Für alle?

Benutzer Telly schrieb:


Ja


Du meinst, dass der AP sich für jeden Client neben der MAC-Adresse auch die maximal unterstützte Geschwindigkeit merkt? Sehr unwahrscheinlich.


Wozu?

Gruß,
Calin

Weil sich so niemand in unser WLAN einhacken kann, der nicht über das Wissen und die Technik verfügt, unsere MACs auszulesen und "mitzusenden", wenn er bei uns rein will.

Hundertprozentig sicher ist nichts auf der Welt.

Aber wir fühlen uns ganz gut geschützt dadurch.

Telly

Benutzer Telly schrieb:


Dachte ich mir. Ist in den Netzwerkgruppen und -foren eine nicht auszurottende Mär.
Besonderes Wissen oder gar besondere Technik ist nicht nötig. Du hältst damit lediglich "versehentliche" Verbindungen fern (z. B. wenn jemand genau wie Du ein unverschlüsseltes WLAN namens "WLAN" hat und es auf seinem Laptop entsprechend konfiguriert hat). Ach ja, und all die, die unfähig sind "MAC-Adresse ändern" bei Google einzutippen. :-)


Auch wenn es richtig ist, es ist ein Nullargument. Von 100% Sicherheit bist Du mit MAC-Filter als einzige Maßnahme genauso weit entfernt wie Meppen von Mekka. Es gibt da deutlich bessere Maßnahmen. Selbst das (wenn man es darauf anlegt) innerhalb von Minuten knackbare WEP ist da um einiges sicherer. Dagegen kannst Du WPA/WPA2 mit kryptischer, ausreichend langer Passphrase als eine über den Luftweg uneinnehmbare Festung ansehen. Das ist zwar in der Theorie auch knackbar, allerdings ist das beim aktuellen Stand der Technik eine rein akademische Betrachtung, so dass man das in der Praxis als "absolut sicher" betrachten kann.


Das ist es eben: die "gefühlte" Sicherheit. Leider hat sie im Falle MAC-Filter mit der reellen Sicherheit nichts zu tun. :-)

Gruß,
Calin

Hallo calin.rus,

zunächsteinmal danke für Deine Meinung.

Du gehst fälschlicherweise davon aus, dass wir den MAC-Filter als einzigste Schutzmaßnahme verwenden. Dem ist nicht so. Zum einen haben wir unsere SSID "versteckt" und das WLAN ist mit WPA verschlüsselt. WPA2 können leider noch nicht alle angeschlossenen Geräte.

Dennoch möchte ich mal kurz auf der Basis mit Dir reden, als hätten wir außer MAC nichts für die Sicherheit getan.


Ich dachte immer MAC-Adressen kann man nicht ändern. Oder anders. Eine MAC-Adresse sei mit einem bestimmten Gerät verbunden.

Wenn ich z. B. in meinem Nokia E90 folgendes eintippe:

*#62209526#

dann bekomme ich die MAC-Adresse angezeigt. Ich dachte, diese sei wie die IMEI-Nummer nicht änderbar.

Wenn ich also ein unverschlüsseltes Netz hätte, dann müsste ein Hacker doch dieses unverschlüsselte Netz auslesen und die MAC von beispielsweise meinem Handy herausfiltern.

Dann könnte er diese MAC simulieren und in mein unverschlüsseltes Netz reinkommen. Oder ginge es noch einfacher und ich liege komplett falsch? Er muss doch eine in meinem Netz erfasste bzw. freigegebene MAC-Adresse übersenden können, oder?

BTW:

Wie sinnvoll ist das Verstecken der SSID?

Telly

Benutzer Telly schrieb:


Tue ich nicht, daher auch meine Formulierung "als einzige Maßnahme" (im Sinne von "wenn es die einzige Maßnahme wäre"). Ich habe mich aber bewusst auf den Aspekt MAC-Filter beschränkt.


*gnarf*

Die einzige Methode, die SSID zu verstecken, ist den Stromstecker vom AP abzuziehen.


Macht nix. WPA mit langer, kryptischer Passphrase, und euch kann nichts passieren. Jedenfalls nicht über WLAN. :-)


Man kann sie sogar sehr einfach ändern. Unter linux ist es ein Konsolenbefehl, unter Windows kann man das, je nach Treiber, entweder direkt in den Eigenschaften der Netzwerk-Karte frei eingeben, oder in der Registry einstellen oder Tools wie Macshift nutzen, die das dann etwas bequemer übernehmen.
Zudem muss man unterscheiden zwischen "temporär" und "permanent" einstellen.


Theoretisch schon.


Wie das bei Symbian geht weiß ich nicht, aber unter Windows und Linux ist es sehr einfach.


Alle beteiligten MAC-Adressen (und auch die SSID!) werden IMMER im Klartext übertragen, auch bei verschlüsselten Netzen. Tools wie Kismet bieten dem "Hacker" eine sehr hübsche Darstellung, so dass er sich innerhalb von Sekunden einen Überblick verschaffen kann, welche MAC-Adresse zum AP und welche zu den Clients gehört und wer wann mit wem wie viel spricht.


Wie gesagt, ein einzelner Befehl in der Konsole. Dazu muss man die eigene MAC-Adresse gar nicht permanent ändern, man kann eine beliebige MAC-Adresse als Aufruf-Parameter übergeben.


Die SSID kann man nicht verstecken. Sicherheitstechnisch ist es genauso ein Unfug wie MAC-Filter. WPA schützt dich mehr als ausreichend, du kannst die Pseudo-Maßnahmen getrost weglassen.

Ich finde den Mix schon mal ganz okay. Und der Otto-Normal-Nachbar findet meiner Meinung nach durch die versteckte SSID schon mal nicht zufällig heraus, dass ich überhaupt über WLAN verfüge.

Ich werde alles so lassen, wie es ist.

Danke Dir für die Ausführungen.

Telly

Benutzer Telly schrieb:


Das stimmt zwar, allerdings provozierst du damit bei deinen eigenen Clients unnötige Verbindungsfehler, bei einem Verbindungsabriss dauert es länger, bis sie sich erneut verbinden, etc. Und das alles, ohne dass du dein Sicherheitsniveau erhöhst.
Zudem verrät dein Notebook mit der Einstellung "Verbinden, auch wenn keine SSID ausgestrahlt wird" außerhalb der Reichweite deines WLANs mehr über dich, als dir möglicherweise lieb ist.


Das bleibt dir unbenommen. Es ist nur, wie gesagt, unnötig.


Bitte sehr, gern geschehen.

Mmh. Das werde ich nochmal überdenken.


Wer liest hier mit und sieht dies genauso?


Wie meinst Du das? Außerdem der Reichweite habe ich mein WLAN-Stick zwar immer abgeklemmt - aber tun wir mal so, als wäre er aktiv.

Telly

Benutzer Telly schrieb:


"Hier" ist nicht ganz die richtige Adresse für Fragen zu WLAN. Guck mal in de.comp.hardware.n­etzwerke.wireless, da sind MAC-Filter und ssid hiding seit Jahren Dauerbrenner. Wie gesagt, eine Mär, die sich nicht ausrotten lässt. :-)


Bei der Einstellung "Verbinden, auch wenn keine SSID ausgestrahlt wird" (Windows-Standard-Einstellung) sucht ein aktiver WLAN-Adapter ständig nach den ihm bekannten (konfigurierten) Netzen, solange er nicht verbunden ist ("probe requests"). Jemand in deiner Reichweite weiß also innerhalb von Sekunden, welche Netze du auf deinem Laptop konfiguriert hast und wie sie heißen.