Warum Sie die MAC-Adressfilterung auf Ihrem WLAN-Router nicht verwenden sollten

Mit der MAC-Adressfilterung können Sie eine Liste von Geräten definieren und nur diese Geräte in Ihrem Wi-Fi-Netzwerk zulassen. Das ist jedenfalls die Theorie. In der Praxis ist dieser Schutz mühsam einzurichten und leicht zu verletzen.

Dies ist eine der Funktionen des WLAN-Routers, die Ihnen ein falsches Sicherheitsgefühl vermitteln. Es reicht aus, nur die WPA2-Verschlüsselung zu verwenden. Einige Leute verwenden gerne die MAC-Adressfilterung, aber dies ist keine Sicherheitsfunktion.

Funktionsweise der MAC-Adressfilterung

VERBINDUNG: Kein falsches Sicherheitsgefühl: 5 unsichere Möglichkeiten zur Sicherung Ihres WLANs

Jedes Gerät, das Sie besitzen, verfügt über eine eindeutige MAC-Adresse (Media Access Control Address), die es in einem Netzwerk identifiziert. Normalerweise ermöglicht ein Router jedem Gerät die Verbindung - sofern es die entsprechende Passphrase kennt. Bei der MAC-Adressfilterung vergleicht ein Router zunächst die MAC-Adresse eines Geräts mit einer genehmigten Liste von MAC-Adressen und lässt ein Gerät nur dann in das Wi-Fi-Netzwerk ein, wenn seine MAC-Adresse speziell genehmigt wurde.

Mit Ihrem Router können Sie wahrscheinlich eine Liste der zulässigen MAC-Adressen in der Weboberfläche konfigurieren und auswählen, welche Geräte eine Verbindung zu Ihrem Netzwerk herstellen können.

Die MAC-Adressfilterung bietet keine Sicherheit

Bisher klingt das ziemlich gut. MAC-Adressen können jedoch in vielen Betriebssystemen leicht gefälscht werden, sodass jedes Gerät vorgeben kann, eine dieser zulässigen, eindeutigen MAC-Adressen zu haben.

MAC-Adressen sind ebenfalls leicht zu bekommen. Sie werden drahtlos gesendet, wobei jedes Paket zum und vom Gerät gesendet wird, da die MAC-Adresse verwendet wird, um sicherzustellen, dass jedes Paket an das richtige Gerät gelangt.

VERBINDUNG: Wie ein Angreifer Ihre drahtlose Netzwerksicherheit knacken könnte

Ein Angreifer muss lediglich den Wi-Fi-Verkehr ein oder zwei Sekunden lang überwachen, ein Paket untersuchen, um die MAC-Adresse eines zulässigen Geräts zu ermitteln, die MAC-Adresse seines Geräts in die zulässige MAC-Adresse ändern und an der Stelle des Geräts eine Verbindung herstellen. Möglicherweise denken Sie, dass dies nicht möglich ist, da das Gerät bereits verbunden ist. Durch einen „Deauth“ - oder „Deassoc“ -Angriff, bei dem ein Gerät zwangsweise von einem Wi-Fi-Netzwerk getrennt wird, kann ein Angreifer an seiner Stelle erneut eine Verbindung herstellen.

Wir übertreiben hier nicht. Ein Angreifer mit einem Toolset wie Kali Linux kann mit Wireshark ein Paket abhören, einen Schnellbefehl ausführen, um seine MAC-Adresse zu ändern, mithilfe von aireplay-ng Deaktivierungspakete an diesen Client senden und an seiner Stelle eine Verbindung herstellen. Dieser gesamte Vorgang kann leicht weniger als 30 Sekunden dauern. Und das ist nur die manuelle Methode, bei der jeder Schritt von Hand ausgeführt wird - egal, welche automatisierten Tools oder Shell-Skripte dies beschleunigen können.

Die WPA2-Verschlüsselung ist ausreichend

VERBINDUNG: Die WPA2-Verschlüsselung Ihres Wi-Fi kann offline geknackt werden: So geht's

An diesem Punkt denken Sie möglicherweise, dass die MAC-Adressfilterung nicht kinderleicht ist, sondern zusätzlichen Schutz gegenüber der Verwendung von Verschlüsselung bietet. Das ist irgendwie wahr, aber nicht wirklich.

Grundsätzlich ist diese Verschlüsselung am schwierigsten zu knacken, solange Sie eine starke Passphrase mit WPA2-Verschlüsselung haben. Wenn ein Angreifer Ihre WPA2-Verschlüsselung knacken kann, ist es für ihn trivial, die MAC-Adressfilterung auszutricksen. Wenn ein Angreifer von der MAC-Adressfilterung überrascht wird, kann er Ihre Verschlüsselung definitiv nicht aufheben.

Stellen Sie sich vor, Sie fügen einer Banktresortür ein Fahrradschloss hinzu. Alle Bankräuber, die durch diese Banktresortür gelangen können, haben keine Probleme, ein Fahrradschloss zu öffnen. Sie haben keine wirkliche zusätzliche Sicherheit hinzugefügt, aber jedes Mal, wenn ein Bankangestellter auf den Tresor zugreifen muss, muss er sich mit dem Fahrradschloss befassen.

Es ist langweilig und zeitaufwändig

VERBINDUNG: 10 nützliche Optionen, die Sie im Webinterface Ihres Routers konfigurieren können

Die Zeit, die Sie damit verbringen, ist der Hauptgrund, warum Sie sich nicht darum kümmern sollten. Wenn Sie zuerst die MAC-Adressfilterung einrichten, müssen Sie die MAC-Adresse von jedem Gerät in Ihrem Haushalt abrufen und in der Weboberfläche Ihres Routers zulassen. Dies kann einige Zeit dauern, wenn Sie über viele Wi-Fi-fähige Geräte verfügen, wie dies bei den meisten Menschen der Fall ist.

Immer wenn Sie ein neues Gerät erhalten oder ein Gast vorbeikommt und Ihr WLAN auf seinen Geräten verwenden muss, müssen Sie in die Weboberfläche Ihres Routers gehen und die neuen MAC-Adressen hinzufügen. Dies erfolgt zusätzlich zum üblichen Einrichtungsprozess, bei dem Sie die Wi-Fi-Passphrase in jedes Gerät einstecken müssen.

Dies fügt Ihrem Leben nur zusätzliche Arbeit hinzu. Diese Bemühungen sollten sich mit besserer Sicherheit auszahlen, aber die winzige bis nicht vorhandene Erhöhung der Sicherheit macht Ihre Zeit nicht wert.

Dies ist eine Netzwerkverwaltungsfunktion

Die ordnungsgemäß verwendete MAC-Adressfilterung ist eher eine Netzwerkverwaltungsfunktion als eine Sicherheitsfunktion. Es schützt Sie nicht vor Außenstehenden, die versuchen, Ihre Verschlüsselung aktiv zu knacken und in Ihr Netzwerk zu gelangen. Hier können Sie jedoch auswählen, welche Geräte online zulässig sind.

Wenn Sie beispielsweise Kinder haben, können Sie die MAC-Adressfilterung verwenden, um zu verhindern, dass ihr Laptop oder Smartphone auf das Wi-FI-Netzwerk zugreift, wenn Sie sie erden und den Internetzugang entfernen müssen. Die Kinder könnten diese Kindersicherung mit ein paar einfachen Werkzeugen umgehen, aber das wissen sie nicht.

Aus diesem Grund verfügen viele Router auch über andere Funktionen, die von der MAC-Adresse eines Geräts abhängen. Sie können beispielsweise die Webfilterung für bestimmte MAC-Adressen aktivieren. Sie können auch verhindern, dass Geräte mit bestimmten MAC-Adressen während der Schulzeit auf das Internet zugreifen. Dies sind keine wirklichen Sicherheitsfunktionen, da sie nicht dazu gedacht sind, einen Angreifer aufzuhalten, der weiß, was er tut.

Wenn Sie die MAC-Adressfilterung wirklich verwenden möchten, um eine Liste der Geräte und ihrer MAC-Adressen zu definieren und die Liste der Geräte zu verwalten, die in Ihrem Netzwerk zulässig sind, können Sie dies gerne tun. Einige Leute genießen diese Art von Management tatsächlich auf einer bestimmten Ebene. Die MAC-Adressfilterung erhöht jedoch nicht wirklich Ihre Wi-Fi-Sicherheit, sodass Sie sich nicht gezwungen fühlen sollten, sie zu verwenden. Die meisten Leute sollten sich nicht mit der MAC-Adressfilterung beschäftigen und - wenn sie dies tun - wissen, dass es sich nicht wirklich um eine Sicherheitsfunktion handelt.

Bildnachweis: nseika auf Flickr