MAC-Filtering über Netzwerk Switch

qoestebek

Cadet 2nd Year
Registriert
Sep. 2012
Beiträge
23
Moin Zusammen,

ich habe bei mir folgende Geräte im Einsatz:

1 x FritzBox 7490
4 x TL-WA901ND ( 450Mbps Wireless N Access Point, TP-Link)

ca. 40 WLAN Nutzer und 1 LAN Nutzer

Diese Geräte finden Einsatz in einer Nachhilfeeintrichtung und sollen WLAN für Schüler, Studenten und Betreuer bereitstellen. Aus preislichen Gründen haben wir uns für SOHO Geräte entschieden.

Nun möchte ich das Netzwerk mit einem Switch erweitern und möchte u.a. dadurch eine zentrale MAC-Filtering einrichten.

Dass MAC-Filter Nachteile hat etc. und für manche User hier wertlos ist, weiß ich. Dennoch wäre ich über Tipps darüber dankbar.

Konkret: Ich bin auf der Suche nach einem SOHO Switch, mit mehr als 5 Ports und der Möglichkeit einzelne Geräte durch MAC-Filtering einzutragen bzw. auszuschließen.

Internet < - > Router < - > Switch < - > MAC-Filter < - > AccessPoints < - > Endgeräte

Vielen Dank!
 
Wie hoch ist das Budget? Für sowas empfehle ich managed Switches von HP oder Cisco...
 
Wie soll das System dann eine IP bekommen wenn es nicht zum Router durchkommt? Oder willst du diese Trennung gar nicht? Dann würde doch der Mac Adressfilter in der FB reichen.

Was hast du denn vor?
 
Telvanis schrieb:
Wie hoch ist das Budget? Für sowas empfehle ich managed Switches von HP oder Cisco...

50 - 80€
Was hältst du von Netgear und TPLink Switches?

Benzer schrieb:
Wie soll das System dann eine IP bekommen wenn es nicht zum Router durchkommt? Oder willst du diese Trennung gar nicht? Dann würde doch der Mac Adressfilter in der FB reichen.

Was hast du denn vor?

An das Internet sollen nur die Geräte kommen, die zugelassen worden sind. D.h., die AccessPoints und zugelassene Betreuer und Schüler Geräte. z.B: Wir geben das WLan Passwort an alle heraus, nur mit der Bedingung, das WLan am Laptop für schulische Zwecke zu nutzen. Deswegen habe ich mir gedacht, die MAC-ADresssen der Schüler Laptops einzusammeln und einzutragen. Die Handys und Tablets etc. bleiben davon weg. Ich bin mir bewusst, dass man das umgehen kann. Aber bei dieser Zielgruppe ist dies nicht der Fall.

Der MAC-Filter in der FB funktioniert leider nicht, da die APs durch LAN an das FB verbunden sind und die Geräte mit WLAN an die APs. Bei FB kann man nur WLAN Mac Filtering machen, aber die verbundenen Endgeräte sind als LAN angezeigt. Aber falls hier eine Lösung anliegt, gerne.

Edit: Aktuell sind die zugelassenen Geräte durch die MAC-Filterung in den APs eingetragen. Aber da wir vier Stück haben ist die Verwaltung zu hoch. Bei jeder Änderung oder neuer Geräte muss man somit eine Adresse in den vier APs eintragen bzw. ändern. Deswegen war hier der Gedanke, einen Switch als eine zentrale MAC-Filterung zu nutzen und dabei auch das Netzwerk zu optimieren.
 
Zuletzt bearbeitet:
Dann ist der MAC Adressfilter das falsche Mittel, was du brauchst ist ein Proxy Server bzw. ein Gateway was den Internetzugang steuert.
Das sollte sich mit der Kindersicherung der FB machen lassen.
 
Wir geben das WLan Passwort an alle heraus, nur mit der Bedingung, das WLan am Laptop für schulische Zwecke zu nutzen. Deswegen habe ich mir gedacht, die MAC-ADresssen der Schüler Laptops einzusammeln und einzutragen.

Ihr gebt also jedem mal das WLan Passwort und wollt nachträglich noch einzelne MAC freigeben?
Irgendwie seltsam denn jemand der das Passwort nicht kennt kann sich eh nicht ins WLAN einwählen.
Dann brauchst auch keine MAC Filter.
Aber vllt hab ich da einen Denkfehler.

Und jedes mal wenn ein Schüler ein anderes Gerät nutzen will
(mal Handie mal Laptop mal Tablet)
kommt er dann zu euch und ihr müsst die MAC manuell freischalten?

Naja doppelte Sicherheit wär es aber auch doppelter Aufwand.
Hat der AP keinen MAC Filter? Denk dort könnte man ja schon blocken.

p.s. würde dann auch hergehen und jedes Schuljahr ein neues WLAN Passwort einstellen und allen Beteiligten bekanntgeben.
 
Zuletzt bearbeitet:
Wenn es sich hierbei nur um WLAN User handelt, kann der TL-WA901ND auch MAC-Filtering, allerdings muss man das dann auf allen konfigurieren.

Die Netgear SOHO Geräte sind unmanaged womit man das MAC Filtering nicht einstellen kann.

Vllt einen Squid Proxyserver inklusive Squidguard einrichten mit User Authentication statt mit MACs zu machen?
 
Zuletzt bearbeitet:
qoestebek schrieb:
Dass MAC-Filter Nachteile hat etc. und für manche User hier wertlos ist, weiß ich. Dennoch wäre ich über Tipps darüber dankbar.
Das hat auch nichts mit persönlicher Meinung, o.ä. zu tun, sondern ist eine Tatsache. MACs lassen sich zB mit Windows Bordmitteln ändern - es wird also keinerlei Zusatzsoftware benötigt. Anleitungen dazu gibt es im www wie Sand am Meer. MAC-Filter haben mit "Sicherheit" ungefähr soviel zu tun wie ein Streifen Tesafilm auf deinem Türschloß, einfach abziehen. Hinzu kommt natürlich noch der Verwaltungsaufwand, den du ja selbst schon bemerkt hast. Am Ende ist ein MAC-Filter also nicht nur weitestgehend wirkungslos, sondern auch noch anstrengend. Wirklich punkten kann der MAC-Filter daher an keiner Front, weder bei der Sicherheit noch beim Komfort.


Dein Problem ist nun aber genau der verständliche, aber problembehaftete Sparwille bei fortgeschrittenen Netzwerken. MAC-Filter sind für den Zweck der Zugangskontrolle unbrauchbar, einfach das falsche Werkzeug. Sinnvoller wäre beispielsweise die Gast-Funktion der Fritzbox oder auch eine Kindersicherung, o.ä. Optimal wäre natürlich ein fortgeschrittenes System wie es in vielen Hotels und Hotspots zum Einsatz kommt: Ein Captive Portal. Dann muss sich jeder WLAN-Nutzer erst per Login authentifizieren bevor er freigeschaltet wird. Mit besagter Kindersicherung, White-/Blacklists oder auch einem gefilterten DNS kann man darüberhinaus den Inhalt filtern, auf den zugegriffen werden kann, zB "Facebook --> blockiert".

Ich kann nicht mit absoluter Sicherheit sagen ob die eingebauten Mechanismen der Fritzbox dafür ausreichend sind, da ich keine Fritzbox habe. Ein Austausch sämtlicher Hardware - zB gegen UniFi von Ubiquiti - steht vermutlich nicht zur Debatte, ist also auch keine Lösung. Denkbar wäre evtl. eine Firewall, ein Proxy, o.ä. der sich zwischen Fritzbox und APs hängt und entsprechend filtert. Beispielsweise eine Box mit pfSense oder dergleichen.
 
Zuletzt bearbeitet:
Benzer schrieb:
Dann ist der MAC Adressfilter das falsche Mittel, was du brauchst ist ein Proxy Server bzw. ein Gateway was den Internetzugang steuert.
Das sollte sich mit der Kindersicherung der FB machen lassen.

Kannst du mir vielleicht bitte erläutern wie und mit welchen Geräten ein Proxy bzw. ein Gateay zum Einsatz kommen könnte? Die Kindersicherung der FB funktioniert nur dann, wenn sich ein Gerät in das Netzwerk eingeloggt hat. D.h., man kann keine Geräte selbst eintragen. Außerdem ist die Bedienung auch ein bisschen mau, da nur die Gerätenamen und nicht die MAC-Adressen da sind, zur Identifizierung.


cbtestarossa schrieb:
Ihr gebt also jedem mal das WLan Passwort und wollt nachträglich noch einzelne MAC freigeben?
Irgendwie seltsam denn jemand der das Passwort nicht kennt kann sich eh nicht ins WLAN einwählen.
Dann brauchst auch keine MAC Filter.
Aber vllt hab ich da einen Denkfehler.

Und jedes mal wenn ein Schüler ein anderes Gerät nutzen will
(mal Handie mal Laptop mal Tablet)
kommt er dann zu euch und ihr müsst die MAC manuell freischalten?

Naja doppelte Sicherheit wär es aber auch doppelter Aufwand.
Hat der AP keinen MAC Filter? Denk dort könnte man ja schon blocken.

Es ist so noch nicht im Einsatz, aber was ich mir vorstelle ist folgendes:
1. Schüler füllt unser WLAN Nutzungsbedingungen Formular aus. Darin gibt es ein Feld: MAC Adresse vom Laptop: XXXXXXX. Der Schüler trägt es sein. Er bekommt das WLAN Passwort.
2. Der Admin tut seine MAC-Adresse freischalten.
3. Dem Schüler sein Handy usw. bleibt aus dem Netzwerk auch bei bekanntem Passwort.
4. Ein Wlan Passwort geheim zu halten, ist bei solch einer Gruppe echt sehr schwer. Deswegen wird es auch gleich preisgegeben. :D


Fireplayer schrieb:
Wenn es sich hierbei nur um WLAN User handelt, kann der TL-WA901ND auch MAC-Filtering, allerdings muss man das dann auf allen konfigurieren.

Die Netgear SOHO Geräte sind unmanaged womit man das MAC Filtering nicht einstellen kann.

Vllt einen Squid Proxyserver inklusive Squidguard einrichten mit User Authentication statt mit MACs zu machen?

Ja, die APs haben einen guten MAC-Filter, dennoch muss man die Arbeit danach 4x durchführen.
Kannst du dein Vorschlag bzgl. dem Squid erläutern, wie man das umsetzen könnte?
 
cbtestarossa schrieb:
wenn ein Schüler hergeht und seine Zugangsdaten einem anderen Schüler gibt
Das Problem wird man immer haben. Vor solchen Situationen kann man sich auch nicht wirklich schützen. Abgesehen von biometrischen Logins - wobei auch die leichter zu umgehen sind als man denkt - wird man nie mit 100%iger Sicherheit einen Nutzer gezielt aussperren können. Man kommt vermutlich sogar in Fort Knox rein, wenn man von einem Mitarbeiter die Keycard bekommt bzw. sie klaut. Ok, nach der ersten Tür wird man dann wohl erschossen, aber man hat es immerhin durch's Eingangstor geschafft ;)
 
So wie ich das sehe, ist ein Proxy wirklich die beste Möglichkeit. Das kann dann entweder die Fritze sein - wobei ich mir da unsicher bin - inwiweit du die als solchen konfigurieren kannst, oder ein extra Rechner mit nem Proxy drauf, da jab ich aber leider keine Ahnung von. Sowas lässt sich bestimmt mit nem Linux relalisieren...
 
Schüler füllt unser WLAN Nutzungsbedingungen Formular aus. Darin gibt es ein Feld: MAC Adresse vom Laptop: XXXXXXX. Der Schüler trägt es sein. Er bekommt das WLAN Passwort.

Hm die Frage ist nur ob die Schüler überhaupt wissen wie ihre MAC lautet.
Sieht man die auf allen Geräten?

Irgendwie alles zu kompliiziert.
Würde das WLAN gleich nur mit normalem Passwort schützen.
Und irgendwo einen (DNS) Filter einbauen der Pornseiten / Werbung etc blockt.

Wobei was wenn jemand eigenen DNS verwendet.
Die Frage ist nur ob es mit so günstigen SOHO Geräten läuft alles zu blocken was man möchte.
Naja gibt sicher immer ne Lösung irgendwie. Proxy eventuell.
 
Zuletzt bearbeitet:
Ich würde es einfach per Whitelist machen und fertig. Wird doch nicht so schwer sein die Nachhilfelehrer darum zu bitten eine Auswahl an Webseiten zu bestimmen die freigegeben werden sollen. Da werden alle Geräte hintergehangen in der Kindersicherung der FB außer den paar Geräten die es nicht betrifft.
 
Whitelist ist in dem Fall eher kontraproduktiv.
Speziell wenn man etwas sucht. Da gibt es 1000e Seiten wohin verlinkt wird.

Eventuell könnte man irgendwo DNS so blocken dass auch nur der eigene DNS Server verwendet werden kann.
Dort dann noch die Blocklisten verwalten. Am Router könnte man noch gewisse Kindersicherungen zuschalten.
 
Zuletzt bearbeitet:
Schon mal an z.B. IPFire gedacht?
 
Ein gefilterter DNS ist in der Tat nur dann effektiv, wenn man andere DNS blockt bzw. den gewählten DNS erzwingt. Bei Routern für den Heimgebrauch wie einer Fritzbox kann dies nur schwierig bis unmöglich umzusetzen sein. Bei einem fortgeschrittenen Router würde man einfach ein simples Destination NAT einbauen, dass sämtlichen Traffic für Port 53 (<--DNS) auf zB OpenDNS, etc. weiterleitet. Selbst wenn man dann am Laptop zB 8.8.8.8 als DNS eingibt, biegt der Router das dann stets auf OpenDNS um.

Am Ende ist es eine Frage wieviel kriminelle Energie die Nutzer haben und was man ihnen zutraut. 100% Sicherheit ist nicht möglich, das schaffen selbst Profis nicht bzw. der Aufwand und die benötigten Werkzeuge/Geräte kosten dann ne Stange Geld.....
 
Evtl. Squid auf einen Rasperry Pi aufsetzen also kostengünstige Variante.
Gibt dazu einige Videos/HowTos bei Google.

Aber ich denke die beste und einfachste Lösung wäre, wie oben schon erwähnt, ein Captive Portal.
Da hat man nicht so viel Konfiguriationsaufwand und kann evlt hier auf die max. Verbindung mit einem Account auf 1 stellen, sodass nur ein Gerät sich anmelden kann.
 
Zuletzt bearbeitet:
Zurück
Oben