WLAN-Funknetzwerker absichern: Nur eigene PCs zulassen (MAC-Adressfilter, Zugriffsliste, Whitelist, Positivliste)

Sehr wirksam gegen das Eindringen von Fremden ins eigene WLAN ist die penible Kontrolle, welche Computer eigentlich „rein“ dürfen und welche nicht. Das Prinzip ist einfach: Fast jeder Router kann eine Liste zugelassener Computer führen, auch Access Control List oder kurz ACL genannt. Damit legen Sie eine Positivliste fest und tragen dort nur die Endgeräte ein, die in Ihrem Netz erwünscht sind; etwa Ihr WLAN-Notebook und der PDA – und sonst keiner.

Mit der Positivliste stellen Sie am Router einen digitalen Türsteher auf: Jeder, der in das Netzwerk möchte, wird zunächst auf seine Identität überprüft. Nur „Club-Mitglieder“ kommen durch.

Computer verfügen zwar nicht über einen Personalausweis, aber etwas ähnliches. Jede Netzwerkkarte besitzt eine weltweit einmalige MAC-Adresse. Der virtuelle Türsteher überprüft zuerst, ob die MAC-Adresse des „Gastes“ auf der „Einladungsliste“ der willkommenen Besucher steht. Nur wenn die Personalausweisnummer, sprich: die MAC-Adresse (Media Access Control-Adresse), in der Access Control List aufgeführt ist, darf der Computer das WLAN betreten. Alle anderen müssen draußen bleiben.

Übrigens: Wie im richtigen Leben lassen sich mit genügend krimineller Energie auch die virtuellen „PC-Personalausweise“ fälschen. Hacker verwenden dabei eine spezielle Software, um dem WLAN-Router eine zugelassene MAC-Adresse vorzutäuschen. Dafür ist allerdings viel technisches Know-how erforderlich. Sie sollten daher trotzdem nicht auf diese Schutzmaßnahme verzichten.

MAC-Adresse herausfinden

Wichtig beim Aufbau einer Positivliste zugelassener Computer ist die MAC-Adresse. Jede Netzwerkkarte verfügt über eine weltweit einmalige MAC-Adresse. Sie finden sie zumeist auf einem kleinen Aufkleber auf der Netzwerkkarte, dem Notebook oder dem PDA. Die MAC-Adresse ist immer zwölfstellig und besteht aus Buchstaben und Ziffern, beispielsweise in der Form MAC: 00 04 23 65 59 B7. Sie können die MAC-Adresse auch über das Betriebssystem herausfinden:

1. Klicken Sie auf Start, und wählen Sie den Befehl Alle Programme | Zubehör | Eingabeaufforderung.

2. Geben Sie den Befehl

ipconfig /all

ein und bestätigen Sie mit der Return-Taste (Eingabe).

3. Windows listet eine Vielzahl von Informationen über die Netzwerkkarte auf. In der Zeile Physikalische Adresse ist die MAC-Adresse aufgeführt.

4. Notieren Sie sich die MAC-Adresse, um sie später in die Liste der zugelassenen Adressen eintragen zu können.

Falls mehrere Netzwerkkarten installiert sind, achten Sie darauf, die MAC-Adresse der WLAN-Netzwerkkarte und nicht etwa der normalen „Kabel“-Netzwerkkarte zu notieren. Zumeist erkennen Sie die WLAN-Karte an den Begriffen Wireless oder WLAN in der Zeile Beschreibung.

Bei einem Apple-Computer öffnen Sie zunächst die Systemeinstellungen und anschließend Netzwerk. Wählen Sie mit einem Doppelklick die gewünschte Netzwerkkarte AirPort aus. Im folgenden Fenster steht die MAC-Adresse der AirPort-Karte. Beim Betriebssystem Linux verwenden Sie den Befehl ifconfig, um die MAC-Adresse einzublenden.

Positivliste der zugelassenen Rechner anlegen

Nachdem Sie von allen eigenen WLAN-fähigen Computern, die Sie im Funknetz betreiben möchten, die MAC-Adressen notiert haben, können Sie diese in die Positivliste des WLAN-Routers eintragen. Die Verwaltung der Positivliste erfolgt über das Konfigurationsmenü des Routers:

1. Starten Sie den Internet Browser und geben Sie die Adresse Ihres WLAN-Routers ein, etwa 192.168.0.1. Ein Blick ins Handbuch verrät, über welche Adresse das Konfigurationsmenü Ihres Routers erreichbar ist. Hier eine Liste der Standardkennwörter und Zugangsdaten der wichtigsten Routerhersteller:

Hersteller 3com:
http://192.168.1.1
Benutzername: Admin
Kennwort: admin

Hersteller D-Link:
http://192.168.0.1
Benutzername: Admin
Kennwort: (leer)

Hersteller AVM:
http://fritz.box
Benutzername:(leer)
Kennwort: (leer)

Hersteller Linksys:
http://192.168.1.1
Benutzername: Admin
Kennwort: admin

Hersteller Netgear:
http://192.168.0.1
Benutzername: Admin
Kennwort: password

2. Im Konfigurationsbereich finden Sie zumeist im Bereich Sicherheit die Zugriffskontrolle, auch Access Control List (ALC), MAC-Filtertabelle oder MAC-Adressfilter genannt. Die genaue Bezeichnung kann je nach Routermodell unterschiedlich lauten. Aktivieren Sie hier die Zugriffskontrolle.

3. Tragen Sie in die Filterliste alle MAC-Adressen der Computer ein, die in Ihrem Netzwerk zugelassen sein sollen. Achten Sie dabei auf die exakte Schreibweise. Die Groß- und Kleinschreibung spielt dabei keine Rolle. Üblicherweise werden die MAC-Adressen aber durchgehend groß geschrieben.

4. Sobald alle MAC-Adressen eingetragen sind, speichern Sie die Einstellungen und schließen das Konfigurationsfenster.

Ab sofort dürfen nur noch Geräte, deren MAC-Adresse in der Filtertabelle aufgeführt sind, das Netzwerk „betreten“. Alle anderen weist der Router kategorisch zurück.

Sollte einer Ihrer eigenen PCs nach der Aktivierung der Filtertabelle keinen Zugriff mehr haben, überprüfen Sie noch einmal die exakte Schreibweise in der Filtertabelle – hier schleichen sich gerne Tippfehler oder Buchstabendreher ein.

AVM macht’s einfacher

Zugegeben: Das Sammeln und Eintragen der MAC-Adresse ist zeitaufwändig. Einmal eingerichtet, sorgt die Positivliste aber für einen wirksamen Schutz vor Angreifern.Besonders praktisch und einfach ist die Pflege der Liste bei WLAN-Geräten der Firma AVM. Hier bleibt Ihnen das manuelle Notieren und Eintragen der MAC-Adresse erspart. Der Trick: Sie müssen lediglich einmal alle Geräte, die Sie im WLAN nutzen möchten, einschalten und mit dem Router verbinden. Danach teilen Sie dem Router mit, in Zukunft nur noch die zurzeit angemeldeten Geräte und keine weiteren zuzulassen. Der Router speichert dann die MAC-Adressen der derzeit eingeschalteten Geräte automatisch in der Filterliste und aktiviert den Zugriffsschutz.

MAC-Adressfilter kein hundertprozentiger Schutz

Der Mac-Adressfilter ist eine feine Sache, bietet aber keinen hunderprozentigen Schutz und sollte nur in Kombination mit anderen Schutzmechanismen (z.B. WPA2-Verschlüsselung) eingesetzt werden. Der Grund: Kriminelle können die Mac-Adresse fälschen und die WLAN-IP-Adresse hacken. Das geht mit Hackerprogrammen wie SMAC (www.klcconsulting.net/smac) ganz einfach. Daher unser Rat: Setzen Sie die Mac-Adressfilterung nicht als alleinigen Schutzmechanismus ein, sondern verschlüsseln Sie die WLAN-Kommunikation zusätzlich mit der WPA2-Verschlüsselungsmethode.

2 Comments

  1. Tom Stein 8. November 2016
  2. Eiersucher 15. August 2011

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.