das eine WEP-Verschlüsselung in kürzester Zeit geknackt werden kann ist klar. Ich ging aber bislang davon aus dass ein zusätzlich eingerichteter MAC-Adressenfilter sowie das Unterdrücken der SSID ohnehin verhindere, dass sich ein anderer Rechner beim Router anmelden kann.
In dem Heise-Artikel http://www.heise.de/security/artikel/59098/2 heißt es aber im letzten Absatz auf Seite 3: „Auch das Filtern von MAC-Adressen oder das Unterdrücken der SSID auf dem Access Point hilft nicht vor einem Angriff.“
Mich würde jetzt interessieren warum der Rechner überhaupt antworten vom Router erhält wenn ein MAC-Adressenfilter eingerichtet ist, und welche Rolle eine unterdrückte SSID dabei spielt.
Mich würde jetzt interessieren warum der Rechner überhaupt
antworten vom Router erhält wenn ein MAC-Adressenfilter
eingerichtet ist,
die MAC ist in der Regel keine unveränderliche Adresse der Hardware, sondern kann konfiguriert werden. Der Angreifer kann seiner WLAN-Karte also eine (erlauschte) zulässige MAC geben.
und welche Rolle eine unterdrückte SSID dabei spielt.
Unterdrücken der SSID bedeutet bloß, dass der Accesspoint sie nicht von sich aus in alle Welt schreit. Meldet sich eine WLAN-Karte an, so wird sie trotzdem übertragen.
In dem Heise-Artikel http://www.heise.de/security/artikel/59098/2 heißt es aber im
letzten Absatz auf Seite 3: „Auch das Filtern von MAC-Adressen
oder das Unterdrücken der SSID auf dem Access Point hilft
nicht vor einem Angriff.“
Mich würde jetzt interessieren warum der Rechner überhaupt
antworten vom Router erhält wenn ein MAC-Adressenfilter
eingerichtet ist, und welche Rolle eine unterdrückte SSID
dabei spielt.
Die unterdrückte SSID hilft nur bei Windows-Systemen ohne Zusatzsoftware. Es wird ja trotzdem gesendet, eben nur ohne SSID, und andere Systeme zeigen bei unterdrückter SSID einfach die hexadezimale Kennung des AP an. Nur Windows blendet das Natz komplett aus.
Der MAC Filter macht schon genau das, was er soll, ein Client mit einer falschen MAC bekommt keine Antwort. Allerdings steht die MAC nunmal in jedem Paket mit drin, so das ein Angreifer nur ein Paket eines zugelassenen Clients mitschneiden muss, um seine eigene MAC passend einzustellen.
Sicher ist zur Zeit nur, WPA/WPA2 (mit einem langen, gutem Passwort) zu verwenden.
Mich würde jetzt interessieren warum der Rechner überhaupt
antworten vom Router erhält wenn ein MAC-Adressenfilter
eingerichtet ist,
die MAC ist in der Regel keine unveränderliche Adresse der
Hardware, sondern kann konfiguriert werden. Der Angreifer kann
seiner WLAN-Karte also eine (erlauschte) zulässige MAC geben.
Ahh so, das heißt ich könnte also theoretisch auch die MAC meiner WLAN-Karte ändern. Geht das denn einfach über ein Konfig-Menü der WLAN-Karte oder braucht man dazu eine zusätzliche Software weil so was standardmäßig vom Hersteller deaktiviert wird?
und welche Rolle eine unterdrückte SSID dabei spielt.
Unterdrücken der SSID bedeutet bloß, dass der Accesspoint sie
nicht von sich aus in alle Welt schreit. Meldet sich eine
WLAN-Karte an, so wird sie trotzdem übertragen.
Ich dachte bislang, dass sich eine WLAN-Karte erst am Router anmelden kann wenn ihr dessen SSID bereits bekannt ist. Dass das auch ohne geht war mir nicht klar. Insofern ist es ja dann eigentlich völlig egal ob man die Übermittlung ein oder ausschaltet, oder hätte es irgend einen anderen Vorteil?
Ahh so, das heißt ich könnte also theoretisch auch die MAC
meiner WLAN-Karte ändern. Geht das denn einfach über ein
Konfig-Menü der WLAN-Karte oder braucht man dazu eine
zusätzliche Software weil so was standardmäßig vom Hersteller
deaktiviert wird?
Betriebssysteme kennen für diesen Zweck den ‚ifconfig‘-Befehl, unter Windows ist u. U. Herumpfuscherei in der Registry erforderlich, manchmal geht’s auch in den Treibereinstellungen der Karte.
Ich dachte bislang, dass sich eine WLAN-Karte erst am Router
anmelden kann wenn ihr dessen SSID bereits bekannt ist. Dass
das auch ohne geht war mir nicht klar.
Die Karte muss schon wissen, mit welchem WLan sie kommunizieren soll. Wenn einem dritten die SSID deines Acess Points nicht bekannt ist, braucht er aber nur deinen Netzwerkverkehr mitlesen und schauen, zu welcher SSID deine Netzwerkkarte eine Verbindung aufbaut.
Insofern ist es ja dann
eigentlich völlig egal ob man die Übermittlung ein oder
ausschaltet, oder hätte es irgend einen anderen Vorteil?
Bei abgeschalteter SSID brüllt dein Access Point nicht mehr heraus ‚Hier bin ich, so heiss ich, hack mich‘. Für die Script-Kiddies aus deiner Nachbarschaft ein möglicherweise unüberwindliches Hindernis.
Insofern ist es ja dann
eigentlich völlig egal ob man die Übermittlung ein oder
ausschaltet, oder hätte es irgend einen anderen Vorteil?
Bei abgeschalteter SSID brüllt dein Access Point nicht mehr
heraus ‚Hier bin ich, so heiss ich, hack mich‘. Für die
Script-Kiddies aus deiner Nachbarschaft ein möglicherweise
unüberwindliches Hindernis.
Andererseits tut sich Windows hin und wieder damit schwer das Netz zu finden. Außerdem entspricht es keinem Standard, wenn die SSID versteckt ist. Um die „Script-Kiddies“ abzuhalten, reicht WPA(2).
die MAC ist in der Regel keine unveränderliche Adresse der
Hardware, sondern kann konfiguriert werden. Der Angreifer kann
seiner WLAN-Karte also eine (erlauschte) zulässige MAC geben.
Ahh so, das heißt ich könnte also theoretisch auch die MAC
meiner WLAN-Karte ändern. Geht das denn einfach über ein
Konfig-Menü der WLAN-Karte oder braucht man dazu eine
zusätzliche Software weil so was standardmäßig vom Hersteller
deaktiviert wird?
Ursprünglich war vorgesehen, dass jede 48-Bit MAC-Adresse weltweit nur einmal fabriziert wird, das war vor rund 40 Jahren …
Ich weiss jetzt nicht, wie die MAC-Adresse bei den alten Karten festgelegt wurde, aber seit rund 20 Jahren befindet sich auf der Karte ein EEPROM in welchem die MAC-Adresse abgelegt ist.
Dieses EEPROM lässt sich per Software jederzeit verändern.
Mittlerweile sind aber die Nummern ausgegangen, bzw. die Verwaltung funktioniert nicht mehr. Deshalb kann es heute in Netzsegmenten durchaus vorkommen, dass zwei identische MAC-Adressen vorhanden sind, weshalb es notwendig geworden ist die MAC-Adresse ändern zu können. Wenn man eine defekte Netzwerkkarte austauscht ist es oft auch einfacher der neuen Karte die alte MAC-Adresse zuzuweisen, als in der Netzwerkarchitektur die Neue nachzutragen und die Alte zu löschen.
Früher, zu DOS-Zeiten, haben die Hersteller noch Tools mitgeliefert, mittlerweile kann die MAC-Adresse auch mit Bordmitteln vieler Betriebssysteme geändert werden.
Meine alten NE 2000 Nachbauten hatten auch noch diese Tool und Testprogramme für die Karte und die Netzwerkverbindung beigelegt. Das Diagnosetool hat sogar sehr gut funktioniert, eine der Karte hatte mit den Jahren einen RAM-Fehler, welcher auch als solcher erkannt wurde. Da ich gerade passende RAMs rumliegen hatte, hat die Karte dann noch Jahrelang weiter ihren Dienst verrichtet. Irgendwann habe ich dann mal mein Netzwerk von 10MBs/BNC auf 100MBs/TP umgestellt …
Ursprünglich war vorgesehen, dass jede 48-Bit MAC-Adresse
weltweit nur einmal fabriziert wird, das war vor rund 40
Jahren …
Ich weiss jetzt nicht, wie die MAC-Adresse bei den alten
Karten festgelegt wurde, aber seit rund 20 Jahren befindet
sich auf der Karte ein EEPROM in welchem die MAC-Adresse
abgelegt ist.
Dieses EEPROM lässt sich per Software jederzeit verändern.
Danke allen für interessanten Erläuterungen. Hab wieder was dazugelernt.