Frage:
Die Schule hat uns gebeten, unsere MAC-Adressen einzureichen
cyanide
2016-08-04 12:05:00 UTC
view on stackexchange narkive permalink

Meine Schule hat uns kürzlich gebeten, unsere MAC-Adresse zusammen mit unserem angegebenen Namen an die Schule zu senden, um eine Verbindung zum WLAN herzustellen. Bisher wurde dies nicht benötigt.

Ich möchte fragen, welche Art von Informationen sie daraus sammeln können. Würden sie in der Lage sein, unseren Browserverlauf oder mehr zu verfolgen? Was ist, wenn ich Tor Browser verwende? Würde es irgendwelche Auswirkungen haben?

Wenn sie mich verfolgen können, welche Maßnahmen kann ich ergreifen, um zu verhindern, dass sie in meine Privatsphäre eindringen?

"Welche Maßnahmen kann ich ergreifen, um zu verhindern, dass sie in meine Privatsphäre eindringen?"- Verwenden Sie das WLAN nicht für private Zwecke.
Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/43568/discussion-on-question-by-cyanide-school-asked-to-submit-our-mac-addresses).
Dies ist höchstwahrscheinlich in der Lage, Probleme von einem in den Protokollen gefundenen Gerät an einen Eigentümer zurückzuverfolgen.Es kann auch sein, dass nur bekannte Geräte angeschlossen werden dürfen, um Missbrauch zu vermeiden.
@brhans Sie müssen jedoch nicht zu solchen Extremen gehen.Sie können eine End-to-End-Verschlüsselung (WhatsApp sollte beispielsweise sicher sein) oder ein VPN verwenden, um Ihren gesamten Datenverkehr zu tunneln.
Ich verwende "MAC Filtering" in meinem Heimnetzwerk, um unerwünschten Zugriff von Außenstehenden zu verhindern.Stellen Sie es sich als weiße Liste von MAC-Adressen vor, einschließlich aller Personen, die Zugriff haben, oder als schwarze Liste, einschließlich derer, die keinen Zugriff haben.
Wenn Sie sich ein sicheres VPN leisten können (wie IVPN?), Können Sie damit Spionage verhindern.Sie können lediglich feststellen, dass Sie mit einem VPN verbunden sind.Nicht welche Websites Sie darüber besuchen.Möglicherweise müssen Sie es so konfigurieren, dass es über HTTPS läuft.Wenn Sie einen Server außerhalb der Schule haben (wie Ihren Heim-PC), können Sie SSH auch so konfigurieren, dass Port 443 und SSH-Tunnel ausgehen. Auch hier können sie AFAICT nicht ausspionieren
Haben Sie darüber nachgedacht, ihnen mitzuteilen, dass Ihr Gerät bei jedem Start zufällig eine MAC-Adresse aus dem Bereich 00: 50: 56: 00: 00: 00 bis 00: 50: 56: 3f: ff: ff: ff auswählt und Sie reservieren müssenalle von ihnen?
@EricTowers Ich werde sie fragen, wie würden die IT-Mitarbeiter die sich ständig ändernde MAC-Adresse verwalten?
@cyanide: Das würden sie nicht.Sie würden sagen "Sie dürfen dieses Gerät nicht mit unserem Netzwerk verbinden" und es nicht zulassen, dass es sich beim drahtlosen Zugangspunkt authentifiziert.
@LightnessRacesinOrbit: Beachten Sie, dass die von Ihnen beschriebene Antwort jede virtuelle VMWare-Netzwerkkarte (für die kein manueller MAC-Satz festgelegt ist) ausschneidet.(Dies wirkt sich möglicherweise nur auf ESX aus, ich habe es nicht sorgfältig geprüft.)
@EricTowers: In der Tat.Zu diesem Zeitpunkt schalten Sie die VMWare-Netzwerkkarte in den NAT- oder Nur-Host-Modus.
@LightnessRacesinOrbit: ... und unterbrechen Sie die IPv6-Konnektivität zur VM.(Es sei denn, Sie nehmen an, dass Sie eine zusätzliche 6/4-Tunneling-VM damit ausführen möchten. Whee ...)
@EricTowers: Nichts davon scheint jedoch für die Durchführung von Schularbeiten relevant zu sein, es sei denn, das Einrichten einer VM mit einem solchen Datenverkehr ist Teil Ihrer Schularbeiten. In diesem Fall würden die entsprechenden Einrichtungen explizit für diese Schularbeiten bereitgestellt.
@LightnessRacesinOrbit: Es sei denn, Ihr Gerät ist bereits VMed-fähig, um persönliche Informationen von Arbeitgeberinformationen zu partitionieren, vertrauenswürdige Informationen von nicht vertrauenswürdigen Informationen zu partitionieren oder für andere Anwendungsfälle.
@EricTowers: Mit ziemlicher Sicherheit schreibt die Netzwerkrichtlinie vor, dass das Schulnetzwerk nur aus schulischen Gründen verwendet wird (da dies die Nutzung ist, für die das Netzwerk bereitgestellt wird, Zeitraum).Wenn dies nicht der Fall ist, können Sie möglicherweise mit Ihren Netzwerkadministratoren darüber sprechen, wie Sie etwas einrichten können, um Ihr persönliches Setup zu unterstützen.
Datenschutz Schmivacy.Bequemlichkeit, Sicherheit, Schutz. TEILNAHME - Wenn alle Schüler über ein Gerät verfügen [jedes mit einer eindeutigen MAC-Adresse für WLAN und Bluetooth] und jedes Klassenzimmer über einen AP mit einer Sendeleistung verfügt, die nicht in nahegelegene Klassenzimmer übergeht, muss der Lehrer dies nicht tunZeitverschwendung bei der Teilnahme.Wenn ein Schüler seinen letzten bekannten Ort als Hinweis für Videomaterial „verloren“ hat, kann er außerdem helfen, ihn zu „finden“. Nichts hindert einen Schüler jedoch daran, WLAN [Bluetooth nicht vergessen] auszuschalten und LTE-Mobilfunk zum Herunterladen / Hochladen von Daten zu verwenden, um von einem Raster auf ein anderes zu springen.
Neun antworten:
Darragh
2016-08-04 13:38:41 UTC
view on stackexchange narkive permalink

Ich denke, Sie sollten sich fragen, warum sie die MAC-Adresse verwenden möchten, nicht unbedingt aus Datenschutzgründen. "Warum brauchst du die MAC-Adresse?" Ich denke, es ist eine vernünftige Frage, sie zu stellen.

Erstens haben sie MAC-Adressen aller Personen, die eine Verbindung zum WLAN herstellen. Jedes Gerät, das eine Verbindung zum WLAN herstellt, zeigt seine MAC-Adresse basierend auf dem ARP-Protokoll an.

Sie halten das Sperren von WLAN für bekannte MAC-Adressen möglicherweise für eine gute Sicherheitsmaßnahme. Es liegt nicht wirklich daran, dass ich Ihre MAC-Adresse erhalten kann, wenn wir beide im selben Starbucks und im selben WLAN sind. Ich kann dann Ihre MAC-Adresse ganz einfach fälschen. Aus Sicherheitsgründen ist dies also nicht besonders gut.

Sie möchten möglicherweise Ihre Aktivitäten verfolgen. Sie können dies bereits tun, ohne nach Ihrem MAC zu fragen. Wenn Sie ihnen nur die MAC-Adresse geben, können sie diese einfacher einer Person zuordnen. Sie können einen Verlauf der MAC &-IP-Adresse aus Protokollen abrufen und ihr NAT kann einen Verlauf der IP-Adresse &-Ports speichern und der MAC-Adresse zuordnen.

Wenn Sie Tor verwenden, können sie dies sagen Sie haben Tor verwendet, aber nicht den Inhalt.

Ich würde also fragen, warum Sie meine MAC-Adresse möchten. Die Angabe der MAC-Adresse wird Sie nicht wirklich beeinflussen. Es sei denn natürlich, Sie verwenden in Ihrem Heim-WLAN oder etwas anderem die MAC-Adresse als Methode, um sich zu identifizieren. als MAC-Adresse kann leicht gefälscht werden.

Ich gehe davon aus, dass sie nach meiner MAC-Adresse fragen, um jeden Browserverlauf in der Schule einer bestimmten Person zuzuordnen.In diesem Fall bin ich ein bisschen paranoid, danke für die Antwort.Ich werde sie fragen.
Meiner persönlichen Meinung nach ist es unwahrscheinlich, dass Schüler, die versuchen, die Schule davon zu überzeugen, dass die IT-Richtlinien der Schule dumm sind (auch wenn sie es sind), ein nützliches Ergebnis für den Schüler liefern.Sie scheinen wahrscheinlich leichtfertig argumentativ zu sein.Die Nutzung des Netzwerks einer Organisation für private persönliche Aktivitäten ist nicht immer sinnvoll und selten ein unveräußerliches Recht.
@cyanide ist eine schwierige Aufgabe für den Browserverlauf.Einerseits möchte die Schule sicherstellen, dass die Infrastruktur nicht missbraucht wird, andererseits sollten die Schüler ein gewisses Maß an Privatsphäre haben. Allerdings können sie Proxies einsetzen, um das Surfen auf unangemessenem Material zu schützen.
Wenn sie MACs verwenden, um Schüler zu verfolgen, klingt dies nach einer großartigen Möglichkeit, den Schüler zu trollen, den Sie nicht mögen.Schritt 1: Fälschen Sie ihren MAC, da sie sich im selben Netzwerk befinden. Schritt 2: Laden Sie eine Reihe von Pornos herunter :)
_ "Jedes Gerät, das eine Verbindung zum WIFI herstellt, gibt die MAC-Adresse basierend auf dem ARP-Protokoll aus." _ - * Jedes * Paket, das Ihr Computer sendet, sei es über WLAN oder Ethernet, enthält Ihre MAC-Adresse.Es ist Teil des Protokolls der physischen Schicht und hat sehr wenig mit ARP zu tun.
@DavidGrinberg: Vielleicht denken Sie, dass "die Schüler Pornos herunterladen" irgendwie bemerkenswert ist, aber für die Netzadministratoren ist es Dienstag.Irgendwie glaube ich nicht, dass Ihre vorgeschlagene Trolling-Technik sehr effektiv wäre.
@RedGrittyBrick Glaubst du wirklich, dass das OP eine Antwort bekommen wird, wenn er nicht fragt?Es ist ein Vertrag zwischen der Schule und ihm.Er ist ** voll berechtigt ** zu fragen, was im Vertrag steht und er sollte es wirklich.
@SteffX: Das habe ich nicht gesagt.Fragen * was * ist anders als darüber zu streiten * warum *.
Ich kenne Schulen, die registrierte MACs verwenden, um das Upload- / Download-Volumen zu verfolgen.Wenn Ihre Nutzungsmuster einen übergroßen Einfluss auf den Netzwerkverkehr haben, werden Sie aufgefordert, nett zu spielen.Ich möchte diese Praxis nicht auf die eine oder andere Weise beurteilen, aber es ist eine wilde Antwort auf das "Warum?"Frage.
@marcelm Die Mac-Adresse ist nicht Teil der Phy-Schicht.sein Teil der Verbindungsschicht (insbesondere die MAC-Unterschicht).Bearbeiten: In 802.11 ist die MAC-Schicht tatsächlich eine völlig separate Schicht
Welchen alternativen Ansatz würden Sie vorschlagen, um sicherzustellen, dass die Schüler eine Verbindung zum WLAN herstellen können, eine zufällige Person von der Straße jedoch nicht?
@svick: WPA2-Unternehmen mit Client-Zertifikaten.
@RedGrittyBrick: Während dies in der Praxis der Fall ist, fungiert die Schule als Vermieter und ISP für die dort lebenden Schüler und ist zumindest moralisch, wenn nicht sogar rechtlich, verpflichtet, alle Vorschriften einzuhaltenDies gilt für eine Partei, die in einer solchen Rolle handelt, einschließlich Dinge wie Netzneutralität, Datenschutz usw.
Ich vermute, dass es sich nicht um Pornos handelt, sondern um Leute, die BitTorrent verwenden.
Tor kann so eingerichtet werden, dass der gesamte Datenverkehr über Google oder Bing erfolgt.
@Kevin Mir und meiner Klasse wurde gesagt, dass sie das College-Computernetzwerk einmal zum Spielen von LAN-Spielen verwendet haben, sodass sie wahrscheinlich einen Punkt haben, an dem sie etwas unterbrechen werden.
@cyanide Klingt so, als würden sie die wirklichen Sicherheitsrichtlinien nicht wirklich verstehen oder können.Finden Sie das ziemlich häufig, wenn die IT solche technischen Fragen nicht beantworten kann.
@RedGrittyBrick - "Die Nutzung des Netzwerks einer Organisation für private persönliche Aktivitäten ist nicht immer sinnvoll" - Angesichts der Tatsache, dass Studenten während des Studiums (zumindest in den USA) nicht selten auf dem Campus leben, halte ich diese Position nicht für angemessen.Für einen Studenten, der in den Wohnheimen lebt, ist das Netzwerk der Organisation die einzige echte Option für einen schnellen, nicht gemessenen Netzwerkzugriff.
@R .. Ich bin anderer Meinung.WPA2 Enterprise mit einem Radius-Server, der mit dem LDAP des Colleges verbunden ist, ist sinnvoller.Dies würde den Administratoren auch dabei helfen, Ihre Verbindung zu einem Benutzer viel zuverlässiger zu verknüpfen.
@cyanide Sie sollten sie fragen, warum sie kein WPA2 Enterprise mit einem Radius-Server eingerichtet haben, der vom LDAP des Colleges unterstützt wird.Wenn sie auf die ältere Unterstützung für LAN antworten, sollten Sie sich fragen, warum sich das WLAN nicht in einem separaten VLAN / Subnetz befindet, und halten sie es für einen großartigen Plan, alles in dasselbe Subnetz zu stellen ...
@Aron: Weil es eine großartige Idee ist, dass Schüler gegenüber Anbietern von Campusinfrastrukturen frech sind.
Yokai
2016-08-04 14:43:52 UTC
view on stackexchange narkive permalink

Für eine Schule ist die Verwendung aller MAC-Adressen von Schülergeräten (eindeutige Hardware-ID) eine Möglichkeit, viel unerwünschten Datenverkehr aus dem LAN herauszufiltern. Selbst wenn externe Geräte von Nicht-Studenten einen legitimen, von Studenten registrierten MAC fälschen, können die über das Netzwerk gesendeten Pakete erfasst, geöffnet und die Benutzeragenten sowie andere Systemkennungen beobachtet werden. Auf diese Weise wird der Netzwerkadministrator darüber informiert, ob jemand einen gefälschten MAC verwendet, und der Administrator kann diesen MAC dann effektiv vom Zugriffspunkt aus problemlos starten, ohne den spezifischen MAC, der den legitimen Schüler blockieren würde, mit Paketfilterblöcken zu filtern. P. >

Mithilfe von MAC-Adressregistern können Sie überprüfen, wer eine Verbindung herstellen soll und wer nicht. Es ist jedoch nur eine einzige Sicherheitsmethode. Es gibt andere wie proprietäre oder Open-Source-Tools von Drittanbietern, die die Benutzeragenten bestimmen können, und viele andere Dinge wie Systemhardwarespezifikationen, verwendetes Betriebssystem, Browser-Plugins usw. Auch wenn diese Dinge selbst gefälscht werden. Diese identifizieren TOR-Daemon- / Browser-Benutzer sowie Tails-Benutzer (Linux-Betriebssystem, das den gesamten System- und Webverkehr über das TOR-Netzwerk sendet).

Wenn Sie vermeiden möchten, verfolgt zu werden, haben Sie einige Methoden:

  1. Verwenden Sie kein Schul-LAN.
  2. Verwenden Sie einen bootfähigen USB-Stick und einen USB-WLAN-Adapter.
  3. Erstellen Sie eine virtuelle drahtlose Schnittstelle und ein benutzerdefiniertes Schnittstellenprofil.
  4. Verwenden Sie eine virtuelle Maschine mit einem USB-Stick.
  5. Tunneln Sie durch a legitimes Schülergerät wie eine virtuelle Netzwerkkarte, die mit einer virtuellen Ad-hoc-Schnittstelle erstellt wurde, die mit der realen Schnittstelle verbunden ist. Parodieren Sie die VNIC-Kennungen.
    6. ol>

    Dies ist nur eine kleine Anzahl von Möglichkeiten und auch nicht die beste Methode. Sie können mehr finden, indem Sie etwas recherchieren.

Ich bin mir nicht sicher, ob die IT-Administratoren die Deep-Packet-Inspektion (für die sie auch einen HTTPS-Proxy benötigen würden) implementieren würden, um Änderungen in User-Agents (die durch die Verwendung eines anderen Browsers verursacht werden könnten) oder Anomalien zu erkennenErkennung von Webbrowser-Verkehr.Ich bin auch gespannt, welche Geräteinformationen Ihrer Meinung nach in Ethernet-Paketen erfasst werden könnten.Ich frage mich auch, wie Sie ein bestimmtes Gerät eines Netzwerks kicken würden, wenn Sie dessen MAC-Adresse nicht dafür verwenden könnten.Wenn sie die MAC-Adressfilterung als Sicherheitsmaßnahme verwenden, verwenden sie definitiv keine zertifikatbasierte Authentifizierung.
@GroundZero Sie sind sich vielleicht nicht sicher, aber ich bin nicht ... meine Schule hat das getan.Erzwang uns alle, ihr Stammzertifikat zu installieren, damit sie sowohl die sicheren Pakete als auch die normalen Pakete überprüfen konnten, und sperrte dann alles basierend auf MAC-Adressen und Benutzeragenten.
@ArtOfCode Das ist eine ziemlich schwere Überwachungsstrategie Ihrer Schule.User-Agents und MAC-Adressen können jedoch recht einfach gefälscht werden.Das einzige, was mich beunruhigt, ist, dass sie den gesamten Verkehr abfangen und inspizieren, einschließlich HTTPS.Auf diese Weise können sie Ihre Anmeldeinformationen und vertraulichen Daten erfassen.
@GroundZero Ja, und sie haben es getan.Ich habe absichtlich separate Konten für Dinge in der Schule verwendet, weil sie die Creds sehen und möglicherweise verwenden konnten.
@GroundZero Warten Sie, sagen Sie, sie könnten Daten lesen, die über HTTPS / SSL zwischen dem Benutzer und einer https-Website übertragen wurden?Tritt die Verschlüsselung / Entschlüsselung nicht im Browser des Benutzers und auf dem Webserver auf?Bedeuten Sie einen Man-in-the-Middle-Angriff?
@mikato: Im Beispiel von ArtOfCode mussten die Benutzer ausdrücklich ein Stammzertifizierungsstellenzertifikat installieren und ihm vertrauen, mit dem die Firewall alles fälschen und die Verbindungen mitm.
@GroundZero: Welche Schule war das?Sie müssen benannt und beschämt (und wahrscheinlich strafrechtlich verfolgt) werden.
@R .. Jedes Unternehmen hat das Recht, den Verkehr in seinem Netzwerk zu kontrollieren.Wenn ein Schüler Drogen aus dem Schulnetz mietet, werden sie in der ersten Zeile strafrechtlich verfolgt.
@mikato Das ist nicht an meiner Schule passiert, aber anscheinend bei ArtOfCode.Ein Unternehmen, das einen entschlüsselenden Proxy installiert und das SSL-Zertifikat des Proxys in die Systeme des Benutzers lädt, führt tatsächlich etwas MitM-ähnliches aus.Der Proxy unterbricht die Verschlüsselung, indem er beim Einrichten der Verschlüsselung mit dem Webserver als Benutzer und beim Einrichten der Verschlüsselung mit dem Client als Webserver fungiert (unter Verwendung seiner eigenen Zertifizierungsstelle, die auf das Gerät des Benutzers geladen wurde).Es ist das gleiche, als würden Sie ein Sniffing-Tool wie Burp auf Ihrem eigenen Gerät installieren, um den HTTPS-Verkehr für Penetrationstestzwecke zu entschlüsseln
@R..Das passierte nicht an meiner Schule, sondern bei ArtOfCode.Ein Unternehmen oder eine Schule kann dies tun, wenn die lokale Gesetzgebung (Datenschutz / Cyberkriminalität) dies zulässt.In den meisten Fällen muss dies in den Schul- / Arbeitsvertrag aufgenommen werden und kann nicht dazu verwendet werden, das Internetverhalten von Mitarbeitern / Schülern willkürlich zu beschnüffeln.
Die Schüler scheinen zu vergessen, dass sie _Gäste_ in diesen Netzwerken sind und keine universellen Rechte und Privilegien haben.Ich sehe keinen triftigen Grund, mich über die Verkehrsüberwachung in einem Schulnetzwerk zu beschweren.Wenn Sie Privatsphäre wünschen, verwenden Sie Ihr eigenes Netzwerk ... aber warum verwenden Sie ein Schulnetzwerk für den persönlichen Gebrauch?Dafür ist es nicht vorgesehen.
Ein mietpflichtiger Bewohner (auch wenn die Miete im Unterricht enthalten ist) ist kein "Gast".Sie haben Mieterrechte einschließlich eines Rechts auf Privatsphäre.Würden Sie auch argumentieren, dass die Schule (oder im Allgemeinen ein Vermieter) versteckte Kameras und Mikrofone in Wohnheimen installieren kann?Die Grundsätze, nach denen ein ISP (als der die Schule handelt) Ihren Datenverkehr nicht überwachen kann, sind dieselben, nach denen die Telekommunikation Ihre Sprachgespräche nicht abhören kann (obwohl sie LE dies mit der entsprechenden Genehmigung / Berechtigung erleichtern können).Auch hier gilt die Netzneutralität.
@ArtOfCode Ich würde hoffen, dass jeder weiß, dass er möglicherweise seine Anmeldedaten für Banken und was auch immer er sonst noch verteilt, verteilt.Sagen sie das allen laut und deutlich?Meine Güte.
@mikato Noch machen nicht viele Schüler im schulpflichtigen Alter Online-Banking, zumindest nicht dort, wo ich bin.Aber nein, wir werden nicht darüber informiert, dass wir Creds verteilen - ich wusste es nur, weil ich ein bisschen mehr über die technische Seite weiß als die meisten Studenten.
@ArtOfCode Nun, Banken sind nur ein Beispiel, aber sicherlich können sich andere Internetnutzer, die keine Studenten sind, auf ihrer Bankseite anmelden.Das Verrückte ist, dass sie solche Anmeldungen sammeln könnten, während Benutzer denken, dass sie sicher sind.
Mir ist klar, dass meine Antwort ein sehr, sehr paranoider IT-Administrator der Schule sein würde, haha.Ich habe jedoch nur einige sehr mögliche Gründe für die MAC-Profilerstellung für die Sicherheit der Schule veröffentlicht.Da gab es kürzlich eine Bomben-E-Mail von einem Studenten, der Tor benutzte, an eine Universität.Ohne einen paranoiden IT-Administrator wäre dieser Schüler nicht erwischt worden.Details dazu finden Sie im Defcon-Vortrag "Wie Tor-Benutzer erwischt wurden".
Beachten Sie auch, dass eine eingehende Paketprüfung keine Notwendigkeit für die Hosterkennung in einem lokalen Netzwerk ist.nmap ist ein wunderbarer Open-Source-Port- und Service-Scanner, der Betriebssysteme, Betriebssystemversionen, Dienste und deren Versionen usw. finden kann. Wireshark kann Systeminformationen anzeigen, ohne mit bestimmten Filtern zu tief graben zu müssen.Aber wirklich, jeder anständige IT-Administrator, der bestimmte MACs auf dem AP überwacht, überwacht, auf welchem Betriebssystem diese Geräte ausgeführt werden.Wenn also zwei gleiche MACs gefunden werden, zeigt eine einfache Hosterkennung mit nmap den Spoofer und ermöglicht ein einfaches Booten vom AP.
Navin
2016-08-05 06:33:31 UTC
view on stackexchange narkive permalink

Nun, die Schule hat bereits Ihre MAC-Adresse, da Sie in der Vergangenheit eine Verbindung zu ihren Zugangspunkten hergestellt haben. Was sie (nicht unbedingt) wissen, ist die Zuordnung zwischen Ihren MAC-Adressen und Ihrem richtigen Namen.
Wenn Sie dies betrifft, verwenden Sie in der Schule nur einen anderen MAC: 

  IP-Link-Set dev wlp1-Adresse XX: XX: XX: XX: XX: XX

Wählen Sie einen lokal verwalteten MAC aus, um Konflikte zu vermeiden mit Geräten, die ihren vom Hersteller zugewiesenen MAC auf demselben AP verwenden.

Beachten Sie, dass ein böswilliger Benutzer airodump-ng ausführen würde, um die MAC-Adresse eines anderen Schülers zu ermitteln, und diesen Schüler mit aireplay-ng -0 aus dem Netzwerk werfen würde und verwenden Sie dann ihren MAC, um sich als sie auszugeben. Wenn Ihre Schule der Meinung ist, dass MAC-Filterung eine gute Sicherheit ist, werden Sie eine große Überraschung erleben!

Dies sollte in der Schule populär gemacht werden, um sicherzustellen, dass die MAC-Idee schnell stirbt. Als ich in der Schule war, versuchten sie, Fingerabdruckscanner mit einem seltsamen und schnell gebrochenen Versprechen einzuführen, dass sie die Sicherheit verbessern würden.
Was kann ich tun, um die MAC-Adresse eines anderen Schülers zu ermitteln?Wo soll ich Airodumping durchführen?Haben Sie eine gute Quelle, um jemandem beizubringen, MAC-Adressen in einem Netzwerk zu schnüffeln?
"Haben Sie eine gute Quelle zum Unterrichten?" Haben Sie versucht, nach "airodump-ng" zu googeln, @cyanide?
@Navin Das Ausschalten eines legitimen Schülers mithilfe der Aircrack-ng-Suite kann kurz funktionieren. Wenn Sie jedoch denselben Mac fälschen, um als echter Schüler zu erscheinen, und ständig denselben Mac deaktivieren, können Sie keine Verbindung zu diesem Schüler herstellenentweder.Ob legitimer Schüler oder gefälscht, wenn aireplay-ng -0 verwendet wird, um den HWaddr zu deaktivieren: 00: 11: 22: 33: 44: 55 und Sie Ihren HWaddr auf 00: 11: 22: 33: 44: 55 fälschen, dann Siewird auch deauthentifiziert.
Bacon Brad
2016-08-05 01:06:27 UTC
view on stackexchange narkive permalink

Sie denken möglicherweise nicht an die Verfolgung, sondern an eine Alternative zur Ausgabe eines WLAN-Passworts. Die weiße Auflistung der MAC-Adresse ist eine ziemlich häufige Alternative.

Wenn sie ein WiFi-Passwort für die Anmeldung vergeben, hindert nichts einen anderen Schüler daran, diese Details anzugeben. Während eine weiße Auflistung pro MAC-Adresse verhindert, dass diese Informationen leicht weitergegeben werden können.

Natürlich gibt es Bedenken hinsichtlich des Spoofing von MAC-Adressen. Um jedoch mit einer gefälschten MAC-Adresse eine Verbindung zum Netzwerk herzustellen, müssen Sie eine MAC-Adresse kennen, die bereits Zugriff hat. Und wenn die MAC-Adresse auf Sie zurückgeführt werden kann, möchten Sie diese Informationen wahrscheinlich nicht an einen Freund weitergeben. Und schließlich, wenn Sie fälschen, nachdem Sie ihnen Ihre MAC-Adresse gegeben haben, wird dies Sie nur daran hindern, eine Verbindung herzustellen.

Zum Datenschutz, wenn sie über die technischen Mittel verfügen, um Ihre von Ihrem Gerät gesendete MAC-Adresse abzurufen, um sie abzugleichen Ihre weiße Liste hindert ihre Firewall nicht daran, zusätzliche Informationen zu protokollieren und eine Übereinstimmung mit Ihrer Mac-Adresse herzustellen. Beispielsweise wird in unseren Firewall-Protokollen eine IP zurückgegeben. Wir können einfach zu unserer MAC-Adressliste gehen und dort nach MAC-Adressen suchen, die diese IP verwendet haben.

Da sie den Datenverkehr abfangen können, können sie auch bekannte Anwendungen und Websites aus der Vogelperspektive betrachten Sie surfen. Es ist jedoch unwahrscheinlich, dass Sie aufgrund der damit verbundenen Arbeit eine detaillierte Vorstellung von Ihrer Aktivität bekommen, obwohl dies möglich ist. Obwohl sie den Inhalt der Nachricht X möglicherweise nicht kennen, können sie Sie darüber informieren, wo sie im Dienst Y oder auf der Website Z sind, um sie zu senden. Fazit: Wenn die Privatsphäre ein Problem darstellt, vermeiden Sie es, überhaupt eine Verbindung zu ihrem Netzwerk herzustellen. Oder vermeiden Sie zumindest Aktivitäten in ihrem Netzwerk, bei denen Sie privat sein möchten.

Das Spoofing von MAC-Adressen ist trivial: Wenn Sie nahe genug am WLAN sind, um eine Verbindung herzustellen, sind Sie nah genug, um die MAC-Adressen aller daran angeschlossenen Computer anzuzeigen.
@Mark Ich habe der Schule nicht empfohlen, MAC-Adressen für die Whitelist zu verwenden.Ich habe nur darauf hingewiesen, dass sie dies tun.Ist das der Grund für die Ablehnung?
@baconface, Ihr dritter Absatz scheint zu implizieren, dass es schwierig ist, eine bekannte MAC-Adresse für Spoofing zu erhalten.
@Mark, Wie sehen Sie die MAC-Adresse jedes daran angeschlossenen Computers?Welche Werkzeuge würde jemand brauchen?
@cyanide, Sie benötigen nur einen WLAN-Sniffer wie Airodump-ng oder Kismet - starten Sie ihn, wählen Sie den AP aus, den Sie überwachen möchten, lassen Sie ihn einige Minuten lang laufen, und Sie haben eine Liste der MAC-Adressen aller aktuellen Personenin Verbindung gebracht.
@Mark was ist AP?Ich bin ein absoluter Neuling.Also werde ich einfach Kismet oder Airodump-ng herunterladen?
@cyanide ein AP ist ein (drahtloser) Access Point, das Gerät, das ein WiFi-Signal sendet, damit Sie eine Verbindung herstellen können.Es wird empfohlen, mit keinem dieser Tools herumzuspielen, wenn Sie die Grundlagen des (drahtlosen) Netzwerks nicht kennen.Es ist besser, sich zunächst einige allgemeine Informationen zu Ethernet, IP, MAC-Adressen, WiFi-Protokollen usw. beizubringen, bevor Sie sich mit drahtlosem Sniffing und Spoofing befassen
BlueCacti
2016-08-05 15:33:57 UTC
view on stackexchange narkive permalink

Ich möchte fragen, welche Art von Informationen sie daraus sammeln können.

Ihre MAC-Adresse erleichtert die Analyse von Protokolldateien.
Netzwerkprotokolldateien Enthält häufig eine IP-Adresse und einige Informationen zur Verbindung.
Der folgende fiktive Protokolleintrag weist beispielsweise darauf hin, dass ein Gerät mit der IP-Adresse 10.10.100.123 mit einem System mit der IP-Adresse verbunden ist 216.58.210.46 (google.com) an Port 443 (HTTPS). 

  TIMESTAMP | QUELLE IP: PORT | DEST IP: PORT ---------------------------------------------- ------------- 05.08.2016 12:11 | 10.10.100.123:123456 | 216.58.210.46:443

Weitere Untersuchungen in anderen Protokolldateien (z. B. DHCP-Leases) könnten ergeben, dass die interne IP-Adresse 10.10.100.123 an den MAC übergeben wurde Adresse 01:23:45:67:89:01. 

  IP-ADRESSE | MAC-ADRESSE | LEASE START | LEASE END -------------------------------------------- ----------------------- 10.10.100.123 | 01: 23: 45: 67: 89: 01 | 2016-08-03 09:35 | 2016-08-10 09:35

Diese MAC-Adresse kann dann mit dem Netzwerkadapter des Geräts eines bestimmten Schülers abgeglichen werden.

Dies ermöglicht der Schule, oder eine Behörde, die in der Lage ist, die Protokolldateien der Schule anzufordern (z. B. Strafverfolgungsbehörden), um bestimmte Online-Aktivitäten zurückzuverfolgen.
Wenn eine strafrechtliche Untersuchung ergibt, dass die öffentliche IP-Adresse der Schule mit bestimmten illegalen Aktivitäten verknüpft ist, kann die Die Schule könnte aufgefordert werden, ihre Protokolldateien und die Liste der Kombinationen aus MAC-Adresse und Schüler zu übergeben.
Es kann auch vorkommen, dass die Schule herausfinden möchte, welcher Schüler 10% seiner Bandbreite für das Surfen auf über 18 Websites ausgegeben hat

Ob diese Informationen aus diesen Gründen verwendet werden können, hängt von den örtlichen Gesetzen in Bezug auf Datenschutz und Computerkriminalität ab.

Könnten sie unseren Browserverlauf oder mehr verfolgen? ?

Mit diesen Informationen können sie Ihren gesamten Browserverlauf nicht erkennen. Wie bereits erläutert, kann die MAC-Adresse jedoch verwendet werden, um Ihr Gerät mit bestimmten Aktivitäten im Netzwerk zu verknüpfen.

Was passiert, wenn ich den Tor-Browser verwende? Würde dies Auswirkungen haben?

Die Verwendung von Tor ändert nichts an der Tatsache, dass der Netzwerkadapter Ihres Geräts eine bestimmte MAC-Adresse hat und diese MAC-Adresse mit Ihrem Gerät und Ihnen verknüpft sein könnte

Wenn sie mich verfolgen können, welche Maßnahmen kann ich ergreifen, um zu verhindern, dass sie in meine Privatsphäre eindringen?

Es ist ziemlich trivial, die MAC-Adresse zu ändern der Netzwerkadapter Ihres Geräts. Wenn Sie Ihre MAC-Adresse ändern, nachdem Sie ihnen Ihre ursprüngliche Adresse übergeben haben (oder ihnen eine gefälschte Adresse zur Verfügung gestellt haben), wird es für die IT-Administratoren schwieriger, eine MAC / IP-Adresse mit Ihnen zu verknüpfen.
Wenn das Netzwerk jedoch eine Identifizierung erfordert Active Directory (jeder Schüler hat einen eindeutigen Benutzernamen zur Authentifizierung beim Netzwerk) oder eine andere Form der Authentifizierung (z. B. zertifikatbasiert) kann weiterhin die Protokolldateien überprüfen, um zu versuchen, eine IP mit Ihnen abzugleichen.
Wenn die Schule einen Proxy verwendet, kann sie auch den Webdatenverkehr aufspüren, um nach personenbezogenen Daten wie Ihrer E-Mail-Adresse oder Ihrem Facebook-Benutzernamen zu suchen. Aber ich nehme an, dass dies in den meisten Ländern einen großen Verstoß gegen die Datenschutzbestimmungen darstellt.

Zusätzliche Informationen

Es kann auch vorkommen, dass Ihre Schule eine auf MAC-Adressen basierende Zugriffskontrolle im Netzwerk implementieren möchte, wobei nur MAC-Adressen auf der Whitelist (zulässig) zugelassen werden um eine Verbindung zum Netzwerk herzustellen.

Wie andere jedoch gezeigt haben, o ut (und wie ich etwas angesprochen habe) können MAC-Adressen bearbeitet werden. Auf diese Weise kann jeder seine eigene MAC-Adresse in die eines legitimen Schülers ändern und ihm Zugriff auf das Netzwerk gewähren.
MAC-Adress-basierte Zugriffskontrollen verhindern, dass einige Personen mit dem Passwort, das sie von einem Freund an Ihrer Schule erhalten haben, auf das Netzwerk zugreifen können (da sie nicht über die Kenntnisse / Fähigkeiten verfügen, um diese schwache Verteidigungslinie zu umgehen), aber es hat gewonnen Halten Sie diejenigen nicht auf, die entschlossen sind, auf das Netzwerk zuzugreifen.

Wenn es der Schule ernst ist, die Netzwerknutzung der Schüler zu verfolgen und / oder nur den Zugang zu Schülern zu beschränken, gibt es viel bessere Alternativen.

Ein Beispiel hierfür ist RADIUS-authentifiziertes WLAN.
Auszug aus: FreeRadius.org

IEEE 802.1X- und RADIUS-Authentifizierung

Die IEEE-Standards für Wi-Fi (IEEE 802.11) sehen einen "Enterprise" -Modus vor, der sich grundlegend von PSK-Netzwerken unterscheidet, da die Wi-Fi-Verschlüsselungsschlüssel pro Benutzer und bereitgestellt werden pro Sitzung . Jeder Benutzer muss sich mit seinen persönlichen Anmeldeinformationen authentifizieren. In diesem Moment wird ein Schlüssel generiert und an das Gerät des Benutzers und den NAS übermittelt, mit dem er eine Verbindung herstellt.

Bevor Benutzer ihre Authentifizierungsdaten senden, muss der Benutzer das Netzwerk authentifizieren und nachweisen, dass es tatsächlich echt ist. Erst dann wird der Berechtigungsnachweis des Kunden freigegeben. Der IEEE-Standard IEEE 802.1X (unter Verwendung von RADIUS und dem Extensible Authentication Protocol, EAP) wird für die Authentifizierung und Schlüsselverwaltung verwendet.

Die Enterprise Wi-Fi-Authentifizierung ermöglicht auch erweiterte Funktionen wie Benutzer dynamisch in ein bestimmtes VLAN einbinden (z. B. getrennte Gast- und Mitarbeiteranmeldungen in verschiedenen IP-Netzwerken, obwohl sie sich auf derselben SSID befinden) und dynamische ACLs

Enterprise Wi-Fi erfordert:

  1. Ein RADIUS-Server, der die EAP-Authentifizierung durchführen kann.
  2. Wi-Fi-Geräte, die für die Verwendung der RADIUS-Authentifizierung korrekt konfiguriert sind.
  3. Benutzergeräte, die für die korrekte Ausführung von Enterprise Wi-Fi konfiguriert sind.
    4. ol>
Cedric F.
2016-08-05 01:17:54 UTC
view on stackexchange narkive permalink

Eine MAC-Adresse repräsentiert nur die physische Adresse eines Geräts. Die MAC-Adresse eines Geräts wird basierend auf dem ARP-Protokoll in der Sekunde ausgegeben, in der das Gerät eine Verbindung zum WIFI herstellt.

Wenn Sie nach Ihrer MAC-Adresse fragen, können diese möglicherweise leichter eine Liste der Geräte filtern, die auf das jeweilige Netzwerk zugreifen dürfen.

Ich persönlich denke, sie fragen nach Ihrer MAC-Adresse, damit die Schüler nur auf die Internetverbindung der Schule zugreifen können. Eine zufällige Person kann nicht auf ihr Netzwerk zugreifen, wenn ihre MAC-Adresse nicht hinzugefügt wird (selbst wenn sie das Passwort hat).

Es ist jedoch einfach, die MAC-Adresse einer Person zu ermitteln und Ihre Adresse an ihre anzupassen (aber ich wette, eine minimale Anzahl von Personen würde diesen Weg einschlagen).

Um Ihre Fragen jetzt zu beantworten Sie sammeln keine zusätzlichen Informationen über Sie, die sie noch nicht hatten. Sobald Sie eine Verbindung zum WIFI hergestellt haben, konnten sie sofort auf Ihre MAC-Adresse zugreifen. Jetzt können sie Sie jedoch schneller finden.

Sie könnten Ale sein, um Ihre Geschichte zu verfolgen, aber das erfordert eine Menge Arbeit, die eine Schule zweifellos erledigen wird, wenn sie nicht dazu verpflichtet ist. Normalerweise verwenden sie Proxies (mittlere Männer zwischen Ihnen und der Webseite), um Schüler daran zu hindern, bestimmte Websites zu besuchen, oder um ihrem Server Datenschutz zu verleihen.

Wenn Sie Tor verwenden, bleibt Ihr Verlauf anonym, aber sie sind sich dessen bewusst benutzte einen solchen Internetbrowser.

Maßnahmen, die Sie ergreifen können, um sie zu verhindern: - Verwenden Sie eine virtuelle Box, in der Sie Ihre MAC-Adresse bearbeiten können. - Beim Surfen im Internet können Sie jederzeit Ihren DSN und Ihre Proxys (der virtuellen Box) ändern.

Es gibt viele andere Möglichkeiten, aber in gewisser Weise ist es auch ziemlich schwierig zu verhindern, dass jemand in Ihre Privatsphäre eindringt, wenn Sie dessen Netzwerk verwenden.

Durch das Spoofing von MAC-Adressen erhalten die Strafverfolgungsbehörden auch den Beweis für vorsätzliches Fehlverhalten, das sie benötigen, wenn sie das Buch auf einen unerwünschten Benutzer werfen.
Dies beantwortet nicht die gestellte Frage.Die Frage lautet * nicht *: "Warum haben sie nach MAC-Adressfilterung gefragt?"Stattdessen stellt sich die Frage: "Kann die Schule mich verfolgen? Was kann ich tun, um meine Privatsphäre zu schützen?"Diese Antwort hat keine dieser Fragen beantwortet.
MAC-Adressen werden vom ARP-Protokoll nicht ausgegeben.Sie werden vom Hersteller definiert, um ein Netzwerkgerät eindeutig zu identifizieren.IP-Adressen werden von DHCP ausgegeben.ARP wird verwendet, um die MAC-Adresse zu finden, die mit einer bestimmten IP-Adresse übereinstimmt
Müsste das WLAN nicht das Radio der realen Maschine verwenden?Die VM muss in der Lage sein, sie so zu programmieren, dass sie mehrere Macs abhört, damit sie den Mac der VM verwenden kann.
Ramón García
2016-08-05 01:22:38 UTC
view on stackexchange narkive permalink

Sie geben der Schule keine zusätzlichen Informationen.

Wenn Sie eine Verbindung zum WLAN-Netzwerk herstellen, wird bereits die MAC-Adresse angezeigt. Alle Frames zwischen dem Computer und dem Wifi-Zugangspunkt tragen den Quell- und Ziel-MAC. Andernfalls wäre das Senden und Empfangen unmöglich.

Die Schule bittet Sie daher um diese Informationen aus Sicherheitsgründen, um anderen die Verbindung zu erschweren. Dies ist eine angemessene Sicherheitsanforderung.

Sie ist jedoch nicht sehr stark, da die MAC-Adresse leicht gefälscht werden kann. Aber es kann helfen, im Falle von Problemen zu korrelieren. Wenn jemand Ihren Benutzer mit einer anderen MAC-Adresse verwendet, kann die Schule vermuten, dass Ihr Konto gehackt wurde.

Er gibt die Information, dass MAC X mit Benutzer Y verknüpft ist. Das ist "viel"
Nicht wirklich, denn diese Verbindung ist absurd schwach.MAC-Adressen sind im Netzwerk öffentlich und jeder kann eine beliebige MAC-Adresse beanspruchen.
@DavidSchwartz Obwohl wir alle besser wissen, als uns darauf zu verlassen, eine MAC-Adresse für irgendetwas mit einer Person zu verknüpfen, scheint es wahrscheinlich, dass die Schule, die eine solche dumme Politik umsetzt, es nicht besser weiß, was möglicherweise schwerwiegende Auswirkungen darauf hat, für die Handlungen von verantwortlich gemacht zu werdenJeder, der "Ihre" MAC-Adresse fälschen möchte.
@HopelessN00b Ich stimme zu.Ich würde mir Sorgen machen, dass die Schule diese Informationen für nützlicher hält als sie wirklich sind.Wenn sie denken, dass es schwer zu fälschen ist oder unwahrscheinlich ist, gefälscht zu werden, ...
amrx
2016-08-04 14:21:04 UTC
view on stackexchange narkive permalink

Ich möchte fragen, welche Art von Informationen sie daraus sammeln können?

Wie andere bereits erwähnt haben. Am besten fragen Sie: "Warum möchten Sie meine MAC-Adresse?"

Was ist, wenn ich den Tor-Browser verwende? Hätte es irgendwelche Auswirkungen? Würden sie in der Lage sein, unseren Browserverlauf zu verfolgen.

Über einige andere Anwendungen und Protokolle können sie dies natürlich. aber nicht mit Ihrer MAC-Adresse.

Der einzige Grund, an den ich bei der Anforderung von MAC-Adressen denken kann, ist das Filtern oder Parodieren. Und ich denke, Ihre Schule nimmt das nur als Sicherheitsmaßnahme, um zu filtern, wer auf das Internet zugreifen kann.

Mathias
2016-08-04 13:48:36 UTC
view on stackexchange narkive permalink

Ich denke nicht, dass dies ein Problem ist. Wenn Sie im Internet surfen, wird Ihre MAC-Adresse nicht benötigt, nur die IP-Adresse, sodass dies keine Auswirkungen hat.

Ich denke, die Schule hat dies implementiert, sodass niemand außerhalb der Schule ist könnte auf das Wi-Fi zugreifen. Oder dass jemand, der die Idee hat, etwas Illegales zu tun, wissen könnte, wer (oder zumindest welcher Computer) das getan hat.

Bezüglich Ihres Browserverlaufs: Ich denke, dass er Ihren Browserverlauf irgendwo auf einem Computer sammelt Schulserver sowieso. Dies gilt natürlich nur für den Browserverlauf, den Sie in der Schule erstellen. Wenn Sie beispielsweise am Abend zuvor mit Ihrem "Heim-Internet" etwas im Internet suchen, können sie nicht darauf zugreifen, da es nicht im Netzwerk der Schule war.

Schlechte Informationen.Der MAC ist die Hardware-ID der Schnittstelle, die von DHCP verwendet wird, um der Schnittstelle eine IP-Adresse in dem Bereich zuzuweisen, der auf einem Zugriffspunkt des Standard-Gateways festgelegt wurde.Ohne den MAC wird dem Router nicht mitgeteilt, welche Schnittstelle zum Senden und Empfangen von Paketen verwendet wird.Weil keine IP-Adresse vergeben wird.Somit fließt kein Verkehr.Der MAC ist wichtig für die Überwachung von LANs und wer was aus Sicherheitsgründen tut.
@Yokai Obwohl ich der Meinung bin, dass alles, was Sie sagen, technisch wahr ist, vermitteln Sie den Menschen den falschen Eindruck, dass eine MAC-Adresse eine Möglichkeit ist, jemanden eindeutig zu identifizieren, wenn dies nicht der Fall ist.(Es ist beabsichtigt, aber das Ändern Ihrer MAC-Adresse ist trivial)


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...