# MAC-Authentifizierungs-Bypass
{% hint style="danger" %}
Da **MAC-Adressen leicht gefälscht werden können**, wird die Implementierung eines MAC Authentication Bypass **dringend davon abgeraten** es sei denn, dies ist unbedingt erforderlich und der Administrator hat das mit einer solchen Umgehung verbundene Risiko gegen den Komfort und die budgetären Einschränkungen bei der Modernisierung veralteter Hardware abgewogen.
{% endhint %}
## Übersicht
**MAC Authentication Bypass (MAB)** ist eine Funktion, die es Geräten, die keine standardmäßige 802.1X-Enterprise-Authentifizierung durchführen können (z. B. ältere Drucker, einfache Sensoren oder eingebettete Systeme), ermöglicht, sich mit einem ansonsten sicheren Netzwerk zu verbinden. MAB gewährt Zugriff, indem die eindeutige MAC-Adresse eines Geräts als einziges Identifikationsmerkmal gegen eine autorisierte Liste verwendet wird, die von einem RADIUS-Server verwaltet wird.
Die alte Implementierung von MAB ist **anfällig für MAC-Adress-Spoofing sowohl auf** der Verbindung zwischen dem authentifizierenden und dem Netzwerkgerät als auch auf der Verbindung zwischen dem Netzwerkgerät und dem RADIUS-Server. Um den zweiten Angriffsvektor zu beseitigen, kann eine stärkere Implementierung von MAB, genannt **MAB-to-EAP**, verwendet werden, die die Integrität der an den RADIUS-Server übertragenen MAC-Adresse effektiv sicherstellt (die MAC-Adresse kann auf der Verbindung zwischen dem authentifizierenden und dem Netzwerkgerät weiterhin gefälscht werden).
Dieser Leitfaden beschreibt die Unterschiede zwischen der unsicheren alten Methode **Pure MAB** und dem modernen, transportgesicherten Workaround.
## MAB-Terminologie und Implementierungen
**MAB:** MAC Authentication Bypass
**EAP:** Extensible Authentication Protocol
**Supplicant:** Die Entität (z. B. ein Laptop, ein Telefon oder eine Netzwerkschnittstelle), die den Authentifizierungsprozess mit einem Authenticator startet um Zugriff auf ein Netzwerk zu erhalten.
**Authenticator:** Eine Netzwerkentität (z. B. ein Switch, ein Wireless Access Point oder ein VPN-Gateway), die vor der Gewährung des Zugriffs eines Supplicant auf das Netzwerk die Authentifizierung durchsetzt.
**Authentication Server:** Eine vertrauenswürdige Netzwerkentität (z. B. ein RADIUS-Server), die für die Überprüfung der Identität von Supplicants durch Prüfung ihrer Anmeldedaten (z. B. Benutzernamen, Passwörter oder digitale Zertifikate) und die Entscheidung zuständig ist, ob sie zum Zugriff auf das Netzwerk berechtigt sind.
**Pure MAB** (Alte Implementierung): Bei dieser Methode sendet der Authenticator die MAC-Adresse des Clients an einen RADIUS-Server, normalerweise im `Calling-Station-Id` RADIUS-Attribut. Der RADIUS-Server führt eine einfache Suche durch und gibt ein `Access-Accept` oder `Access-Reject`zurück. Die MAC-Adresse dient als Identifikator, nicht als echtes Anmeldedatum.
**MAB-to-EAP** (Gesicherte Implementierung): Da Pure MAB keine kryptografisch sichere Übertragung bietet, verlangen viele moderne Dienste (wie RADIUSaaS) einen stärkeren Ansatz. Bei dieser Methode verwendet der Authenticator die MAC-Adresse des Clients sowohl als Benutzernamen als auch als Passwort und versucht dann, sich mit einem sicheren EAP-Protokoll (z. B. EAP-TTLS-PAP, PEAP-MSCHAPv2) beim RADIUS-Server zu authentifizieren. Das Clientgerät bleibt unbemerkt, dass überhaupt eine Authentifizierung stattgefunden hat.
## Wie Pure MAB funktioniert (externe RADIUS-Datenbank)
Wenn die MAC-Adressdatenbank von einem externen RADIUS-Server verwaltet wird (die übliche Enterprise-Konfiguration), gilt für Pure MAB die folgende Abfolge:
1. Ein Nicht-802.1X-Client verbindet sich und fordert Netzwerkzugriff an.
2. Der Authenticator erkennt die Verbindung und startet, da keine 802.1X-Aushandlung stattfindet, einen MAB-Versuch.
3. Der Authenticator nimmt die MAC-Adresse des Clients (z. B. `00:11:22:33:44:55`) und leitet sie an den RADIUS-Server in einer `Access-Request` Nachricht weiter. Die MAC-Adresse wird in der Regel in das `Calling-Station-Id` RADIUS-Attribut
4. geparst.
5. Er gibt eine `Access-Accept` Nachricht zurück, wenn die MAC-Adresse gefunden wird (Match), oder eine `Access-Reject` wenn sie nicht gefunden wird (No Match).
6. Wenn `Access-Accept` empfangen wird, autorisiert der Authenticator den Port und lässt den Client dem Netzwerk beitreten.
### Sicherheitsaspekte
Im Allgemeinen bietet **MAB wenig bis gar keine Sicherheit** und sollte mit äußerster Vorsicht verwendet werden.
* **MAC-Spoofing:** MAC-Adressen lassen sich auf den meisten modernen Computern und Netzwerkkarten leicht ändern (spoofen). Ein Angreifer kann die MAC-Adresse eines autorisierten Geräts beobachten und sein eigenes Gerät so konfigurieren, dass es diese verwendet, wodurch er unbefugten Zugriff erhält.
* **Identifikation, nicht Authentifizierung:** MAB ist lediglich eine Form der Geräteidentifikation. Es bestätigt nur, welches Gerät sich verbindet, nicht, wem es gehört oder ob es kryptografisch sicher ist.
Aufgrund dieser Schwächen unterstützen die meisten modernen cloudbasierten Authentifizierungsdienste (wie RADIUSaaS) weder Pure MAB noch Legacy-Protokolle wie PAP oder CHAP. Stattdessen verlangen sie die MAB-to-EAP-Methode, bei der die MAC-Adresse als Anmeldedaten innerhalb eines kryptografisch starken EAP-Tunnels verwendet wird.
## MAB-Implementierung mit EAP (ein RADIUSaaS-Ansatz für MAB)
Wenn MAB auf einem Authenticator konfiguriert ist und ein Legacy-Gerät, das 802.1X nicht unterstützt, Netzwerkzugriff anfordert, gibt sich der Switch oder AP als dieses Gerät aus und übernimmt die Authentifizierung im Namen des Clients durch Authentifizierung bei RADIUSaaS mit einem der unterstützten EAP [Protokolle](https://docs.radiusaas.com/admin-portal/users#protocols): EAP-TTLS-PAP oder PEAP-MSCHAPv2. Im Rahmen dieses Prozesses prüft RADIUSaaS, ob die MAC-Adresse in der RADIUSaaS-Datenbank in Form eines manuell hinzugefügten [Benutzer](/de/admin-portal/users.md). (Benutzername = Passwort = MAC-Adresse) aufgeführt ist. Falls ja, wird eine `Access-Accept` Nachricht zurückgegeben, und die EAP-basierte Authentifizierung wird abgeschlossen, wodurch dem Legacy-Gerät Netzwerkzugriff gewährt wird. Da der Authenticator eine TLS-Verbindung zu RADIUSaaS aufbaut, muss er dem [Serverzertifikats](/de/admin-portal/settings/settings-server.md#server-certificates) vertrauen, das RADIUSaaS verwendet.
Die Verwendung der MAC-Adresse als Benutzername/Passwort zum Auslösen von EAP ist ein spezieller Workaround, der vom Authenticator implementiert wird, um MAB zu simulieren und gleichzeitig stärkere EAP-Protokolle zu nutzen.
### Funktioniert MAB mit RADIUSaaS?
MAB funktioniert in seiner ursprünglichen Implementierung mit PAP oder CHAP nicht mit RADIUSaaS. Unter Berücksichtigung der obigen Definitionen kann die aktuelle Implementierung von RADIUSaaS MAB unterstützen, sofern Ihr Authenticator sich über eines der genannten Protokolle authentifizieren kann. Beachten Sie, dass wir, sobald diese unterstützten Protokolle bei der Authentifizierung verwendet werden, die Authentifizierung nicht mehr umgehen, und dann wird der spezifischere Begriff MAB-to-EAP verwendet.
### Konfiguration
**MAB** erfordert eine Konfiguration sowohl auf dem Authenticator als auch auf dem Authentication Server.
**Authenticator:**
* Aktivieren Sie 802.1X und MAC Authentication Bypass (MAB) auf den spezifischen Zugriffsports/SSIDs, die für Nicht-802.1X-Geräte vorgesehen sind.
* Vertrauen Sie dem [RADIUS-Serverzertifikat](/de/admin-portal/settings/settings-server.md#download).
* *Hinweis: Die Konfigurationsschritte sind herstellerspezifisch; siehe die Dokumentation Ihres Geräts.*
**Authentication Server:**
* Bei der Implementierung von MAB-to-EAP müssen Sie in RADIUSaaS eine explizite Autorisierungsregel erstellen, um alle Geräte, die sich über diese Methode authentifizieren, einem Fallback-VLAN mit minimalem Netzwerkzugriff zuzuweisen. Dies ist entscheidend, um das Prinzip der geringsten Privilegien durchzusetzen und zu verhindern, dass ein Angreifer, der eine gültige MAC-Adresse gefälscht hat, auf kritische Netzwerkressourcen zugreift. Die Regel sollte auf Grundlage der Authentifizierungsrichtlinien Ihrer Umgebung konfiguriert werden:
* Wenn MAB-to-EAP der einzige Verwendungszweck für die benutzername-/passwortbasierte Authentifizierung ist: Erstellen Sie eine allgemeine Autorisierungsregel (LAN/Wi-Fi), die jedem Gerät, das diesen Anmeldedatentyp verwendet, das Fallback-VLAN zuweist.
* Wenn Benutzername/Passwort für andere Clients verwendet wird (z. B. Benutzer): Diese Regel muss mithilfe regulärer Ausdrücke sorgfältig angepasst werden, um speziell das Muster einer MAC-Adresse im Benutzernamenfeld zu erkennen (z. B. `00:11:22:33:44:55`). Dadurch wird sichergestellt, dass nur der MAB-to-EAP-Verkehr im Fallback-VLAN isoliert wird.
* Zur Unterstützung von MAB-to-EAP müssen Sie [hinzufügen](/de/admin-portal/users.md#add) Benutzer im folgenden Format anlegen: Benutzername = Passwort = MAC-Adresse. Beispiel: `00:11:22:33:44:55` = `00:11:22:33:44:55`.
* Das MAC-Adressformat (Doppelpunkt, Bindestrich oder ohne Trennzeichen) muss exakt dem Format entsprechen, das Ihr Authenticator in den EAP-Anmeldedaten sendet. Wir empfehlen aus Konsistenzgründen die Verwendung der Doppelpunkt-Schreibweise (z. B. `00:11:22:33:44:55`).
* Wenn Sie mehrere Benutzer haben, können Sie sie gesammelt mit einer [CSV](/de/admin-portal/users.md#csv-import) Datei importieren.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/de/andere/faqs/mac-authentication.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.