Geräte im Heimnetz identifizieren

[Skinman]

Servus,
tl,dr: wie sicher und eindeutig kann man eigentlich Geräte im WLAN anhand der MAC-Adresse zuordnen?
Und weiß jemand zufällig, wo ich das MAC-Spoofing im "vanilla" Android des Xiaomi Redmi7 einschalte?
Langfassung:
Aus Gründen versuche ich gerade mal, die ganzen WLAN-Endgeräte zu identifizieren, die sich seit dem Hard-Werksreset meiner Fritzbox letzten November an unserem WLAN angemeldet haben.
Vor diesem Reset war das WLAN abgeschaltet. Nach dem Reset hatte ich WPA2 (CCMP) Verschlüsselung eingestellt und eine recht starke Passphrase als Netzwerkschlüssel gesetzt. Trotzdem tauchen da so einige Endgeräte auf, die ich jedenfalls nicht auf Anhieb zuordnen konnte, zumal ich zu dem Zeitpunkt das mit den MAC-Adressen noch nicht richtig verstanden hatte. (Außerdem werden MAC-Adressen in den entsprechenden Menüs der Fritzbox-Webclient-Konfigurationsoberfläche nicht als MAC-Adresse bezeichnet, sondern als "Geräteinformation". Aber ich schweife ab.)
Jedenfalls erhielt ich dann aus einem Youtube-Video von AVM die Information, dass die MAC-Adresse hardcodiert sei und man darüber also definitiv Endgeräte im WLAN eindeutig zuordnen könne.
Ich hatte alle unbekannten Geräte behelfsweise erst mal durch die Kindersicherung gesperrt und wollte die berechtigten Geräte unseres Haushalts jetzt einzeln gezielt anhand der MAC-Adresse wieder freischalten. Als erstes ließ ich mir dazu das Nokia-Android-Smartphone einer älteren Mitbewohnerin geben, der ich die Passphrase damals auch mitgeteilt hatte.
Erste Überraschung: In diesem berechtigten Gerät war die Passphase nicht gespeichert und seine MAC-Adresse tauchte nicht in der Fritzbox auf.
Zweite Überraschung: In einem Untermenü "Datenschutz" in dem Einstellungs-Menü dieses Geräts konnte man auswählen, ob das Gerät sich am WLAN mit seiner echten MAC-Adresse anmelden soll oder sich zufällig selbst eine ausdenken. Ich war perplex! Das AVM-Video hatte gelogen!
Kann man eigentlich über die Fritzbox jetzt irgendwie noch weitere Informationen über die in der Vergangenheit angemeldeten Geräte erfahren, oder Verbindungsprotokolle, Datenvolumina oder dergleichen?

 

[WulfmanGER]

"Trotzdem tauchen da so einige Endgeräte auf, die ich jedenfalls nicht auf Anhieb zuordnen konnte" <- bei iOS und Android ist standardmässig "Private WLAN-Adresse" aktiviert. Da hat das Handy mit jedem einloggen in WLAN eine neue MAC-Adresse. Für das EIGENEN WLAN hab ich das ausgeschaltet (3 Handys im Haushalt), da mir sonst die 5 "Gäste"-IPs ausgehen

Aber mit dieser Einstellung füllt sich die Endgeräte-Liste in der Fritz!Box halt .... die Fritz!Box weiß nicht das 11:22:33:44:55:66 der gleiche Client ist wie 22:33:44:55:66:77

 

[derchris]

Geht kein Enterprise-WPA mit Radius und User Accounts? Dann ist jedes Gerät eindeutig einem Nutzer zuzuordnen und wenn du den Nutzer los werden willst, einfach im Radius den Account sperren/löschen?

 

[h00bi]

Da hat das Handy mit jedem einloggen in WLAN eine neue MAC-Adresse

Die MAC wechselt nur pro SSID, nicht pro Login.

Das AVM-Video hatte gelogen!

war einfach nur unvollständig.

Aus Gründen versuche ich gerade mal, die ganzen WLAN-Endgeräte zu identifizieren, die sich seit dem Hard-Werksreset meiner Fritzbox letzten November an unserem WLAN angemeldet haben.

Ändere das Passwort und gebe jedem Gerät in der Fritzbox einen eindeutigen Namen, sobald du es erstmals verbunden hast.

 

[SpamBot]

SSID, nicht pro Login.

Nein bei Android wechselt es pro Login, zumindest bei meinem Handy. Zumindest in den Standardoptionen wo die Privatsphäre Dinger aktiviert sind.

 

[h00bi]

Nicht pauschal.
AOSP Standardoption ist für jede neue SSID eine neue MAC.
An manchen Geräten kannst du es schärfer einstellen, an manchen nicht, an manchen hat es der Hersteller bereits schärfer eingestellt.
An meinem SGS9 geht pro Login gar nicht.
Ich kann nur zufällig (pro SSID) oder echte Telefon-MAC auswählen.

 

[BFF]

Die MAC wechselt nur pro SSID

Und auch bei iOS kann es vorkommen das eine neue MAC genommen wird trotz gleicher SSID. Passiert bei mir ab und zu, wenn die iPhones sich zuerst an einem der Extender anmelden und beim nächsten Mal direkt am Router. Extender sind rein 2,4 Ghz, der Router 5 und 2,4. Kein Mesh.

@Skinman
Passworts ändern und die Geräte nacheinander wieder in das Netz.

 

[hanse987]

Ich hatte alle unbekannten Geräte behelfsweise erst mal durch die Kindersicherung gesperrt und wollte die berechtigten Geräte unseres Haushalts jetzt einzeln gezielt anhand der MAC-Adresse wieder freischalten.

So einfach wie man eine MAC Adresse ändern und klonen kann, kannst du dir die Arbeit auch sparen. Viel Aufwand, oft Probleme, kaum Schutz!

 

[Raijin]

wie sicher und eindeutig kann man eigentlich Geräte im WLAN anhand der MAC-Adresse zuordnen?

Ziemlich sicher. Du musst nur alle Geräte in die Hand nehmen, in ihren Einstellungen die MAC-Adresse rausfinden und das war's. Random-MACs können hier einen Strich durch die Rechnung machen bzw. die muss man dann ggfs in einem Untermenü auslesen.

Randomisierte MAC-Adressen erkennt man daran, dass sie mit x2: / x6: / xA: / xE: beginnen. Das liegt daran, weil exakt 2 Bits in der MAC statisch bleiben und der Rest vollständig zufällig ist. Bei einer "richtigen" MAC lässt sich auf entsprechenden Webseiten die Vendor-ID auslesen, also den vermeintlichen Hersteller des Geräts oder oftmals auch nur der Hersteller des Netzwerkcontrollers (zB Realtek). Bei Random-MACs funktioniert das natürlich nicht, weil sie bis auf die besagten Bits zufällig sind.

Jedenfalls erhielt ich dann aus einem Youtube-Video von AVM die Information, dass die MAC-Adresse hardcodiert sei und man darüber also definitiv Endgeräte im WLAN eindeutig zuordnen könne.

In der Theorie ist das auch so. In der Praxis kann der Treiber aber die MAC softwarebasiert verändern. Deswegen sind MAC-basierte Sperren wie zB der MAC-Filter im WLAN-Router nahezu wirkungslos, weil man keine 30 Sekunden googlen muss, um zu erfahren wie man eine MAC-Adresse ändert und sich ggfs eine gültige bzw. freigeschaltete MAC aus dem Äther rausgreifen kann.

Dennoch spielt die MAC eine zentrale Rolle in Netzwerken, auch wenn Otto Normal maximal mit IP-Adressen in Berührung kommt. Denn herkömmliche Switches, etc. arbeiten ausschließlich mit MAC-Adressen und wissen gar nicht was eine IP-Adresse ist.

Zweite Überraschung: In einem Untermenü "Datenschutz" in dem Einstellungs-Menü dieses Geräts konnte man auswählen, ob das Gerät sich am WLAN mit seiner echten MAC-Adresse anmelden soll oder sich zufällig selbst eine ausdenken. Ich war perplex! Das AVM-Video hatte gelogen!

Ohne mir das Video angeschaut zu haben: AVM ist ein Hersteller von Consumer-Routern und das ist auch die Zielgruppe. Zwangsläufig werden in solchen Videos verschiedene Details oder Sonderfälle nicht behandelt, weil Otto Normal das Video nicht mehr verstehen würde, wenn am Ende noch die OSI-Layer erklärt werden... Steffen Standard und Nadine Normal wollen ihre Fritzbox nur anschließen, einschalten und im Internet surfen.



Die Random-MAC sollte übrigens in der Tat je Netzwerk statisch bleiben und nur bei neuen Verbindungen oder ggfs nach längerer Inaktivität neu generiert werden. Ich meine bei iOS sind das 6 Wochen ohne Verbindung bis die jeweilige Random-MAC erneuert wird. Es mag sein, dass einige Hersteller hier kürzere Zyklen einbauen, aber wenngleich das vielleicht noch anonymer macht (naja...), kann es doch im jeweiligen Netzwerk unter Umständen für massive Probleme sorgen - zB wenn die MAC bei jedem Login neu generiert wird wie @SpamBot es bei seinem Smartphone wohl festgestellt hat. Durch sowas können DHCP-Server rasend schnell vollaufen und plötzlich geht im Netzwerk gar nichts mehr, weil der DHCP-Pool keine freien IPs mehr hat.
Perfekte Anonymität durch lahmlegen des Netzwerks - auch eine Methode