Beiträge

Fehlerseite bei zufälligen MAC-Adressen mit ClearPass anzeigen

In einem vorherigen Beitrag haben wir die Auswirkung zufälliger MAC-Adressen im Netz (MAC-Address Randomization) beschrieben. In diesem Artikel zeigen wir, wie Nutzern bei zufälligen MAC-Adressen mit ClearPass eine Fehlerseite angezeigt werden kann. Dabei werden ein Aruba-WLAN mit Controller und Aruba ClearPass eingesetzt. Bitte beachten Sie, dass zufällige MAC-Adressen durchaus sinnvoll sind und in vielen Fällen nicht verboten werden müssen. Ein Beispiel, bei dem es nötig ist, zufällige MAC-Adressen zu verbieten, sind Abfragen von ClearPass bei MDM-Systemen.

Erkennen von zufälligen MAC-Adressen

Auch wenn das zunächst verwunderlich klingt, folgen zufällige MAC-Adressen einem gewissen Schema. Sie haben an der zweiten Stelle die Ziffer 2 oder 6, oder den Buchstaben A oder E. Damit ist es möglich, eine zufällige MAC-Adresse eindeutig zu erkennen. Auf dieser Grundlage können wir das ClearPass Role Mapping nutzen, um einen Benutzer mit zufälliger MAC Adresse zu kennzeichnen. Die folgende Abbildung zeigt den ClearPass Regeleditor und eine Regel, die hierzu einen regulären Ausdruck einsetzt.

Alle Geräte, die sich jetzt mit einer zufälligen MAC-Adresse anmelden, bekommen die Rolle ING_Random_MAC zugewiesen. Das ist die erste Voraussetzung dafür, dass wir eine Fehlerseite anzeigen können.

Fehlerseite im ClearPass konfigurieren

Als Nächstes müssen Sie eine Fehlerseite im ClearPass anlegen. Dazu kann im Gast-Modul von ClearPass eine bereits existierende Seite kopiert und angepasst werden.

Hier ist ein Beispiel wie die Fehlerseite aussehen kann:

Passende Rolle im Controller anlegen

Damit Benutzer auf die Fehlerseite umgeleitet werden, müssen Sie im Controller eine neue Rolle anlegen. Als Policies müssen hier logon-control und captiveportal hinzugefügt werden.

Unter Captive Portal müssen die URL des ClearPass Servers und die entsprechende Fehlerseite angegeben werden. Auch ein Authentifizierung-Server muss angegeben werden. Da hier keine Anmeldung stattfindet, kann der interne Server angegeben werden.

Ein Benutzer, der die Rolle ing-random-mac zugewiesen bekommt, darf per DHCP eine IP-Adresse bekommen, DNS Anfragen stellen und wird beim Aufruf einer http Seite auf die entsprechende Fehlerseite umgeleitet.

ClearPass Enforcement Profile und Enforcement Policies anlegen

Damit Clearpass einem User die Rolle ing-random-mac zuweist, müssen Sie zunächst ein Enforcement Profile dafür anlegen:

Diese Rolle kann dann in einer Policy zugewiesen werden:

Damit können Sie einem User mit ClearPass eine Fehlerseite anzeigen, falls diese versuchen, sich mit zufälligen MAC-Adressen im WLAN anzumelden.

Mac Address Randomization

Zufällige MAC-Adressen (aka MAC-Address Randomization)

Um den Datenschutz bei Mobilgeräten zu erhöhen, haben die großen Software Hersteller Apple, Google und Microsoft in ihren neuen Software Releases ein neues Feature eingeführt: Zufällige MAC-Adressen (engl. MAC-Address Randomization). Wozu dieses Feature da ist und was das für ein Unternehmens-WLAN bedeutet, zeigt dieser Artikel.

Wozu dienen zufällige MAC-Adressen?

Um zu verstehen, warum MAC-Address Randomization ein nützliches Feature ist, ist es wichtig zu wissen, was eine MAC-Adresse eigentlich ist. So wie eine IP-Adresse auf Layer 3 ermöglicht die MAC-Adresse eine eindeutige Identifizierung in einem Layer 2 Netz. MAC steht dabei für Media Access Control. Diese nutzt man also dafür, den Zugriff auf das physikalische Medium zu koordinieren. Mit einer MAC-Adresse können wir ein Gerät identifizieren und Frames (Dateneinheiten auf L2) an das Gerät senden. Umgekehrt sendet das Gerät bei allen Frames seine MAC-Adresse mit, damit der Empfänger weiß, wem er antworten soll.

Eine MAC-Adresse ist also ein essenzieller Teil der Kommunikation auf Layer 2. Ein Client sendet sie immer mit und selbst wenn im WLAN WPA2/3 mit Verschlüsselung eingesetzt wird, ist die MAC-Adresse selbst immer unverschlüsselt. Denn nur so kann ein Empfänger ermitteln, ob ein Paket für ihn bestimmt ist und macht sich die Arbeit, es zu entschlüsseln.

Wenn die MAC-Adresse so wichtig ist, warum sollte man dann eine zufällige Adresse nehmen und was hat das mit Datenschutz zu tun? Wie im vorigen Absatz erwähnt, wird die MAC-Adresse im Frame immer unverschlüsselt gesendet. Das ist gerade im WLAN ein Problem, weil jeder mithören kann. Es ist also möglich festzustellen, wer mit einem WLAN verbunden ist und damit auch, wer sich in der Nähe aufhält.

Und es wird noch problematischer. Um festzustellen, welche WLANs in der Reichweite eines Gerätes sind, sendet jeder WLAN-Client sogenannte Probe-Requests. Damit fordert der Client alle Access Points in der Nähe auf, ihm Informationen über die SSIDs die sie ausstrahlen, zu senden. In diesen Probe-Requests steht ebenfalls die MAC-Adresse des Clients als Absender. Damit ist es möglich, die Position eines WLAN Clients zu verfolgen, ohne dass er mit einem WLAN verbunden ist.

Diese Techniken werden in kommerziellen Lösungen zur Verfolgung von Endgeräten tatsächlich eingesetzt. Ein möglicher Anwendungsfall ist die Analyse von Besuchern von Shoppingcentern. Dabei werden Besucherströme analysiert oder wiederkehrende Besucher identifiziert.

Um diese Analysen zu erschweren, können Sie zufällige MAC Adressen verwenden.

Wie funktionieren zufällige MAC-Adressen?

Da die MAC-Adresse ein so wichtiges Merkmal in der Kommunikation ist, muss es eine gewisse Regelmäßigkeit geben. Sucht Ihr Endgerät nach vorhandenen WLANs mit einem Probe-Request, verwendet es bei den Betriebssystemen Android ab Version 6 und Apple iOS 9 immer eine neue zufällige MAC-Adresse. Das bedeutet, dass eine Lokalisierung erschwert wird, da die MAC-Adresse häufig wechselt.

Wenn man sich jedoch mit einem WLAN verbindet, wurde bisher immer die physikalische MAC Adresse verwendet. Es war also immer noch möglich, ein Gerät zu verfolgen, wenn es sich mit verschiedenen WLANs verbindet. Das hat sich mit iOS 14 und Android 10 geändert. Hier generiert der Client für jede WLAN-SSID mit der er sich verbindet, eine neue zufällige MAC-Adresse. Die MAC-Adresse ist also unterschiedlich für jedes WLAN und ein Gerät kann so nicht über verschiedene WLANs verfolgt werden.

Dabei folgen die zufälligen MAC-Adressen einem gewissen Schema. Wenn wir uns die MAC-Adresse 92:B1:C8:52:D3:84 ansehen, kann man feststellen, dass dies eine zufällige MAC-Adresse ist. Die generierten MAC-Adressen haben an der zweiten Stelle immer die Zahl 2 oder 6, oder den Buchstaben A oder E. Der Rest der MAC Adresse ist dann tatsächlich zufällig.

Verbindet sich ein Client mit einem WLAN, generiert er eine neue zufällige MAC-Adresse. Diese MAC-Adresse bleibt dann für alle zukünftigen Verbindungen mit diesem WLAN bestehen. Das kann man umgehen, indem man das WLAN “vergisst” und sich neu verbindet. Dann generiert er eine neue MAC-Adresse.

In Android 11 und Windows 10 ist es außerdem möglich, dass das System die MAC-Adresse alle 24 Stunden neu generiert. Diese Option ist normalerweise deaktiviert.

Was bedeutet das für ein Unternehmens-WLAN?

Eine gute Nachricht vorweg: Für ein 802.1X gesichertes WLAN ist die MAC-Address Randomization nicht relevant. Hier prüft der Accesspoint keine MAC-Adresse, sondern diese dient nur der Kommunikation von Client und AP.

Verwenden Sie die MAC-Adresse zur Authentifizierung, zum Beispiel in einem WPA2/3-PSK WLAN kann etwas Arbeit auf den Administrator zukommen. Zwar soll zum Beispiel iOS nach dem Update auf iOS 14 alle bis dahin bekannten Netzwerke mit der physikalischen MAC-Adresse ansprechen, jedoch verändert sich diese, sobald der Benutzer das Netzwerk löscht und neu anlegt. Sobald das geschehen ist, muss der Administrator die Liste der erlaubten MAC-Adressen anpassen. Hier ist es besser, auf eine Anmeldung mit 802.1X zu setzen, sofern die Geräte das unterstützen.

Probleme kann es geben, wenn bei der Anmeldung weitere externe Dienste angefragt werden. Ein typisches Beispiel ist ein ClearPass Server der bei der Anmeldung von mobilen Endgeräten ein MDM-System anfragt. Denn die Zuordnung von Anmeldeversuch und Gerät im MDM geschieht meist über die MAC-Adresse. In diesem Fall wäre für alle Endgeräte eine Anmeldung nicht möglich, da eine Abfrage vom MDM keine Ergebnisse liefern kann. In diesem Artikel ist eine Anleitung zu finden, wie man Benutzern mit einer zufälligen MAC Adresse eine Fehlerseite anzeigt.