8Aug

Warum sollten Sie keine MAC-Adressfilterung auf Ihrem WLAN-Router verwenden?

MAC-Adressenfilterung ermöglicht es Ihnen, eine Liste von Geräten zu definieren und nur diese Geräte in Ihrem WLAN-Netzwerk zuzulassen. Das ist sowieso die Theorie. In der Praxis ist dieser Schutz mühsam einzurichten und leicht zu durchbrechen.

Dies ist eine der Wi-Fi-Router-Funktionen, die Ihnen ein falsches Gefühl der Sicherheit geben. Es genügt, die WPA2-Verschlüsselung zu verwenden. Manche mögen die MAC-Adressfilterung, aber es ist keine Sicherheitsfunktion.

Funktionsweise der MAC-Adressfilterung

Jedes Gerät, das Sie besitzen, verfügt über eine eindeutige MAC-Adresse( Media Access Control Address), die es in einem Netzwerk identifiziert. Normalerweise erlaubt ein Router jedem Gerät eine Verbindung herzustellen - solange er die entsprechende Passphrase kennt. Bei der MAC-Adressfilterung vergleicht ein Router zunächst die MAC-Adresse eines Geräts mit einer genehmigten Liste von MAC-Adressen und lässt ein Gerät nur dann im Wi-Fi-Netzwerk zu, wenn seine MAC-Adresse ausdrücklich genehmigt wurde.

Ihr Router ermöglicht es Ihnen wahrscheinlich, eine Liste erlaubter MAC-Adressen in seiner Webschnittstelle zu konfigurieren, so dass Sie auswählen können, welche Geräte eine Verbindung zu Ihrem Netzwerk herstellen können.

MAC Address Filtering bietet keine Sicherheit

Bisher hört sich das ziemlich gut an. Aber MAC-Adressen können in vielen Betriebssystemen leicht gefälscht werden, so dass jedes Gerät vorgibt, eine dieser erlaubten, eindeutigen MAC-Adressen zu haben.

MAC-Adressen sind ebenfalls leicht zu bekommen. Sie werden über Funk gesendet, wobei jedes Paket zum und vom Gerät gesendet wird, da die MAC-Adresse verwendet wird, um sicherzustellen, dass jedes Paket zum richtigen Gerät gelangt.

Alles, was ein Angreifer tun muss, ist, den Wi-Fi-Verkehr für ein oder zwei Sekunden zu überwachen, ein Paket zu untersuchen, um die MAC-Adresse eines zulässigen Geräts zu finden, die MAC-Adresse seines Geräts auf die erlaubte MAC-Adresse zu ändern und sich dort zu verbinden. Sie denken vielleicht, dass dies nicht möglich ist, weil das Gerät bereits verbunden ist, aber ein "deauth" - oder "deassoc" -Angriff, der ein Gerät zwangsweise von einem Wi-Fi-Netzwerk trennt, ermöglicht einem Angreifer, sich an seiner Stelle wieder anzuschließen.

Wir übertreiben hier nicht. Ein Angreifer mit einem Toolset wie Kali Linux kann mit Wireshark ein Paket abhören, einen schnellen Befehl ausführen, um seine MAC-Adresse zu ändern, aireplay-ng verwenden, um Entfernungspakete an diesen Client zu senden, und dann eine Verbindung herstellen. Dieser gesamte Prozess könnte leicht weniger als 30 Sekunden dauern. Und das ist nur die manuelle Methode, bei der jeder Schritt von Hand ausgeführt wird - unabhängig von den automatisierten Tools oder Shell-Skripts, die dies schneller machen.

WPA2-Verschlüsselung ist ausreichend

An dieser Stelle denken Sie vielleicht, dass die MAC-Adressfilterung nicht idiotensicher ist, sondern zusätzlichen Schutz bietet, wenn Sie nur die Verschlüsselung verwenden. Das stimmt, aber nicht wirklich.

Grundsätzlich gilt: Solange Sie eine starke Passphrase mit WPA2-Verschlüsselung haben, ist diese Verschlüsselung am schwierigsten zu knacken. Wenn ein Angreifer die WPA2-Verschlüsselung knacken kann, ist es für sie einfach, die MAC-Adressfilterung auszutricksen. Wenn ein Angreifer von der MAC-Adressfilterung überrascht wird, wird er definitiv nicht in der Lage sein, Ihre Verschlüsselung zu durchbrechen.

Stellen Sie sich vor, Sie könnten ein Fahrradschloss an der Tür eines Banktresors anbringen. Jegliche Bankräuber, die durch die Tresortür des Banktresors kommen können, werden kein Problem haben, ein Fahrradschloss zu schneiden. Sie haben keine echte zusätzliche Sicherheit hinzugefügt, aber jedes Mal, wenn ein Bankangestellter auf den Tresor zugreifen muss, müssen sie sich mit dem Fahrradschloss beschäftigen.

Es ist mühsam und zeitaufwendig

Die Zeit, die damit verbracht wird, dies zu verwalten, ist der Hauptgrund, den Sie nicht stören sollten. Wenn Sie die MAC-Adressfilterung von Anfang an einrichten, müssen Sie die MAC-Adresse von jedem Gerät in Ihrem Haushalt abrufen und auf der Weboberfläche Ihres Routers zulassen. Dies wird einige Zeit dauern, wenn Sie viele Wi-Fi-fähige Geräte haben, wie die meisten Menschen.

Immer, wenn Sie ein neues Gerät erhalten - oder ein Gast kommt vorbei und muss Ihr WLAN auf seinen Geräten nutzen - müssen Sie in die Weboberfläche Ihres Routers gehen und die neuen MAC-Adressen hinzufügen. Dies geschieht zusätzlich zu den üblichen Installationsverfahren, bei denen Sie die WLAN-Passphrase in jedes Gerät einstecken müssen.

Dies fügt nur zusätzliche Arbeit zu Ihrem Leben hinzu. Dieser Aufwand sollte sich mit besserer Sicherheit auszahlen, aber die winzige Erhöhung der Sicherheit, die Sie erhalten, macht dies nicht Ihre Zeit wert.

Dies ist eine Netzwerkverwaltungsfunktion

MAC-Adresse Filterung, richtig verwendet, ist eher eine Netzwerk-Verwaltungsfunktion als eine Sicherheitsfunktion. Es schützt Sie nicht vor Außenseitern, die versuchen, Ihre Verschlüsselung aktiv zu knacken und in Ihr Netzwerk zu gelangen. Sie können jedoch auswählen, welche Geräte online zugelassen sind.

Wenn Sie z. B. Kinder haben, können Sie die MAC-Adressfilterung verwenden, um zu verhindern, dass Ihr Laptop oder Ihre Smartphonphone auf das Wi-Fi-Netzwerk zugreifen, wenn Sie sie erden und den Internetzugang entfernen müssen. Die Kinder könnten diese elterlichen Kontrollen mit einigen einfachen Werkzeugen umgehen, aber das wissen sie nicht.

Aus diesem Grund haben viele Router auch andere Funktionen, die von der MAC-Adresse eines Geräts abhängen. Sie können beispielsweise Web-Filter für bestimmte MAC-Adressen aktivieren. Oder Sie können verhindern, dass Geräte mit bestimmten MAC-Adressen während der Schulzeit auf das Internet zugreifen. Dies sind keine echten Sicherheitsfunktionen, da sie nicht dazu dienen, einen Angreifer zu stoppen, der weiß, was er tut.

Wenn Sie wirklich eine MAC-Adressfilterung verwenden möchten, um eine Liste von Geräten und deren MAC-Adressen zu definieren und die Liste der Geräte zu verwalten, die in Ihrem Netzwerk erlaubt sind, fühlen Sie sich frei. Manche Menschen genießen diese Art von Management auf einer bestimmten Ebene. Aber die MAC-Adressfilterung bietet keinen echten Mehrwert für Ihre Wi-Fi-Sicherheit, daher sollten Sie sich nicht gezwungen fühlen, sie zu benutzen. Die meisten Leute sollten sich nicht mit der MAC-Adressfilterung herumschlagen, und wenn sie das tun, sollten sie wissen, dass es nicht wirklich ein Sicherheitsmerkmal ist.

Bildnachweis: nseika auf Flickr