tom's networking guide
 
Anzeige

Workshop - WLAN-Sicherheit

Workshop ? Sicherheit im WLAN durch MAC-Filter

MAC Sicher> Security-Workshop für drahtlos vernetzte Notebooks und Organizer

Fazit

Im Vergleich zu anderen Security-Methoden ist ein MAC-Filter sehr einfach zu verstehen und zu aktivieren, egal ob Sie auf 11-22-44- oder 54 MBit/s-Funknetzen nach 802.11a-b-g (oder künftig h) arbeiten. Eine Verschlüsselung durch 64, 128 oder 256 Bit-WEP-Keys kann der MAC-Filter aber nicht ersetzen, sondern nur ergänzen. Je mehr Methoden aktiviert sind, desto mehr Security ist gegeben. Der MAC-Filter frisst im Gegensatz zur Verschlüsselung keine Computing-Power aus den WLAN-Modulen und drückt nicht negativ den Netto-Durchsatz. WEP dagegen schon, nämlich von hervorragenden 2% Verlust bei Cisco 350 bis über 50% Geschwindigkeits-Einbruch bei älteren 11b-Karten, je nach Hersteller, und je nach Qualität der WLAN-Karte und des zugehörigen WLAN-Access-Points.

Der MAC-Filter hat jedoch auch Schwächen: Er kann von Hackern getäuscht und ausgehebelt werden, wie fast jede andere Security-Methode auch. Außerdem wird die Verwaltung der MAC-Adressen bei größeren Netzen und besonders bei häufig wechselnden Funk-Laptops sehr schnell sehr unübersichtlich. Bei kleinen Funknetzen mit wenigen Funk-Clients ist das Einrichten eines MAC-Filters dagegen eine Sache von wenigen Minuten. Ein häufiges Missverständnis muss noch angesprochen werden: Der MAC-Filter hilft zwar, dass nicht jeder unbedarfte Funksurfer aus der Nachbarschaft sofort auf Ihren Access Point zugreifen kann, somit auf Ihre Kosten ins Internet gehen, auf Ihre freigegeben Festplatten, Partitionen, CD- und DVD-Laufwerke, auf Ihre Netzwerk-Scanner und -Drucker über Funk zugreifen kann.

Der MAC-Filter hilft aber nicht dagegen, dass der aktuell über das Funknetz laufende Daten-Verkehr belauscht werden kann. Dazu muss der Verkehr eben doch mit WEP oder VPN verschlüsselt werden. Wenn Sie allerdings nur ein Gelegenheits-User sind und nicht gerade komplette Festplatten über Funk spiegeln, muss der Funkschnüffler schon recht lange auf der Lauer liegen, bevor er Ihren gesamten Datenbestand komplett mitgelauscht hat. Wenn Sie MAC-Filter und WEP-Verschlüsselung gleichzeitig anwenden, und dann Ihre Funkrechner in längeren Arbeitspausen auch noch Ausschalten bzw. den Funk abschalten bzw. die WLAN-Karte abziehen, dann machen Sie es potentiellen Angreifern schon mal schwer, an Ihre Daten über den WLAN-Funk heranzukommen. Totale Sicherheit gibt es aber nicht, mit keiner Methode.

MAC-Adress-Filter sind ein zuverlässiges und einfach anwendbares Mittel, um ein Wireless LAN vor der Nutzung durch Fremde zu schützen. Je nach Ausstattung des oder der eingesetzten Access Points lassen sich Positiv- oder Negativ-Listen anlegen, die über die Zulassung oder Abweisung von WLAN-Clients entscheiden. Da jedes WLAN-Gerät, sei es ein integriertes Mini-PCI-WLAN-Modul, ein USB-, PCI-, PCMCIA-, PC-Card-, CF2-, SD- oder Ethernet-WLAN-Adapter eine eindeutige MAC-Adresse besitzt, lässt sich bereits mit kleinem buchhalterischem Aufwand eine Bestandsliste anlegen - am besten im Access Point. Beim IEEE lässt sich eine MAC-Adresse jederzeit online nachschlagen, denn die Company-ID, oft auch als OUI bezeichnet, ist öffentlich zugänglich unter http://standards.ieee.org/regauth/oui/index.shtml. Allerdings müssen Sie sich nicht wundern, wenn dabei eine ganz andere Firma zum Vorschein kommt als die, die ihr Logo auf das Gerät gedruckt hat - das ist dann schlicht nur der Zulieferer des Gerätes oder Netzwerkkomponente. Unter den vom IEEE bis dato standardisierten, kostenlosen WLAN-Sicherheitsmaßnahmen ist der MAC-Adress-Filter, gewusst wie, jedenfalls die wirksamste, um den Zugang zu einem WLAN abzusichern.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
WLAN echt einfach
Drahtlose Netzwerke eignen sich gut, um fast kabelfrei ein Heimnetzwerk aufzubauen. Erfahren Sie verständlich und nachvollziehbar in einleuchtenden Erklärungen ohne Fachchinesisch und leicht nachvollziehbare Lernschritten, wie Sie bei der Einrichtung eine [mehr]
Netzwerk-Überwachung per Port Reporter
Immer mehr Anwendungen sind netzwerkfähig und bauen oft selbständig und unbemerkt Verbindungen ins Internet auf. Microsoft stellt mit dem "Port Reporter" ein kostenloses Tool zur Analyse der Netzwerkaktivitäten von Windows-Rechnern bereit. [mehr]
Remotedesktop mit Windows XP
Mit der Remotedesktop-Funktion in Windows XP Professional wird der PC von einem Client-Computer über eine Netzwerkverbindung ferngesteuert. Die Einrichtung ist einfach, erfordert aber Sicherheitsvorkehrungen. Unser Workshop zeigt, was zu tun ist. [mehr]
Microsoft ISA Server 2004
Der ISA Server 2004 ist Microsofts Antwort auf Produkte der Security-Platzhirsche Checkpoint und Co. Wir haben getestet, ob die Installation so einfach ist wie Microsoft verspricht und ob sie sich überhaupt lohnt. [mehr]
Workshop ? VPN-Verbindungen über NAT hinweg
Wenn der Anwender mehr als nur eine FAQ-Abhandlung benötigt, sich aber nicht allzu sehr in die Grundlagen vertiefen möchte, bieten wir genau das Richtige. Erfahren Sie, wie ein Virtual Private Network über Firewalls mit Network Address Translation funkti [mehr]
Anzeige