WLAN-Schlüssel auf iOS/iPadOS im Heimnetz verbergen – welche Möglichkeiten gibt es?

B

BitSchmied

New member
Hallo zusammen,

ich habe eine Frage zur Konfiguration von iOS- bzw. iPadOS-Geräten im Heimnetzwerk.

Ausgangssituation:
  • Ca. 7 iOS/iPadOS-Geräte (iPhones/iPads)
  • Es existieren bereits zwei WLANs:
    • ein internes Hauptnetz
    • ein separates Gastnetzwerk
Ziel:
Ich möchte das WLAN auf den iOS/iPadOS-Geräten so einrichten, dass der Endanwender den WLAN-Netzwerkschlüssel nicht einsehen und somit nicht weitergeben kann.
Die Geräte sollen sich zwar problemlos mit dem WLAN verbinden können, der eigentliche Schlüssel soll für den Nutzer jedoch nicht sichtbar sein.

Fragestellung:
  • Welche Möglichkeiten oder Best Practices gibt es dafür unter iOS/iPadOS?
Mir ist bewusst, dass es sich um ein Heimnetz handelt und nicht um eine klassische Unternehmensumgebung.
Gerade deshalb bin ich an praxisnahen Lösungen interessiert.

Vielen Dank im Voraus für eure Unterstützung!
 
Hi,

ich würde mal sagen: So erstmal garnicht. Was man ggf. machen kann, wäre via MDM (Mobile Device Management) die entsprechenden Konfigurationen ausrollen und evtl. den Zugriff auf die WLAN-Konfiguration unterbinden. Dafür müssen die Geräte aber eben "managed" sein. Sind es BYOD-Geräte (gehören also nicht Dir), kannst Du sowas vergessen. Kannst halt noch mit MAC-Filtern bei den Accesspoints/beim Router arbeiten, für die - Dir bekannten - Geräte. Ein bisschen einfacher (da nicht einfach weiterzugeben) wäre ggf. noch die Anmeldung via Zertifikat (sofern das die Infrastruktur her gibt - je nachdem, was Du halt laufen hast), allerdings hättest Du dann auch noch das PKI-Thema auf dem Tisch. Denke, unbedarfte User hälst Du mit dem MAC-Filter schon draussen :)

Vielleicht hat ja noch jemand anders hier "die" Idee, oder es gibt ggf. noch Apps, welche sowas einschränken können, k.A. 🙃
 
Geht nur mit einem WLAN-Profil, das über Apple Configurator 2 von einem Mac auf das iOS-Gerät geladen wird. So mache ich das bei unseren Geräten auch. Alle wichtigen WLAN-Adressen und die zugehörigen Passwörter werden in das Profil geschrieben, zusammen mit der „automatisch verbinden“ Anweisung und der Anweisung „private WiFi-Address OFF“.

Findet sich auf den iOS-Geräten bei den Profilen unter VPN&Device Management wieder:
IMG_6755.jpeg
Die Passwörter sind für den Endnutzer nicht sichtbar.
 
Zuletzt bearbeitet:
Hi,


danke für die Rückmeldung!

Zur Netzwerkinfrastruktur: Wir haben ein FritzBox Mesh. MAC-Filter ist aktiv.

Ich habe keine Erfahrung mit MDM:
  • Muss dazu ein Server immer laufen, oder kann man die Geräte einmalig konfigurieren und dann den Server abschalten?
  • Gibt es da überhaupt etwas sinnvolles für das Heimnetzwerk?
Danke schon mal!
 
Für MDM müssen die Geräte alle zurückgesetzt werden und dann neu eingerichtet werden.
Das WLAN Profil über Apple Configurator 2 kann hingegen jederzeit aufgespielt werden. Das ist im Heimnetzwerk der sinnvolle Weg und auch nur einmalig (pro Gerät) erforderlich.
 
Zuletzt bearbeitet:
Hallo,
die angesprochene Lösung klingt vernünftig.
Ich muss mich da aber erst einlesen.
Ein grober Stolperstein dürfte sein, dass du explizit erwähnst, dass dies von einem MAC aus gemacht werden muss?
Ich selbst fühle mich eher in der Windows-Welt zu Hause und habe leider keinen MAC.
 
Das .mobileconfig file ist eine xml-Datei. Es gibt zwar keine von Apple bereitgestellten Editoren für Windowsrechner, aber für andere Betriebssysteme gibt es third party-Lösungen, z. B. iMazing Configurator. Der dürfte wohl auch gehen.
Man kann es auch händisch machen, wenn man eine XML-Vorlage hat, die fertige XML sendet man sich dann per Airdrop oder per e-mail auf das Gerät und öffnet sie dort.
Die XML-Datei sieht in etwas so aus (hier für fünf vorkonfigurierte WLAN-SSIDs (bitte beachten: in einem Fall ist das Auto-Join abgeschaltet, in allen Fällen wird ein eventuelles Captive Portal umgangen). Da wo SSID_1, SSID_2, SSID_3, SSID_4, SSID_5 steht, steht, wird die SSID des jeweiligen WLANs eingetragen. Dort wo PASSWORD_1, PASSWORD_2, PASSWORD_3, PASSWORD_4, PASSWORD_5 steht, wird das Zugangspasswort des jeweiligen WLANs eingetragen. Ausserdem müssen noch UUIDs generiert werden (z.B. mit uuidgen), insgesamt sind hier sechs UUIDs erforderlich, eine für jedes der fünf definierten WLANs (die wird einmal beim Payload Identifier über ********-****-****-****-************ geschrieben und dann noch einmal bei Payload UUID). Jedes in der XML definierte WLAN benötigt eine eigene/individuelle UUID. Die sechste UUID brauchst Du an den entsprechenden Stellen im letzten Code-Abschnitt.

XML: 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>AutoJoin</key>
            <true/>
            <key>CaptiveBypass</key>
            <true/>
            <key>DisableAssociationMACRandomization</key>
            <true/>
            <key>EncryptionType</key>
            <string>WPA2</string>
            <key>HIDDEN_NETWORK</key>
            <false/>
            <key>IsHotspot</key>
            <false/>
            <key>Password</key>
            <string>PASSWORD_1</string>
            <key>PayloadDescription</key>
            <string>Configures Wi-Fi settings</string>
            <key>PayloadDisplayName</key>
            <string>Wi-Fi</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.wifi.managed.********-****-****-****-************</string>
            <key>PayloadType</key>
            <string>com.apple.wifi.managed</string>
            <key>PayloadUUID</key>
            <string>********-****-****-****-************</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>ProxyType</key>
            <string>None</string>
            <key>SSID_STR</key>
            <string>SSID_1</string>
        </dict>
        <dict>
            <key>AutoJoin</key>
            <true/>
            <key>CaptiveBypass</key>
            <true/>
            <key>DisableAssociationMACRandomization</key>
            <true/>
            <key>EncryptionType</key>
            <string>WPA2</string>
            <key>HIDDEN_NETWORK</key>
            <false/>
            <key>IsHotspot</key>
            <false/>
            <key>Password</key>
            <string>PASSWORD_2</string>
            <key>PayloadDescription</key>
            <string>Configures Wi-Fi settings</string>
            <key>PayloadDisplayName</key>
            <string>Wi-Fi</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.wifi.managed.********-****-****-****-************</string>
            <key>PayloadType</key>
            <string>com.apple.wifi.managed</string>
            <key>PayloadUUID</key>
            <string>********-****-****-****-************</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>ProxyType</key>
            <string>None</string>
            <key>SSID_STR</key>
            <string>SSID_2</string>
        </dict>
        <dict>
            <key>AutoJoin</key>
            <false/>
            <key>CaptiveBypass</key>
            <true/>
            <key>DisableAssociationMACRandomization</key>
            <true/>
            <key>EncryptionType</key>
            <string>WPA2</string>
            <key>HIDDEN_NETWORK</key>
            <false/>
            <key>IsHotspot</key>
            <false/>
            <key>Password</key>
            <string>PASSWORD_3</string>
            <key>PayloadDescription</key>
            <string>Configures Wi-Fi settings</string>
            <key>PayloadDisplayName</key>
            <string>Wi-Fi</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.wifi.managed.********-****-****-****-************</string>
            <key>PayloadType</key>
            <string>com.apple.wifi.managed</string>
            <key>PayloadUUID</key>
            <string>********-****-****-****-************</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>ProxyType</key>
            <string>None</string>
            <key>SSID_STR</key>
            <string>SSID_3</string>
        </dict>
        <dict>
            <key>AutoJoin</key>
            <true/>
            <key>CaptiveBypass</key>
            <true/>
            <key>DisableAssociationMACRandomization</key>
            <true/>
            <key>EncryptionType</key>
            <string>WPA2</string>
            <key>HIDDEN_NETWORK</key>
            <false/>
            <key>IsHotspot</key>
            <false/>
            <key>Password</key>
            <string>PASSWORD_4</string>
            <key>PayloadDescription</key>
            <string>Configures Wi-Fi settings</string>
            <key>PayloadDisplayName</key>
            <string>Wi-Fi</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.wifi.managed.********-****-****-****-************</string>
            <key>PayloadType</key>
            <string>com.apple.wifi.managed</string>
            <key>PayloadUUID</key>
            <string>********-****-****-****-************</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>ProxyType</key>
            <string>None</string>
            <key>SSID_STR</key>
            <string>SSID_4</string>
        </dict>
        <dict>
            <key>AutoJoin</key>
            <true/>
            <key>CaptiveBypass</key>
            <true/>
            <key>DisableAssociationMACRandomization</key>
            <true/>
            <key>EncryptionType</key>
            <string>WPA2</string>
            <key>HIDDEN_NETWORK</key>
            <false/>
            <key>IsHotspot</key>
            <false/>
            <key>Password</key>
            <string>PASSWORD_5</string>
            <key>PayloadDescription</key>
            <string>Configures Wi-Fi settings</string>
            <key>PayloadDisplayName</key>
            <string>Wi-Fi</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.wifi.managed.********-****-****-****-************</string>
            <key>PayloadType</key>
            <string>com.apple.wifi.managed</string>
            <key>PayloadUUID</key>
            <string>********-****-****-****-************</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>ProxyType</key>
            <string>None</string>
            <key>SSID_STR</key>
            <string>SSID_5</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string>Wifi configuration</string>
    <key>PayloadDisplayName</key>
    <string>HomeWifi</string>
    <key>PayloadIdentifier</key>
    <string>MacOS.********-****-****-****-************</string>
    <key>PayloadOrganization</key>
    <string>YOUR_NAME</string>
    <key>PayloadRemovalDisallowed</key>
    <false/>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>********-****-****-****-************</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>
Die UUID ist ein alphanumerischer Code, sieht in etwas so aus:
9597B3D1-020E-4AAE-44FC-1389CB428A97 (das ist jetzt keine echte UUID, sondern nur ein Beispiel, also bitte jeweils neu erzeugen).
Wenn Du im Terminal des Windows kein uuidgen aufrufen kannst, es gibt auch online-Generatoren, da kannst Dur Dir gleich die benötigte Menge an UUIDs erzeugen lassen (Zahl der zu hinterlegenden WLAN-Passwörter + 1).
https://www.uuidgenerator.net/
 
Zuletzt bearbeitet:
Alternativ - wenn man sich die entsprechenden Dinge raussucht (hier + hier sofern gewünschtes vorhanden), kann man auch einfach das Notepad oder so nutzen. Allerdings hilft es, wenn man zumindestens schon mal eine grobe Vorlage hat. Parameter kann man dann ja noch ergänzen/ändern. Google einfach mal nach "apple xml wlan", da gibt es etliche Beispiele. Anhand der oben verlinkten Dokumentationen kannst Du dann noch nach Deinen Wünschen anpassen. Stell Dich aber schon mal darauf ein, dass es ein bisschen dauern wird.

Alternativ - wie @Stationary schon sagte - einfach mal anderweitige Konfigurationssoftware ausprobieren (habe ich aber auch keinerlei Erfahrungen mit). Ich habe mir - bei Bedarf - die Profildateien i.d.R. von Hand gestrickt (mit einem einfachen Texteditor). Wenn man allerdings nicht auf diese Parameter-Suche steht, ist eine Software - welche einem einfach auswählbare Dinge unter die Nase hält - aber doch eher sinnvoller, von daher würde ich das einfach ausprobieren und schauen, was dabei raus kommt. Wenn dann ggf. noch Dinge fehlen, kann man halt in der o.g. Doku nachschauen, ob es da noch Parameter gibt, welche in der Software ggf. nicht vorhanden sind und diese in den XML-Dateien an entsprechender Stelle ergänzen.
 
Zuletzt bearbeitet:
Vielen Dank - Das mit der XML schaut machbar aus und hilft mir weiter.

Stationary schrieb:
die fertige XML sendet man sich dann per Airdrop oder per e-mail auf das Gerät und öffnet sie dort.
Zum Vergrößern anklicken....

Also wenn die Datei mobileconfig.xml heißt und gültig ist, dann braucht man am Endgerät nur auf den Anhang der Mail klicken und das Gerät weiß dann, das es eine solche Konfigurationsdatei ist und macht den Rest selbst?

Kann der Anwender dann noch andere WLANs hinzufügen oder ist das dann komplett gesperrt?

Vielleicht kann ich auch die iMazing-Software mal in einer VM antesten. Mit GUI ist wahrscheinlich leichter verständlich, was man für Möglichkeiten bei der Konfiguration hat.
 
Jo, kannste einfach importieren. Weitere WLAN-Umgebungen kann man dann trotzdem noch hinzufügen. Ich hab sowas bisher eigentlich nur n einzelnen Fällen für VPN-Verbindungen gemacht, wenn das Gerät nicht sowieso managed war. Das mit der Software ist sicherlich mal einen Blick wert, schon allein, um mal einen Überblick über die Möglichkeiten zu bekommen :)
 
Hallo,

ich habe das Tool "iMazing Profile Editor" in einer virtuellen Maschine installiert.
Dieses scheint das richtige Werkzeug für diese Sache zu sein. Zu meinem Erstaunen war dieses auch noch kostenfrei! 😲
Ich hatte eigentlich erwartet, dass beim Speichern der Datei eine Zahlungsaufforderung o.ä. erscheint, aber hat alles geklappt.

Es wurde eine saubere ".mobileconfig" erstellt.

Alternative habe ich noch einen Online-Generator gefunden: Wi-Fi Profile Generator

Ich bin aktuell nicht zu Hause und habe kein Apple-Device in meiner Nähe. Daher habe ich zwar eine fertig konfigurierte Datei, aber noch nicht getestet. Ich werde mir das dann demnächst anschauen.

Vielen Dank für eure Hinweise!
 
Hallo!

Die ganzen vorgeschlagenen Ideen lösen das Problem vom Ausgangspost nicht.

Man kann bei den Geräten jederzeit in die WLAN-Einstellungen gehen, auf die Sternchen beim Passwort tippen und das Passwort wird angezeigt. Egal wie man das Passwort auf die Geräte bringt.
Ich würde zu Hause kein MDM o. ä. einsetzen. Das wird auch nichts dran ändern, das man das WLAN Passwort auslesen kann.
Auch per Apple Configurator o.ä. wird ja nur das Passwort aufs Gerät geschoben, einsehen kann man es dann aber Immer noch.
Sowas macht man in Firmenumgebungen um das Passwort nicht händisch auf massenweisen Geräten einzutragen.

Man muss damit leben. Warum sollen es denn die Leute die sich im internen Netz bewegen nicht wissen?
Gäste nutzen ja eh das Gast-WLAN und sind somit außen vor.

So lange man in IOS die Passwörter einsehen kann, kann man nichts machen.

Gruß
sven
 
svenyeng schrieb:
Die ganzen vorgeschlagenen Ideen lösen das Problem vom Ausgangspost nicht.
Zum Vergrößern anklicken....
Das hast Du natürlich ausprobiert und sprichst da aus Erfahrung.
Das Passwort wird bei Konfiguration über die .mobileconfig NICHT mehr angezeigt, also kann man auch nirgendwo drauftippen und es anzeigen lassen.
Es gibt das Passwortfeld einfach nicht mehr bei den Netzwerken, die so konfiguriert worden sind. Das Feld gibt es nur noch bei nachträglich eingerichteten zusätzlichen WiFi-Netzwerken.
Einrichtung über .mobileconfig:
IMG_2628.jpeg

Händisch eingerichtet:

IMG_2629.jpeg
 
Zuletzt bearbeitet:
Stationary schrieb:
.mobilconfig
Zum Vergrößern anklicken....
".mobileconfig", sonst klappt es nicht :) Die Datei bringst Du dann einfach auf die Mobilgeräte (z.B. via Mail), tippst den Anhang mal kurz an, womit das Profil schon auf dem Gerät vorhanden ist und unter "Einstellungen/Allgemein/VPN und Geräteverwaltung/" hast Du dann die Konfigurationsprofile, wo Dein erstelltes auch auftauchen sollte. Da gehst Du dann drauf, installierst es und bist fertig damit. Wäre aber vermutlich sinnvoll, dass "Du" das installierst, ansonsten könnte man die Profildatei ja auch einfach via Mail an andere verschicken.

Alternativ legst Du die Config auf einen internen Webserver (z.B. auf einem NAS, sofern sowas bei euch existiert), dann muss auch nix via Mail verschickt werden. Alle Geräte im WLAN, Config auf dem Webserver (ggf. direkt mit neuem WLAN-Passwort!), Profile überall einspielen, WLAN-Passwort ändern und fertig.

Ansonsten bleibt halt noch die Konfiguration via PKI, das ist dann aber etwas aufwändiger und die Infrastruktur muss es auch mitmachen. Ohne Zertifikat zwecks Login geht dann nichts und wenn man dieses dann noch mit einem Passwort schützt (welches Du dann im besten Fall eingibst, so dass der User es nicht kennt), gibt es auch daran nix weiterzugeben. Auch sowas könnte man dann via MDM/Profildatei auf die Geräte bringen.
 
Zuletzt bearbeitet:
blurrrr schrieb:
Da gehst Du dann drauf, installierst es und bist fertig damit. Wäre aber vermutlich sinnvoll, dass "Du" das installierst, ansonsten könnte man die Profildatei ja auch einfach via Mail an andere verschicken.
Zum Vergrößern anklicken....
Ja, in der Tat unschön, dass das Kennwort im Klartext in der Datei steht und nicht zumindest in gehashter Form o.ä.
 
Hallo!

Ich kann das nächste Woche auf der Arbeit mal testen ob man das das Passwort einsehen kann.
Da haben wir die Smartphones ja im MDM. Ich meine das man dort das Feld Passwort noch hat.

Gruß
sven
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
7.559
Beiträge
73.853
Mitglieder
8.119
Neuestes Mitglied
Kothoga

Teilen

Zurück
Oben