Hallo Experten,
ein Freund von mir hat kürzlich sein WLAN neu eingerichtet und ist dabei auf die Idee gekommen, daß er keine Verschlüsselung braucht, wenn er in seinem Router den MAC-Adressfilter so einrichtet, daß nur die drei heimischen Rechner Zugriff haben. Im ersten Moment hat mir das eingeleuchtet, aber jetzt kommen mir doch Zweifel.
Aber ich verstehe zu wenig davon, um ihn zu überzeugen, daß er doch WPA/WPA2 Verschlüsselung benutzen soll.
Könnt ihr mir Argumente liefern, warum das eine das andere nicht ersetzen kann, bzw. wozu man noch MAC-Adressfilter einsetzen sollte, wenn man doch Verschlüsselung hat und umgekehrt?
Moin,
weil sich Elektromagnetische Wellen frei in alle Richtungen übertragen und daher überall mitgelesen werden können. WPA dient nicht allein zur Zugriffsbeschränkung sondern auch zur Steigerung der Privatssphäre.
Metapher
Das ist als ob ich Funk sichere, in dem ich nur zwei Leuten Funkgeräte in die Hand drücke. Natürlich kann dann jeder mithören was gesagt wird.
Ist das nicht bloss theoretisch, weil ja der Angreifer unmöglich die MAC-Adressen wissen kann, die zugelassen sind? Klar, der Angreifer könnte in die Wohnung einbrechen und dort nachsehen, aber soviel kriminelle Energie wollen wir ja mal nicht vermuten. Und alle MAC-Adressen auszuprobieren dürfte ja wohl zu lange dauern. Oder übersehe ich da noch was?
Es geht also nur ums Mitlesen. Naja, was heisst nur, ich würde das nicht wollen, aber mein Kumpel wird sicher sagen, das ihm das egal ist, weil er nichts kriminelles macht. Er möchte eben nur, daß niemand sozusagen mit seinem Namen ins Internet geht. Mit dem WLAN meines Freundes könnte also trotzdem niemand mitsurfen, oder?
um deine MAC zu erfahren braucht niemand bei dir einbrechen und dann
an deinen Rechner schauen welche MAC deine WLAN Karten haben. Da zu
nutzt er einfach nur einen WLAN Sniffer der einfach mal das was sich
deine WLAN Karten und der Router zu sagen haben aufzeichnet und dann
ändert man einfach die MAC der eigenen WLAN Karte und ist dann in
deinem Netz.
Doch. Und was spricht denn bitte dagegen, mit WPA zu verschlüsseln. Wer will, kann ja auch noch den MAC-Filter einschalten. Dann müßten doch alle glücklich sein, oder?
Hallo Experten,
ein Freund von mir hat kürzlich sein WLAN neu eingerichtet und
ist dabei auf die Idee gekommen, daß er keine Verschlüsselung
braucht, wenn er in seinem Router den MAC-Adressfilter so
einrichtet, daß nur die drei heimischen Rechner Zugriff haben.
Das bringt viel weniger Sicherheit als zunächst zu vermuten: die MAC-Adressen werden ja mit jedem Frame mitübertragen, sonst wüsste der Router nicht, was er ablehnen oder akzeptieren soll. Da kann jeder Profi mitlesen und sich drauf einrichten. Ernsthaft abgehalten wird nur die Hausfrau von Nebenan.
Ist das nicht bloss theoretisch, weil ja der Angreifer
unmöglich die MAC-Adressen wissen kann, die zugelassen sind?
Nein, das ist praktisch und ein Kinderspiel. Jeder Teilnehmer im Netzwerk schickt ja seine MAC-Adresse immer mit, d.h. der Angreifer muss ja nur ein bisschen den Traffic mitschneiden und sieht ja dort im Klartext die MAC-Adressen von Rechnern, denen Zugriff gewährt wird.
Der Angreifer stellt jetzt einfach als MAC-Adresse eine der mitgelesenen MAC-Adressen ein und schon ist der im Netzwerk drin.
Es geht also nur ums Mitlesen. Naja, was heisst nur, ich würde
das nicht wollen, aber mein Kumpel wird sicher sagen, das ihm
das egal ist, weil er nichts kriminelles macht.
Und? Seine Passwörter die er dann z.B. - wie hier bei der Anmeldung an wer-weiss-was - einfach frei durch die Gegend posaunt, die darf jeder wissen? Eventuelle Session-IDs die einem Angreifer z.B: einfach seinen eBay- oder Amazon-Account übernehmen lassen, sind ihm auch egal?
Er möchte eben
nur, daß niemand sozusagen mit seinem Namen ins Internet geht.
Mit dem WLAN meines Freundes könnte also trotzdem niemand
mitsurfen, oder?
Er soll sein WLAN einfach verschlüsseln. Alles andere ist einfach pure Dummheit.
Da kann jeder Profi mitlesen und sich drauf
einrichten. Ernsthaft abgehalten wird nur die Hausfrau von
Nebenan.
Dazu muss man nicht mal Profi sein. Die MAC-Adresse zeigt jeder WLAN-Sniffer an, und um so einen zu installieren muss man es gerade mal schaffen eine Setup.exe zu starten und ein paar mal „next“ zu drücken.
Könnt ihr mir Argumente liefern, warum das eine das andere
nicht ersetzen kann, bzw. wozu man noch MAC-Adressfilter
einsetzen sollte, wenn man doch Verschlüsselung hat und
umgekehrt?
Die MAC-Filter sind eigentlich ziemlich sinnlos, egal ob du Verschlüsselung einsetzt oder nicht. Die MAC-Adresse wird bei jedem Paket das übers WLAN läuft mit übertragen, d.h. ein Angreifer muss nur ein bisschen mitsniffen und schon sieht er ja die MAC-Adressen die ins Netzwerk dürfen. Die stellt er dann an seinem Laptop ein und die tolle „Sicherheitsmaßnahme“ deines Freundes ist im Arsch.
Ganz davon abgesehen kann ohne Verschlüsselung auch jeder Idiot die Passwörter, Session-IDs usw von deinem Freund mitlesen, die nicht über HTTPS gehen. Und das sind eine ganze Menge, z.B. auch dein Passwort hier bei wer-weiss-was oder die Session-ID von deiner eBay/Amazon/etc Sitzung.
wenn auch auch einschlägige Erkenntnisse erforderlich, lassen sich MAC Adressen grundsätlich Klonen. Je nach Ausstattung des Treiber und der dazugehörigen Software (Herstellerabhängig) lässt sich das sogar schon mit „Windows Boardmitteln“ durchführen. Die Grundidee von MAC Adressen Filterung ist quasi so alt wie die Netzwerktechnik an sich. Das würde hier aber von den Ausführungen zu weit gehen. Ich empfehle eine Verschlüsselung. Aber auch diese sollte natürlich sinnvoll sein.