mac-Adresse identifizieren?

Kauft ein Ticket-System. Das kostet nicht die Welt und so hast du komplette Übersicht, wer wie lang online sein darf.
 
BFF schrieb:
Das was Du angezeigt haben willst, sind Informationen die ihr selbst nicht hinterlegt bzw. das Geraet nicht hat oder hergibt.

Euch hilft nur eine Liste mit erlaubten MAC gegenzupruefen mit der Echtzeitliste wenn das Aendern des Passwortes nicht geht.
Schade. Dann muss ich das zeitaufwendig durch Beobachtung des Netzwerks ausklamüsern.

Vielen Dank an alle Antworter.


chrigu schrieb:
Kauft ein Ticket-System. Das kostet nicht die Welt und so hast du komplette Übersicht, wer wie lang online sein darf.
Ist in Arbeit, dauert aber noch, wegen bürokratischer Strukturen und Urlauben.
 
Man sollte die Lücke Finden
Für jeden Mitarbeiter eine eigene SSID mit Password
Das sollte jeder 0815 Admin zusammenbringen ... keine 0815 Wlan APs vorausgesetzt

Laptops PCs sollte nicht in dem Wlan hängen wenn die Kids darauf Zugang haben
Das Passwort ist da sofort ausgelesen
Lässt sich aber sicher auch mit Windows? Regeln Regeln...
 
Evilc22 schrieb:
Man sollte die Lücke Finden
Die Lücke war ein menschlicher Fehler. Eine unbemerkte Minute am Android-Diensthandy, schon ist das Passwort ausgelesen. Zugriff auf den Laptop haben die Kids nicht und eigentlich sind sie auch in einem anderen Netz eingeloggt.
 
BFF schrieb:
Achso. Fuer das Aendern der MAC reicht eine App.
Also bei meinem Note 10 kann ich in den Einstellungen zur SSID neben der IP auch die MAC ändern, von "Telefon MAC" auf "zufällige MAC". Es sieht so aus als ob dazu also nicht mal eine App benötigt wird und das sogar mit Bordmitteln klappt (ggfs abhängig vom Smartphone).
 
Das hätte ja zur Folge, dass das Blockieren von Geräten ohne Anlegen einer Whitelist und damit aussperren aller explizit freigegebenen Geräte überhaupt nicht effektiv möglich ist. Oder kann man Netzwerkgeräte anderweitig eindeutig identifizieren?

Bislang bin ich davon ausgegangen, dass zum Ändern der Mac-Adresse ein gerootetes Gerät nötig ist.
 
littlestupid schrieb:
Das hätte ja zur Folge, dass das Blockieren von Geräten ohne Anlegen einer Whitelist und damit aussperren aller explizit freigegebenen Geräte überhaupt nicht effektiv möglich ist.

Genau so ist es auch. MAC-Filter halten wie gesagt nur Nutzer draußen, die die Schritte zum Ändern der MAC auf ihrem Gerät nicht nachschlagen (können). Es ist das Gegenstück zum Verstecken des Haustürschlüssels unter dem Fußabtreter.

Für das Hereinlassen erwünschter Geräte muß es keine Whitelist sein – dafür ist das WLAN-Passwort gedacht.
 
  • Gefällt mir
Reaktionen: Raijin
littlestupid schrieb:
Bislang bin ich davon ausgegangen, dass zum Ändern der Mac-Adresse ein gerootetes Gerät nötig ist.
Also ich kann wie gesagt nur von meinem Note 10 ausgehen. Ich weiß auch nicht ob die "zufällige MAC" einmalig beim Aktivieren der Option, jedes Mal beim erneuten Aktivieren oder gar bei jedem Login in das WLAN generiert wird. So oder so hättest du aber schlechte Karten. Fakt ist, dass MAC-Filter in jedweder Form kein probates Mittel zur Zugangsbeschränkung oder -gewährung sind. Selbst wenn du jetzt alle bösen MACs finden und sperren würdest, tippt HansPeter DarfNicht in seinem Note dann auf "zufällige MAC" und das war's. Wenn das bei KarlOtto SollNich's Handy nicht geht, sucht er sich ne App. Findet er keine App, kriegt man heute an jeder Ecke für'n Appel und 'n Ei ein neues Handy bzw. das wird ja eh spätestens beim nächsten Vertrag getauscht.

Auch eine Whitelist hilft im übrigen wenig. Sobald man eine gültige MAC im Netzwerk identifiziert hat - und das ist ja durch den Zugang zum WLAN absolut kein Problem - kann man explizit diese MAC verwenden und deine Firewall denkt, dass es sich nicht um HandPeters Handy handelt, sondern um Frau Meiers Laptop --> Zugang gewährt. Das ist ja beispielsweise auch der Trick, den man bei ReiseRoutern nutzt, also einem kleinen Mini-WLAN-Router, den man in ein Hotspot-WLAN verbindet und die MAC des bereits angemeldeten Smartphones cloned. Deswegen ist auch ein Captive Portal bzw. Voucher-System nicht bombensicher. Es steht und fällt in erster Linie mit dem anfänglichen Zugang zum WLAN.



Das Kind ist bei euch bereits in den Brunnen gefallen und das Kind ist in diesem Fall das geleakte WLAN-Passwort. Die einzig sinnvolle Maßnahme wäre nun, das Passwort zu ändern. Natürlich bedeutet das einen gewissen Aufwand, aber was würdest du denn tun, wenn sogar Fremde Zugriff auf das WLAN hätten? Zum Beispiel die Nachbarn, die sich einen kostenfreien Internetzugang ergattert haben? Genau genommen ist das ja vielleicht sogar schon der Fall...
Es führt eigentlich kein Weg daran vorbei, das Passwort zu ändern und in diesem Zuge nochmal alle Nutzer darauf hinzuweisen, dass sie es niemandem zugänglich machen dürfen - weder mündlich, schriftlich oder durch unachtsam rumliegende WLAN-Geräte..



Um was für WLAN-Hardware handelt es sich denn? Du erwähntest schon zwei SSIDs, was auf VLAN-Unterstützung hinweist, also mindestens halbwegs ordentliche Access Points. Evtl. gibt es von diesem Hersteller ja schon ein Captive Portal, das sich einfach aktivieren lässt. Beispiel: Unifi von Ubiquiti, da muss man im Controller blöd ausgedrückt nur einen Haken setzen und schon poppt eine Login-Seite auf.
 
  • Gefällt mir
Reaktionen: littlestupid
Na herzlichen Glückwunsch. Das beeinträchtigt nicht nur MAC-Filter, o.ä, sondern auch DHCP-Server, Captive Portale und und und... Damit hebelt man im Prinzip einen Großteil des Layer2 aus, der in irgendeiner Form auf Wiedererkennung aufbaut. Schlimm genug, dass man die MAC überhaupt mit Bordmitteln ändern kann, jetzt macht sie es auch noch automatisch..................
 
  • Gefällt mir
Reaktionen: littlestupid
Wie gut, dass unsere Klienten nicht so versiert sind, die Mac-Adresse ändern zu können. Haben jetzt alle ausgesperrt und dem richtigen Netzwerk zugeordnet. Hat leider auch ein paar "falsche" Geräte erwischt, aber das lässt sich ja beheben.

Interessantes Thema jedenfalls. Ich les hier gern weiter mit, wenn ihr noch mehr Infos oder Gedanken dazu habt.
Danke an alle.
 
littlestupid schrieb:
Wie gut, dass unsere Klienten nicht so versiert sind, die Mac-Adresse ändern zu können
Wenn diese ein Apple Gerät nutzen, dann passiert der Wechsel der MAC-Adresse automatisch, ohne dass diese auch nur einen blassen Schimmer davon haben müssen.
 
Zurück
Oben