MAC filtering



  • Hallo,

    wir möchten bei uns an der Schule einen MAC Filter in pfsense implementieren, da wir gesehen haben, dass viel zu viele Schülergeräte im Netzwerk trotz ausgetauschtem PW sind. Was ist jetzt die beste Vorgehensweise, wenn es nur darum geht schuleigenen Geräte zuzulassen? Über ein Captive Portal oder die Einstellung im DHCP Server bzgl. MAC Adressen zulassen? Es sieht mir nämlich danach aus, dass Ersterer viel mehr Arbeit bedeuten würde wenn man bedenkt, dass wir annähernd 100 Geräte hinterlegen müssen.



  • Servus,
    verbinden sich die Geräte per WLAN?



  • Größtenteils. Es gibt ein paar die per Kabel angeschlossen sind. Wir haben aber auch unterschiedliche APs von denen wir nicht alle selbst kontrollieren. Deswegen das Vorhaben es in pfsense zu lösen.



  • Also DHCP könnt Ihr vergessen. Damit hält man gerade noch schlechte Hauptschüler aus Netzen fern. Was mich stutzig macht: warum willst Du was mit CP (und Login) machen, verweist aber gleichzeitig darauf, dass Euer WPA-Key trotz Änderung im Umlauf ist. Was hindert die Schüler, den CP-Login weiterzugeben?

    Dein Anliegen ist mir noch nicht ganz klar: willst Du jetzt Rechner aus dem Netzwerk fernhalten oder willst Du den Zugriff auf Ressourcen wie z.B. das Interner ÜBER dieses Netz nur für bestimmte Geräte zulassen?

    Ich würde direkt am AP den Zugriff regeln.



  • Das waren jetzt die zwei Wege die ich recherchiert hatte um einen MAC Filter in pfsense zu implementieren. Wenn du eine Alternative hast, dann würde mich dies interessieren. Ein Hinterlegen direkt in den APs ist nicht möglich, da wir nicht alle APs selbst managen, das macht zum Teil bei uns der Kreis.

    Was wir haben möchten ist eine Lösung, die nur den von uns hinterlegten Geräten mit den passenden MAC Adressen den Zugang zum Internet/Lan ermöglicht. Und das ohne Login, nur über die MAC Adresse.





  • Ok, und warum ist die Lösung über DHCP eine schlechte Wahl?



  • Weil User sich einfach eine IP aus dem Subnetz geben und ungehindert kommunizieren können. DHCP ist kein Schutz. Verbindung mit dem AP herstellen, Wireshark an und ich hab in fünf Sekunden raus wo der Router ist.



  • This post is deleted!


  • Nimm captiv portal!
    Alles andere bringt dir nur mehr Kopfweh in der Wartung und im laufenden Betrieb



  • Wenn es verwaltete Geräte sind, Raidus und 802.1x, Zertifikat muss von der Domain xy.z ausgestellt sein und gültig sein, dann Internet.

    Habe auch erste heute eine SSID ausgerollt die nur für Schüler gedacht ist und auch nur auf ein paar APs ausgestrahlt wird.
    Da wird 802.1x noch für kommen, aber aus Zeitgründen bekommen die erst mal eine mit PSK.

    Aber die überrennen echt jeden Scope, haben jetzt einen /20 für diese G... zum spielen, hoffe der reicht bis wir auf reine Schuldevice beschränken können.



  • Schulnetzwerke der Alptraum der Admins ;)



  • Na so schlimm ist es nicht, die brauchen nur Internet.

    Aber interessant wird es doch erst, wenn du Mandanten hart trennst die dann aber in Koop gehen und du dann überlegst, wie du jetzt ohne Lücken auf zu reißen an deinem Sicherheitskonzept Usergerecht vorbei kommst.


  • LAYER 8 Moderator

    Alles was mit MACs läuft, könnt ihr im Normalfall vergessen. SuS sind nicht auf den Kopf gefallen, Youtube Videos zur Umgehung von Sperren sind Gang und Gäbe. Und MAC Changes haben wir vor 20 Jahren schon anner Uni gemacht weil die Nasen damals auch dachten "ja hey tolle Idee einfach die Geräte per MAC zu blocken". Einmal Wireshark an wenn das Dozenten Laptop dran hängt oder irgendein anderes valides Gerät -> Profit

    Einzig sinnvoll wäre für mich da der Weg via CP und Logins.

    Was hindert die Schüler, den CP-Login weiterzugeben?

    Nichts, bringt aber nichts. Du kannst IMHO auch im CP oder zumindest im Zusammenspiel mit Radius dann spätestens hinterlegen, dass ein Login nur für eine Nase gültig ist. Und wenn du personalized Logins hast ist die Hemmschwelle viel größer mal eben den "Kevin" User an den Kumpel zu geben, der Scheiße baut und mein Kopf dann dran ist. Das und die Limitierung auf 1-2 Geräte und schon ist Ruhe. Denn wenn sie sich gegenseitig rauskicken weil sie ihre Logins sharen, merken sie das auf die harte Nummer. Aber wie gesagt person. Logins erhöht einfach drastisch das Spiel und keiner will dann für den Mist des anderen Büßen müssen. Ist sich ja jeder selbst der nächste.



  • @JeGr Das sehe ich ähnlich wie du, nur muss man im Schulkontext auch bedenken, dass die Administration dieser Benutzer auch von irgendjemandem übernommen und gemacht werden muss. Und zum Anderen, sollten sie sich das PW und die MACs sniffen und dadurch reinkommen machen sie sich strafbar, denn sie haben keine Erlaubnis, wenn nicht dass sie mindestens gegen die Schulordnung verstoßen. Und in der Abwägung dieser Punkte ist dann eine solche Lösung schon vertretbar.



  • Ja dann werte mal schön GBs an Logs aus um eine Spoofed MAC auf ein Device auf einen Schüler zurück zu verflogen.

    Wenn du schon keinen gescheiten Admin hast, wer soll dann bitte IT Forensik machen?

    Wo kein Kläger da ist auch kein Richter und für den Kläger braucht es erstmal jemanden er es überhaupt mit bekommt und daran wird es hier garantiert scheitern.

    Zudem es auch gar nicht so einfach ist in den Logs zu suche, wenn du es mit dem Recht so genau nimmst, denn da bist du ganz schnell bei Personenbezogenen Daten, bei denen das sammeln schon teilweise eine Grauzone ist, von Auswerten dann ganz zu schweigen.



  • @dual_brot

    Das ist mit Verlaub
    Vollkommenheit des Schwachsinns

    Rechtlich ist da nix nix nix haltbar
    und wenn du jem mit der Schulordnug drohst viel Spaß das ordentlich a) zu beweisen &
    b) ordentlich darzulegen das ein konform es sicherheitskonzept {pwd Änderung etc} zumutbar anwendbar ist

    Wenn du 1x mit Anwälten über sowas gesprochen hast nimmst die Anregungen der ITler mit handkuss

    Ceterum Censeo
    Mac filter sucks since 1996


  • LAYER 8 Moderator

    Die anderen beiden Kollegen sagen ja schon - ist nicht haltbar. Strafbar schon gar nicht, denn da gehts wieder in den Kontext von wegen "Umgehung von Sicherheitsmaßnahmen die technisch sinnvoll sind". Ist nicht der genaue Wortlaut aber der Punkt war schon mehrfach bei solchen Diskussionen ausschlaggebend. MAC Adressen filtern ist wie bspw ein DNS Block keine hinreichende Sicherheitsmaßnahme und die Umgehung so einfach dass sich daraus kaum ein Straftatbestand ableiten lässt. Zudem korrekt darauf hingewiesen wurde, dass man erst einmal

    a) rausfinden muss, dass(!) und wer überhaupt gespooft hat
    b) warum das problematisch ist
    c) das auf nen Schüler rückführen

    Wenn Administration von einem CP und simples Userhandling schon ein Problem sind, kann ich nicht erkennen wie das funktioniert. Das ist dann wieder Security through Obscurity und in ein paar Wochen so einfach ausgehebelt, dass spätestens dann doch über andere Möglichkeiten nachgedacht wird. Dann sollte man es gleich ordentlich machen :)

    Dass es generell mies ist, dass hier Tätigkeit ausgelagert wird an LuL und Personal in der Schule, was eigentlich Firmen machen sollten und es eine ordentliche Lösung vom Land aus geben sollte ist eigentlich das größere Thema und das ärgert mich immens. :/


Log in to reply