Sicherheit von WLAN über MAC-Adresse

Hallo zusammen,

ich bin momentan am zusammenbasteln meiner brandneuen DSL-Verbindung inkl. WLAN. Eine Möglichkeit für WLAN ist, das ganze prinzipiell offen zu halten und nur über MAC-Adressen zu arbeiten, d.h. nur bestimmte MAC-Adressen werden vom Router bedient.
Meines Verständnisses nach ist jede MAC-Adresse einzigartig und kann nicht geändert werden. Ist das richtig bzw. anders gefragt, ist mein Netzwerk vernünftig sicher gegenüber dem freundlichen Surfer von der Straße?

Falls nein, was ist eine vernünftig gute Verschlüsselung? Von WEP hab ich gehört dass sich das mit einfachen Tools innerhalb kürzester Zeit umgehen lässt.

Vielen Dank schon mal für Antworten.

Martin

Moin

Meines Verständnisses nach ist jede MAC-Adresse einzigartig
und kann nicht geändert werden.

Nein, die MAC’s können bei manchen Karten geändert werden.

Ist das richtig bzw. anders
gefragt, ist mein Netzwerk vernünftig sicher gegenüber dem
freundlichen Surfer von der Straße?

[FAQ:1349]

Wenn’s sicher sein soll dann nimm ein Kabel. Wenn nicht dann lebt mit dem (kleinen) Risiko.

cu

WPA beziehungsweise 802.11i (WPA2)
Guten Morgen,

[FAQ:1349]

eine FAQ über WLAN-Sicherheit, die WPA beziehungsweise 802.11i (WPA2) – also quasi die WEP-Nachfolger – vollkommen verschweigt, erscheint mir nicht mehr sehr sinnvoll.

Unter der Generalvoraussetzung vernünftiger Passwörter ist damit oder mit einer geeigneten VPN-Lösung das Restrisiko sehr niedrig.


PHvL

[MOD] FAQ ‚wLAN-Sicherheit‘
Moin,

[FAQ:1349]

eine FAQ über WLAN-Sicherheit, die WPA beziehungsweise 802.11i
(WPA2) – also quasi die WEP-Nachfolger – vollkommen
verschweigt, erscheint mir nicht mehr sehr sinnvoll.

Korrekt. Wie Du siehst, ist die FAQ 1 1/2 Jahre alt, damals war das noch nicht wirklich verfügbar (der Standard wurde erst im Juni 2004 verabschiedet).

Hast Du Lust, die FAQ um zwei kurze Absätze zu WPA und WPA2 zu ergänzen?

Ich würde dann dafür sorgen, daß die dort eingefügt werden.

Gruß,

Malte.

Hallo,

[FAQ:1349]

Hast Du Lust, die FAQ um zwei kurze Absätze zu WPA und WPA2 zu
ergänzen?

ich mache mal einen Vorschlag für den entsprechenden Abschnitt:

*****

Schutzmaßnahmen
Den „Konstrukteuren“ der WLAN-Standards war diese Gefahr bewusst, deshalb haben sie einige Schutzmechanismen mit eingebaut. Die folgende Liste ist ungefähr nach aufsteigender Schutzwirkung sortiert.

Von nahezu allen Geräten werden unterstützt:

SSID
Das ist gewissermaßen der Netzwerkname - nur wer diesen kennt, darf mitfunken. Leider wird die SSID im Klartext übertragen, kann also von jedem erlauscht werden. Man kann zwar das „in-die-Welt-schreien“ der SSID durch den Access Point (SSID-Broadcast) abstellen, aber mindestens, wenn sich ein Knoten neu anmeldet, muß er sie übertragen. Außerdem sind die Standardeinstellungen der Hersteller weithin bekannt.

MAC-Adressen-Filter
Viele Hersteller bieten die Möglichkeit, nur ausgewählte MAC-Adressen (das sind idealerweise eindeutige Kennungen der Netzwerk-Hardware, es ist aber bei sehr vielen Geräten überhaupt kein Problem, diese zu ändern) am (sendenden!) Verkehr teilhaben zu lassen. Leider müssen diese meist mühsam von Hand in den Filter eingetragen werden, und sind ebenfalls von einem Angreifer leicht erlauschbar und damit unter Umgehung des Filters für seine eigene Karte benutzbar.

WEP - Wire Equivalent Privacy
WEP soll eine dem Kabelnetzwerk vergleichbare Sicherheit herstellen. Dazu werden die Daten verschlüsselt. Leider wurde diese Verschlüsselung schlecht implementiert. Auch wenn die gröbsten Schnitzer mittlerweile meist umgangen werden, ist der Schlüssel mit vergleichsweise geringem Aufwand zu ermitteln. Mittlerweile sind die Angriffe auf WEP so ausgefeilt, dass auch das regelmäßige Wechseln des Schlüssels nicht mehr ausreicht, um das Netzwerk zu schützen.

FAZIT
Die bis hierhin genannten Schutzmaßnahmen sind bei Weitem nicht ausreichend. Bestenfalls macht eine aktivierte WEP-Verschlüsselung das Abhören und die Mitbenutzung eines Internetzugangs über das WLAN strafbar, was aber wenig hilft, wenn man den Übeltäter überhaupt nicht kennt.

Da die Unzulänglichkeiten von WEP schon lange bekannt sind, gibt es längst Alternativen:

WPA - Wi-Fi Protected Access
Das aus dem Standard IEEE802.11i vorausgenommene WPA beseitigt einige Schwächen von WEP und ergänzt Authentifizierungsverfahren. WPA setzt aber immer noch auf das von WEP bekannte Verschlüsselungsverfahren RC4.

IEEE802.11i / WPA2
Die Nachfolgestandards schließlich setzen das Verschlüsselungsverfahren AES (Advanced Encryption Standard) ein, das keine bekannten Schwächen hat. Leider ist die dafür nötige Rechenleistung höher als bei RC4, so dass ältere Hardware nicht immer durch ein Firmware-Update für den Einsatz von AES fit gemacht werden kann.

VPN - virtuelle private Netze
Wenn man ein VPN (z.B. OpenVPN http://www.openvpn.net/) über das gesamte WLAN legt, kann man sicher den größten Teil der Risiken abfackeln, da VPNs i.d.R. funktionierende Kryptographie verwenden und sämtlichen Verkehr zuverlässig verschlüsseln. Das hat allerdings ein paar Nachteile: VPNs sind etwas schwieriger einzurichten, und alle Geräte (auch der Router!) müssen sie unterstützen.

Außerdem kann es natürlich auch herstellerspezifische Mechanismen geben, die außreichende Sicherheit bieten. Diese haben allerdings den großen Nachteil, dass alle beteiligten Komponenten von diesem Hersteller stammen müssen.

FAZIT
Die einfache, schnelle, sichere und billige Lösung gibt es nicht – kann es nicht geben. Aber es ist möglich und nicht einmal besonders schwierig ausreichende Sicherheit auch in WLANs herzustellen.
Der wichtigste Punkt bei allen Verschlüsselungsverfahren ist aber, ein sicheres Passwort zu wählen, also möglichst lang und im Idealfall unter Einbeziehung des gesamten zur Verfügung stehenden Zeichensatzes. Außerdem sollte der Schlüssel auch (un-)regelmäßig gewechselt werden – je nach eingesetztem Verfahren mehr oder weniger häufig.

Als flankierende Maßnahmen kann es sinnvoll sein,

  • eine individuelle SSID zu wählen,

  • den SSID-Broadcast am Access-Point abzuschalten und

  • die MAC-Adressenfilter zu verwenden.

Ganz unabhängig davon sollten natürlich Router, Server und Client-PCs so sicher als möglich konfiguriert werden.

*****


PHvL

1 „Gefällt mir“

Hallo,

[FAQ:1349]

Hast Du Lust, die FAQ um zwei kurze Absätze zu WPA und WPA2 zu
ergänzen?

ich mache mal einen Vorschlag für den entsprechenden Abschnitt:

vielen Dank, das liest sich sehr schön. Ich werde das mal in die FAQ einarbeiten - wenn Du nichts dagegen hast, evtl. mit geringfügigen Veränderungen, da ich gerne auch etwas „umsortieren“ und noch ein paar Links ergänzen würde. Du wirst als Co-Autor der FAQ dann natürlich auch genannt.

Gruß,

Malte.