Warum Sie die MAC-Adressfilterung auf Ihrem WLAN-Router nicht verwenden sollten

Inhaltsverzeichnis:

Video: Warum Sie die MAC-Adressfilterung auf Ihrem WLAN-Router nicht verwenden sollten

Video: Warum Sie die MAC-Adressfilterung auf Ihrem WLAN-Router nicht verwenden sollten
Video: Linux Tutorial: Automatische Updates einrichten [apt] [rc.local] 2024, März
Warum Sie die MAC-Adressfilterung auf Ihrem WLAN-Router nicht verwenden sollten
Warum Sie die MAC-Adressfilterung auf Ihrem WLAN-Router nicht verwenden sollten
Anonim
Mit der MAC-Adressfilterung können Sie eine Liste von Geräten definieren und nur diese Geräte in Ihrem Wi-Fi-Netzwerk zulassen. Das ist sowieso die Theorie. In der Praxis ist dieser Schutz langwierig und leicht zu durchbrechen.
Mit der MAC-Adressfilterung können Sie eine Liste von Geräten definieren und nur diese Geräte in Ihrem Wi-Fi-Netzwerk zulassen. Das ist sowieso die Theorie. In der Praxis ist dieser Schutz langwierig und leicht zu durchbrechen.

Dies ist eine der WLAN-Router-Funktionen, die Ihnen ein falsches Sicherheitsgefühl vermittelt. Nur die WPA2-Verschlüsselung ist ausreichend. Einige Leute mögen die MAC-Adressenfilterung, aber es ist keine Sicherheitsfunktion.

Funktionsweise der MAC-Adressfilterung

Jedes Gerät, das Sie besitzen, verfügt über eine eindeutige MAC-Adresse (Media Access Control), die es in einem Netzwerk identifiziert. Normalerweise erlaubt ein Router jedes Gerät, eine Verbindung herzustellen - solange er die entsprechende Passphrase kennt. Bei der MAC-Adressenfilterung vergleicht ein Router die MAC-Adresse eines Geräts mit einer genehmigten Liste von MAC-Adressen und lässt ein Gerät nur dann in das Wi-Fi-Netzwerk ein, wenn seine MAC-Adresse ausdrücklich genehmigt wurde.

Mit Ihrem Router können Sie wahrscheinlich eine Liste der zulässigen MAC-Adressen in seiner Webschnittstelle konfigurieren, sodass Sie auswählen können, welche Geräte eine Verbindung zu Ihrem Netzwerk herstellen können.

Image
Image

MAC-Adressfilterung bietet keine Sicherheit

Bisher klingt das ziemlich gut. MAC-Adressen können jedoch in vielen Betriebssystemen leicht gefälscht werden, sodass jedes Gerät vorgeben könnte, eine der zulässigen, eindeutigen MAC-Adressen zu haben.

MAC-Adressen sind auch leicht zu bekommen. Sie werden drahtlos gesendet, wobei jedes Paket zum und vom Gerät geht, da die MAC-Adresse verwendet wird, um sicherzustellen, dass jedes Paket zum richtigen Gerät gelangt.

Ein Angreifer muss lediglich den Wi-Fi-Verkehr für ein oder zwei Sekunden überwachen, ein Paket untersuchen, um die MAC-Adresse eines zugelassenen Geräts zu ermitteln, die MAC-Adresse des Geräts in die zulässige MAC-Adresse ändern und sich an der Stelle des Geräts verbinden. Sie denken vielleicht, dass dies nicht möglich ist, weil das Gerät bereits verbunden ist, aber ein „Deauth“- oder „Deassoc“-Angriff, bei dem ein Gerät zwangsweise von einem Wi-Fi-Netzwerk getrennt wird, ermöglicht es einem Angreifer, die Verbindung wieder herzustellen.

Wir übertreiben hier nicht. Ein Angreifer mit einem Toolset wie Kali Linux kann Wireshark zum Abhören eines Pakets verwenden, einen schnellen Befehl ausführen, um seine MAC-Adresse zu ändern, Aireplay-ng zum Senden von Auflösungspaketen an diesen Client verwenden und dann an seiner Stelle eine Verbindung herstellen. Dieser gesamte Vorgang kann leicht weniger als 30 Sekunden dauern. Dies ist nur die manuelle Methode, bei der jeder Schritt von Hand ausgeführt wird - egal, welche automatisierten Tools oder Shell-Skripts dies beschleunigen.

Image
Image

WPA2-Verschlüsselung ist genug

An diesem Punkt denken Sie vielleicht, dass die MAC-Adressfilterung nicht narrensicher ist, bietet jedoch zusätzlichen Schutz gegenüber der Verschlüsselung. Das ist irgendwie wahr, aber nicht wirklich.

Solange Sie über eine starke Passphrase mit WPA2-Verschlüsselung verfügen, ist diese Verschlüsselung im Grunde das Schwierigste. Wenn ein Angreifer Ihre WPA2-Verschlüsselung knacken kann, ist es für ihn eine Trivialität, die MAC-Adressenfilterung auszuführen. Wenn ein Angreifer durch die MAC-Adressfilterung überlistet wird, kann er Ihre Verschlüsselung definitiv nicht aufheben.

Stellen Sie sich vor, Sie fügen ein Fahrradschloss zu einer Tresor-Bank hinzu. Jeder Bankräuber, der durch diese Tresortür kommen kann, wird keine Probleme haben, ein Fahrradschloss zu durchschneiden. Sie haben keine wirkliche zusätzliche Sicherheit hinzugefügt, aber jedes Mal, wenn ein Bankangestellter auf den Tresor zugreifen muss, muss er sich mit dem Fahrradschloss beschäftigen.

Image
Image

Es ist langwierig und zeitraubend

Die Zeit, die Sie damit verbringen, ist der Hauptgrund, warum Sie sich nicht die Mühe machen sollten. Wenn Sie die MAC-Adressenfilterung einrichten, müssen Sie die MAC-Adresse von jedem Gerät in Ihrem Haushalt abrufen und in der Webschnittstelle Ihres Routers angeben. Dies kann einige Zeit dauern, wenn Sie über viele Wi-Fi-fähige Geräte verfügen, wie dies bei den meisten Menschen der Fall ist.

Immer wenn Sie ein neues Gerät erhalten - oder ein Gast kommt und sein WLAN auf seinen Geräten verwenden muss - müssen Sie die Webschnittstelle Ihres Routers aufrufen und die neuen MAC-Adressen hinzufügen. Dies ist zusätzlich zum üblichen Einrichtungsprozess, bei dem Sie die Wi-Fi-Passphrase an jedes Gerät anschließen müssen.

Dies fügt Ihrem Leben nur zusätzliche Arbeit hinzu. Diese Anstrengung sollte sich mit einer besseren Sicherheit auszahlen, aber aufgrund der minimalen bis nicht vorhandenen Sicherheitssteigerung, die Sie erhalten, ist dies Ihre Zeit nicht wert.

Dies ist eine Netzwerkverwaltungsfunktion

Die ordnungsgemäß verwendete MAC-Adressfilterung ist eher eine Funktion der Netzwerkadministration als eine Sicherheitsfunktion. Es schützt Sie nicht vor Außenstehenden, die versuchen, Ihre Verschlüsselung aktiv zu knacken und in Ihr Netzwerk zu gelangen. Sie können jedoch auswählen, welche Geräte online zulässig sind.

Wenn Sie beispielsweise Kinder haben, können Sie die MAC-Adressfilterung verwenden, um den Zugriff Ihres Laptops oder Smartphpones auf das WLAN-Netzwerk zu unterbinden, wenn Sie sie erden und den Internetzugang wegnehmen müssen. Die Kinder könnten diese Kindersicherung mit ein paar einfachen Werkzeugen umgehen, aber das wissen sie nicht.

Deshalb verfügen viele Router auch über andere Funktionen, die von der MAC-Adresse eines Geräts abhängen. Sie können beispielsweise die Webfilterung für bestimmte MAC-Adressen aktivieren. Sie können auch verhindern, dass Geräte mit bestimmten MAC-Adressen während der Schulstunden auf das Internet zugreifen. Dies sind keine echten Sicherheitsfunktionen, da sie nicht dazu gedacht sind, einen Angreifer zu stoppen, der weiß, was er tut.

Image
Image

Wenn Sie wirklich eine MAC-Adressenfilterung verwenden möchten, um eine Liste von Geräten und deren MAC-Adressen zu definieren und die Liste der Geräte zu verwalten, die in Ihrem Netzwerk zulässig sind, können Sie sich frei entscheiden. Manche Leute genießen diese Art von Management auf einer bestimmten Ebene. Die MAC-Adressfilterung bietet jedoch keinen echten Mehrwert für Ihre Wi-Fi-Sicherheit. Sie sollten sich daher nicht gezwungen fühlen, sie zu verwenden. Die meisten Benutzer sollten sich nicht mit der MAC-Adressfilterung beschäftigen, und wenn sie dies tun, sollten sie wissen, dass es sich nicht wirklich um eine Sicherheitsfunktion handelt.

Empfohlen: