Blacklist für Mac-Addressen an einer SSID

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
HorstiBros
Beiträge: 2
Registriert: 28 Jul 2020, 11:09
Kontaktdaten:

Blacklist für Mac-Addressen an einer SSID

Beitrag von HorstiBros »

Moin!

ich komme mit google und Handbuch nicht wirklich weiter und hoffe nun hier auf Hilfe, die mich in die richtige Richtung schiebt.

Ich möchte für eine SSID einzelne Geräte explizit verbieten. Grundsätzlich sollen sich alle Geräte verbinden dürfen, jedoch zwei MAC-Adressen möchte ich außen vor lassen.

Gibt es dafür einen einfachen Weg?

Viele Grüße
Chris

Dr.Einstein
Beiträge: 1983
Registriert: 12 Jan 2010, 14:10
Wohnort: Berlin
Kontaktdaten:

Re: Blacklist für Mac-Addressen an einer SSID

Beitrag von Dr.Einstein »

Hi Chris,

wenn du mittels LanConfig auf Wireless-LAN -> Stationen/LEPS gehst, sollte dort im Standard "Daten von den aufgeführten Stationen ausfiltern, die anderen Stationen übertragen" ausgewählt sein. D.h. pack in die Stationsregel-Tabelle deine zu blockierenden MAC-Adressen rein (optional mit SSID Angabe) und du solltest dein Ziel erreicht haben.

Gruß Dr.Einstein

HorstiBros
Beiträge: 2
Registriert: 28 Jul 2020, 11:09
Kontaktdaten:

Re: Blacklist für Mac-Addressen an einer SSID

Beitrag von HorstiBros »

Hi,

danke für den Hinweis. So ganz komme ich aber noch nicht dahinter. Der Text unter LEPS-Mac ist "Hier können Sie gezielt Stationen ... freischalten. Nicht eingetragene Stationen dürfen sich nicht verbinden".

Ich möchte doch aber genau das Gegenteil.
Dateianhänge
Bildschirmfoto 2020-07-28 um 21.09.01.jpg
Bildschirmfoto 2020-07-28 um 21.09.01.jpg (31.7 KiB) 231 mal betrachtet

Benutzeravatar
hyperjojo
Beiträge: 641
Registriert: 26 Jul 2009, 02:26
Kontaktdaten:

Re: Blacklist für Mac-Addressen an einer SSID

Beitrag von hyperjojo »

hallo,

du kannst die Funktion der Stationstabelle (Blacklist oder Whitelist) wie bereits von Dr.Einstein geschrieben umstellen, in dem du den Haken unter "Daten von den aufgeführten Stationen ausfiltern, die anderen Stationen übertragen" setzt.
Der Hilfetext ist hier tatsächlich etwas irreführend.

Bitte bedenke aber auch, auf welchen logischen WLAN-Netzwerken du die MAC-Filterung dann aktiv hast, damit es nur für die gewünschten SSIDs gilt.

Gruß hyperjojo

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6121
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Blacklist für Mac-Addressen an einer SSID

Beitrag von alf29 »

Moin,

da das hier in der WLC-Rubrik gepostet wurde: Den Positiv/Negativ-Schalter gibt es auf dem WLC nicht. Gemanagte APs greifen auf die MAC-Liste auf dem WLC per RADIUS zu, und eine Negativauswahl läßt sich auf RADIUS nur mit ziemlichen Verrenkungen abbilden.

Spätestens wenn man Dinge wie LEPS benutzt, macht eine Negativliste auch keinen Sinn mehr. Zugelassenen Clients will man eine individuelle Passphrase zuteilen, die muß man also als Positiv-Einträge in die Liste schreiben, und alle nicht eingetragenen Adressen werden sowieso abgelehnt. Da würde man höchstens bei einem Schema der Form:
  • Positiveinträge mit eigener Passphrase
  • Negativeinträge zum Ablehnen
  • MAC-Adressen, für weder das eine noch das andere besteht, werden mit Default-Parametern reingelassen
landen, aber dann stellt sich wieder die Frage, was das Gerät denn tun soll, wenn jemand für die gleiche Adresse sowohl einen Positiv- als auch Negativ-Eintrag gemacht hat.

Auf dem WLC haben wir daher von vornherein auf einen Negativmodus verzichtet, zumal das Abweisen von Clients alleine aufgrund ihrer MAC-Adresse mittlerweile wenig praktischen Nutzen hat. Ein echter Angreifer, der ins Netz eindringen will, würfelt einfach immer neue MAC-Adressen aus, da kann man beliebig viele Adressen in die Liste eintragen, und ob man einen "nicht böswilligen" Client mit den Ablehnungen auf einen anderen AP gesteert bekommt, ist auch fraglich. Besser man betreibt keine unverschlüsselte SSID, das ist der viel bessere Schutz gegen unerwünschte Clients.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste