it-swarm.com.de

Die Schule hat uns gebeten, unsere MAC-Adressen einzureichen

Meine Schule hat uns kürzlich gebeten, unsere MAC-Adresse zusammen mit unserem angegebenen Namen an die Schule zu senden, um eine Verbindung zum WLAN herzustellen. Bisher wurde dies nicht benötigt.

Ich möchte fragen, welche Art von Informationen sie daraus sammeln können. Würden sie in der Lage sein, unseren Browserverlauf oder mehr zu verfolgen? Was ist, wenn ich Tor Browser verwende? Würde es irgendeine Wirkung haben?

Welche Maßnahmen kann ich ergreifen, um zu verhindern, dass sie in meine Privatsphäre eindringen, wenn sie mich verfolgen können?

74
cyanide

Ich denke, Sie sollten sich fragen, warum sie die MAC-Adresse verwenden möchten, nicht unbedingt aus Datenschutzgründen. "Warum brauchst du die MAC-Adresse?" Ich denke, es ist eine vernünftige Frage, sie zu stellen.

Erstens haben sie MAC-Adressen aller Personen, die eine Verbindung zum WLAN herstellen. Jedes Gerät, das eine Verbindung zum WLAN herstellt, zeigt seine MAC-Adresse basierend auf dem ARP-Protokoll an.

Sie denken möglicherweise, dass das Sperren von WLAN an bekannte MAC-Adressen eine gute Sicherheitsmaßnahme ist. Es liegt nicht wirklich daran, dass ich Ihre MAC-Adresse erhalten kann, wenn wir beide im selben Starbucks und im selben WLAN sind. Ich kann dann Ihre MAC-Adresse ganz einfach fälschen. Aus Sicherheitsgründen ist dies also nicht großartig.

Sie möchten möglicherweise Ihre Aktivität verfolgen. Sie können dies bereits tun, ohne nach Ihrem MAC zu fragen. Wenn Sie ihnen nur die MAC-Adresse geben, können sie diese einfacher einer Person zuordnen. Sie können einen Verlauf der MAC- und IP-Adresse aus Protokollen abrufen und ihre NAT können einen Verlauf der IP-Adresse und der Ports speichern und der MAC-Adresse zuordnen.

Wenn Sie Tor verwenden, können sie sagen, dass Sie Tor verwendet haben, aber nicht den Inhalt.

Ich würde also fragen, warum Sie meine MAC-Adresse möchten. Wenn Sie die MAC-Adresse angeben, hat dies keine wirklichen Auswirkungen auf Sie. Es sei denn, Sie verwenden in Ihrem Heim-WLAN oder etwas anderem die MAC-Adresse als Methode, um sich zu identifizieren. als MAC-Adresse kann leicht gefälscht werden.

79
Darragh

Für eine Schule ist die Verwendung aller MAC-Adressen von Schülergeräten (eindeutige Hardware-ID) eine Möglichkeit, viel unerwünschten Datenverkehr aus dem LAN herauszufiltern. Selbst wenn externe Geräte von Nicht-Studenten einen legitimen, von Studenten registrierten MAC fälschen, können die über das Netzwerk gesendeten Pakete erfasst, geöffnet und die Benutzeragenten sowie andere Systemkennungen beobachtet werden. Auf diese Weise wird der Netzwerkadministrator darüber informiert, ob jemand einen gefälschten MAC verwendet, und der Administrator kann diesen MAC dann problemlos vom Zugriffspunkt aus effektiv starten, ohne den spezifischen MAC mit Paketfilterblöcken zu filtern, der den legitimen Schüler blockieren würde, wenn dies erledigt wäre.

Mithilfe von MAC-Adressregistern können Sie überprüfen, wer eine Verbindung herstellen soll und wer nicht. Es ist jedoch nur eine einzige Sicherheitsmethode. Es gibt andere wie proprietäre oder Open-Source-Tools von Drittanbietern, die die Benutzeragenten und viele andere Dinge wie Systemhardwarespezifikationen, verwendetes Betriebssystem, Browser-Plugins usw. bestimmen können. Auch wenn diese Dinge selbst gefälscht werden. Diese identifizieren TOR-Daemon-/Browser-Benutzer sowie Tails-Benutzer (Linux-Betriebssystem, das den gesamten System- und Webverkehr über das TOR-Netzwerk sendet).

Wenn Sie vermeiden möchten, verfolgt zu werden, haben Sie einige Methoden:

  1. Verwenden Sie kein Schul-LAN.
  2. Verwenden Sie einen bootfähigen USB-Stick und einen USB-WLAN-Adapter.
  3. Erstellen Sie eine virtuelle drahtlose Schnittstelle und ein benutzerdefiniertes Schnittstellenprofil.
  4. Verwenden Sie eine virtuelle Maschine mit einem USB-Stick.
  5. Tunneln Sie durch ein legitimes Schülergerät wie ein virtuelles NIC, das mit einer virtuellen Ad-hoc-Schnittstelle erstellt wurde, die mit der realen Schnittstelle verbunden ist. Parodieren Sie die VNIC-Kennungen.

Dies ist nur eine kleine Anzahl von Möglichkeiten und auch nicht die beste Methode. Sie können mehr finden, indem Sie einige Nachforschungen anstellen.

33
Yokai

Nun, die Schule hat bereits Ihre MAC-Adresse, da Sie in der Vergangenheit eine Verbindung zu ihren Zugangspunkten hergestellt haben. Was sie (nicht unbedingt) wissen, ist die Zuordnung zwischen Ihren MAC-Adressen und Ihrem richtigen Namen.
Wenn Sie das betrifft, einfach verwenden Sie einen anderen MAC während Sie in der Schule sind:

ip link set dev wlp1 address XX:XX:XX:XX:XX:XX

Wählen Sie einen lokal verwalteten MAC , um Konflikte mit Geräten zu vermeiden, die ihren vom Hersteller zugewiesenen MAC auf demselben AP verwenden.

Beachten Sie, dass ein böswilliger Benutzer airodump-ng Ausführt, um die MAC-Adresse eines anderen Schülers zu ermitteln, diesen Schüler mit aireplay-ng -0 Aus dem Netzwerk zu werfen und sich dann mit seinem MAC als dieser auszugeben. Wenn Ihre Schule der Meinung ist, dass MAC-Filterung eine gute Sicherheit ist, werden Sie eine große Überraschung erleben!

26
Navin

Sie denken möglicherweise nicht an die Verfolgung, sondern an eine Alternative zur Ausgabe eines WLAN-Passworts. Die weiße Auflistung der MAC-Adresse ist eine ziemlich häufige Alternative.

Wenn sie ein WiFi-Passwort für die Anmeldung ausgegeben haben, hindert nichts einen anderen Schüler daran, diese Details anzugeben. Während die weiße Auflistung pro MAC-Adresse verhindert, dass diese Informationen leicht weitergegeben werden können.

Natürlich gibt es Bedenken hinsichtlich des Spoofing von MAC-Adressen. Um jedoch mit einer gefälschten MAC-Adresse eine Verbindung zum Netzwerk herzustellen, müssen Sie eine MAC-Adresse kennen, die bereits Zugriff hat. Und wenn die MAC-Adresse auf Sie zurückgeführt werden kann, möchten Sie diese Informationen wahrscheinlich nicht an einen Freund weitergeben. Und schließlich, wenn Sie fälschen, sobald Sie ihnen Ihre MAC-Adresse gegeben haben, wird es Sie nur daran hindern, eine Verbindung herzustellen.

Wenn sie über die technischen Mittel verfügen, um Ihre von Ihrem Gerät gesendete MAC-Adresse abzurufen, um sie mit ihrer Whitelist abzugleichen, hindert nichts ihre Firewall daran, zusätzliche Informationen zu protokollieren und eine Übereinstimmung mit Ihrer Mac-Adresse herzustellen. Beispielsweise wird in unseren Firewall-Protokollen eine IP zurückgegeben. Wir können einfach zu unserer MAC-Adressliste gehen und dort nach MAC-Adressen suchen, die diese IP verwendet haben.

Da sie den Datenverkehr abfangen können, können sie auch bekannte Anwendungen, die Sie möglicherweise verwenden, und Websites, die Sie durchsuchen, aus der Vogelperspektive betrachten. Es ist jedoch unwahrscheinlich, dass Sie aufgrund der damit verbundenen Arbeit eine detaillierte Vorstellung von Ihrer Aktivität bekommen, obwohl dies möglich ist. Obwohl sie den Inhalt der Nachricht X möglicherweise nicht kennen, können sie Sie darüber informieren, wo sie im Dienst Y oder auf der Website Z sind, um sie zu senden. Fazit: Wenn die Privatsphäre ein Problem darstellt, vermeiden Sie es, überhaupt eine Verbindung zu ihrem Netzwerk herzustellen. Oder vermeiden Sie zumindest Aktivitäten in ihrem Netzwerk, bei denen Sie privat sein möchten.

3
Bacon Brad

Ich möchte fragen, welche Art von Informationen sie daraus sammeln können.

Die Verwendung Ihrer MAC-Adresse erleichtert die Analyse von Protokolldateien.
Netzwerkprotokolldateien enthalten häufig eine IP-Adresse und einige Informationen zur Verbindung.
Der folgende fiktive Protokolleintrag würde beispielsweise anzeigen, dass ein Gerät mit der IP-Adresse 10.10.100.123 mit einem System mit der IP-Adresse 216.58.210.46 (google.com) auf Port 443 (HTTPS).

TIMESTAMP        | SOURCE IP:PORT       | DEST IP:PORT
-----------------------------------------------------------
2016-08-05 12:11 | 10.10.100.123:123456 | 216.58.210.46:443

Weitere Untersuchungen in anderen Protokolldateien (z. B. DHCP-Leases) könnten ergeben, dass die interne IP-Adresse 10.10.100.123 an die MAC-Adresse 01: 23: 45: 67: 89 übergeben wurde : 01.

IP ADDRESS    | MAC ADDRESS       | LEASE START      | LEASE END
-----------------------------------------------------------------------
10.10.100.123 | 01:23:45:67:89:01 | 2016-08-03 09:35 | 2016-08-10 09:35

Diese MAC-Adresse kann dann mit dem Netzwerkadapter des Geräts eines bestimmten Schülers abgeglichen werden.

Auf diese Weise kann die Schule oder jede Behörde, die die Protokolldateien der Schule anfordern kann (z. B. Strafverfolgungsbehörden), bestimmte Online-Aktivitäten zurückverfolgen.
Wenn eine strafrechtliche Untersuchung ergibt, dass die öffentliche IP-Adresse der Schule mit bestimmten illegalen Aktivitäten verknüpft ist, kann die Schule aufgefordert werden, ihre Protokolldateien und die Liste der Kombinationen „MAC-Adresse - Schüler“ zu übergeben.
Es könnte auch der Fall sein, dass die Schule herausfinden möchte, welcher Schüler 10% seiner Bandbreite für das Surfen auf über 18 Websites ausgegeben hat.

Ob diese Informationen aus diesen Gründen verwendet werden können, hängt von der örtlichen Gesetzgebung in Bezug auf Datenschutz und Computerkriminalität ab.

Würden sie in der Lage sein, unseren Browserverlauf oder mehr zu verfolgen?

Mit diesen Informationen können sie Ihren gesamten Browserverlauf nicht erkennen. Wie bereits erläutert, kann die MAC-Adresse jedoch verwendet werden, um Ihr Gerät mit bestimmten Aktivitäten im Netzwerk zu verbinden.

Was ist, wenn ich Tor Browser verwende? Würde es irgendeine Wirkung haben?

Die Verwendung von Tor ändert nichts an der Tatsache, dass der Netzwerkadapter Ihres Geräts eine bestimmte MAC-Adresse hat und dass diese MAC-Adresse mit Ihrem Gerät und Ihnen verknüpft sein könnte.

Welche Maßnahmen kann ich ergreifen, um zu verhindern, dass sie in meine Privatsphäre eindringen, wenn sie mich verfolgen können?

Es ist ziemlich trivial, die MAC-Adresse der Netzwerkadapter Ihres Geräts zu ändern. Wenn Sie Ihre MAC-Adresse ändern, nachdem Sie ihnen Ihre ursprüngliche Adresse übergeben haben (oder eine gefälschte Adresse bereitgestellt haben), ist es für die IT-Administratoren schwieriger, eine MAC/IP-Adresse mit Ihnen zu verknüpfen.
Wenn für das Netzwerk jedoch eine Identifizierung über Active Directory (jeder Schüler hat einen eindeutigen Benutzernamen zur Authentifizierung beim Netzwerk) oder eine andere Form der Authentifizierung (z. B. zertifikatbasiert) erforderlich ist, kann er die Protokolle weiterhin überprüfen Dateien, um zu versuchen, eine IP mit Ihnen abzugleichen.
Wenn die Schule einen Proxy verwendet, kann sie auch den Webdatenverkehr aufspüren, um nach personenbezogenen Daten wie Ihrer E-Mail-Adresse oder Ihrem Facebook-Benutzernamen zu suchen die meisten Länder.

Zusätzliche Informationen

Es kann auch vorkommen, dass Ihre Schule eine auf MAC-Adressen basierende Zugriffskontrolle im Netzwerk implementieren möchte, sodass nur MAC-Adressen auf der Whitelist (zulässig) eine Verbindung zum Netzwerk herstellen können.

Wie andere bereits betont haben (und wie ich bereits erwähnt habe), können MAC-Adressen bearbeitet werden. Auf diese Weise kann jeder seine eigene MAC-Adresse in die eines legitimen Schülers ändern und ihm Zugriff auf das Netzwerk gewähren.
MAC-Adress-basierte Zugriffskontrollen verhindern, dass einige Personen mit dem Passwort, das sie von einem Freund an Ihrer Schule erhalten haben, auf das Netzwerk zugreifen können (da sie nicht über die Kenntnisse/Fähigkeiten verfügen, um diese schwache Verteidigungslinie zu umgehen ), aber es wird diejenigen nicht aufhalten, die entschlossen sind, auf das Netzwerk zuzugreifen.

Wenn es der Schule ernst ist, die Netzwerknutzung der Schüler zu verfolgen und/oder nur den Zugang zu Schülern zu beschränken, stehen viel bessere Alternativen zur Verfügung.

Ein Beispiel hierfür ist RADIUS authentifiziertes WLAN.
Auszug aus: FreeRadius.org

IEEE 802.1X und RADIUS Authentifizierung

Die IEEE-Standards für Wi-Fi (IEEE 802.11) sehen einen "Enterprise" -Modus vor, der sich grundlegend von PSK-Netzwerken unterscheidet, da die Wi-Fi-Verschlüsselungsschlüssel bereitgestellt werden pro Benutzer und pro Sitzung. Jeder Benutzer muss sich mit seinen persönlichen Anmeldeinformationen authentifizieren. In diesem Moment wird ein Schlüssel generiert, der dem Gerät des Benutzers und dem NAS, mit dem er eine Verbindung herstellt) mitgeteilt wird.

Bevor Benutzer ihre Authentifizierungsdaten senden, muss der Benutzer das Netzwerk authentifizieren und nachweisen, dass es tatsächlich echt ist. Erst dann wird der Berechtigungsnachweis des Kunden freigegeben. Der IEEE-Standard IEEE 802.1X (unter Verwendung von RADIUS und dem Extensible Authentication Protocol, EAP) wird zur Authentifizierung und Schlüsselverwaltung verwendet.

Die Wi-Fi-Authentifizierung für Unternehmen ermöglicht auch erweiterte Funktionen wie Benutzer dynamisch in ein bestimmtes VLAN einbinden (z. B. separate Gast- und Mitarbeiteranmeldungen in verschiedenen IP-Netzwerken, obwohl dies der Fall ist auf derselben SSID) und dynamische ACLs

Enterprise Wi-Fi erfordert:

  1. Ein RADIUS Server, der die EAP-Authentifizierung durchführen kann.
  2. Wi-Fi-Geräte, die für die Verwendung der Authentifizierung RADIUS) korrekt konfiguriert sind.
  3. Benutzergeräte, die für die korrekte Ausführung von Enterprise Wi-Fi konfiguriert sind.
3
BlueCacti

Eine MAC-Adresse repräsentiert nur die physische Adresse eines Geräts. Die MAC-Adresse eines Geräts wird basierend auf dem ARP-Protokoll in der Sekunde ausgegeben, in der das Gerät eine Verbindung zum WIFI herstellt.

Wenn Sie nach Ihrer MAC-Adresse fragen, können diese möglicherweise leichter eine Liste der Geräte filtern, die auf das jeweilige Netzwerk zugreifen dürfen.

Ich persönlich denke, sie fragen nach Ihrer MAC-Adresse, damit die Schüler nur auf die Internetverbindung der Schule zugreifen können. Eine zufällige Person kann nicht auf ihr Netzwerk zugreifen, wenn ihre MAC-Adresse nicht hinzugefügt wird (selbst wenn sie das Passwort hat).

Es ist jedoch einfach, die MAC-Adresse einer Person zu erhalten und Ihre an ihre anzupassen (aber ich wette, eine minimale Anzahl von Personen würde diesen Weg einschlagen).

Um Ihre Fragen jetzt zu beantworten, sammeln sie keine zusätzlichen Informationen über Sie, die sie noch nicht hatten. Sobald Sie eine Verbindung zum WIFI hergestellt haben, konnten sie sofort auf Ihre MAC-Adresse zugreifen. Jetzt können sie Sie jedoch schneller finden.

Sie könnten gut sein, um Ihre Geschichte zu verfolgen, aber das erfordert eine Menge Arbeit, die eine Schule zweifellos erledigen wird, wenn sie nicht dazu verpflichtet ist. Normalerweise verwenden sie Proxies (mittlere Männer zwischen Ihnen und der Webseite), um Schüler daran zu hindern, bestimmte Websites zu besuchen, oder um ihrem Server Datenschutz zu verleihen.

Wenn Sie Tor verwenden, bleibt Ihr Verlauf anonym, es wird jedoch darauf hingewiesen, dass Sie einen solchen Internetbrowser verwendet haben.

Maßnahmen, die Sie ergreifen können, um sie zu verhindern: - Verwenden Sie eine virtuelle Box, in der Sie Ihre MAC-Adresse bearbeiten können. - Beim Surfen im Internet können Sie jederzeit Ihren DSN und Ihre Proxys (der virtuellen Box) ändern.

Es gibt viele andere Möglichkeiten, aber in gewisser Weise ist es auch ziemlich schwierig zu verhindern, dass jemand in Ihre Privatsphäre eindringt, wenn Sie dessen Netzwerk verwenden.

2
Cedric F.

Sie geben der Schule keine zusätzlichen Informationen.

Wenn man das Wifi-Netzwerk verbindet, zeigt man bereits seine MAC-Adresse. Alle Frames zwischen dem Computer und dem Wifi-Zugangspunkt tragen den Quell- und Ziel-MAC. Andernfalls wäre es unmöglich zu senden und zu empfangen.

Die Schule bittet Sie daher um diese Informationen, um die Sicherheit für andere zu erschweren. Es ist eine angemessene Sicherheitsanforderung.

Es ist jedoch nicht sehr stark, da die MAC-Adresse leicht gefälscht werden kann. Aber es kann helfen, im Falle von Problemen zu korrelieren. Wenn jemand Ihren Benutzer mit einer anderen MAC-Adresse verwendet, kann die Schule vermuten, dass Ihr Konto gehackt wurde.

2
Ramón García