Kategorien
Hardware & Software

WLAN-Funknetzwerker absichern: Nur eigene PCs zulassen (MAC-Adressfilter, Zugriffsliste, Whitelist, Positivliste)

Sehr wirksam gegen das Eindringen von Fremden ins eigene WLAN ist die penible Kontrolle, welche Computer eigentlich „rein“ dürfen und welche nicht. Das Prinzip ist einfach: Fast jeder Router kann eine Liste zugelassener Computer führen, auch Access Control List oder kurz ACL genannt. Damit legen Sie eine Positivliste fest und tragen dort nur die Endgeräte ein, die in Ihrem Netz erwünscht sind; etwa Ihr WLAN-Notebook und der PDA – und sonst keiner.

Sehr wirksam gegen das Eindringen von Fremden ins eigene WLAN ist die penible Kontrolle, welche Computer eigentlich „rein“ dürfen und welche nicht. Das Prinzip ist einfach: Fast jeder Router kann eine Liste zugelassener Computer führen, auch Access Control List oder kurz ACL genannt. Damit legen Sie eine Positivliste fest und tragen dort nur die Endgeräte ein, die in Ihrem Netz erwünscht sind; etwa Ihr WLAN-Notebook und der PDA – und sonst keiner.

Mit der Positivliste stellen Sie am Router einen digitalen Türsteher auf: Jeder, der in das Netzwerk möchte, wird zunächst auf seine Identität überprüft. Nur „Club-Mitglieder“ kommen durch.

Computer verfügen zwar nicht über einen Personalausweis, aber etwas ähnliches. Jede Netzwerkkarte besitzt eine weltweit einmalige MAC-Adresse. Der virtuelle Türsteher überprüft zuerst, ob die MAC-Adresse des „Gastes“ auf der „Einladungsliste“ der willkommenen Besucher steht. Nur wenn die Personalausweisnummer, sprich: die MAC-Adresse (Media Access Control-Adresse), in der Access Control List aufgeführt ist, darf der Computer das WLAN betreten. Alle anderen müssen draußen bleiben.

Übrigens: Wie im richtigen Leben lassen sich mit genügend krimineller Energie auch die virtuellen „PC-Personalausweise“ fälschen. Hacker verwenden dabei eine spezielle Software, um dem WLAN-Router eine zugelassene MAC-Adresse vorzutäuschen. Dafür ist allerdings viel technisches Know-how erforderlich. Sie sollten daher trotzdem nicht auf diese Schutzmaßnahme verzichten.

MAC-Adresse herausfinden

Wichtig beim Aufbau einer Positivliste zugelassener Computer ist die MAC-Adresse. Jede Netzwerkkarte verfügt über eine weltweit einmalige MAC-Adresse. Sie finden sie zumeist auf einem kleinen Aufkleber auf der Netzwerkkarte, dem Notebook oder dem PDA. Die MAC-Adresse ist immer zwölfstellig und besteht aus Buchstaben und Ziffern, beispielsweise in der Form MAC: 00 04 23 65 59 B7. Sie können die MAC-Adresse auch über das Betriebssystem herausfinden:

1. Klicken Sie auf Start, und wählen Sie den Befehl Alle Programme | Zubehör | Eingabeaufforderung.

2. Geben Sie den Befehl

ipconfig /all

ein und bestätigen Sie mit der Return-Taste (Eingabe).

3. Windows listet eine Vielzahl von Informationen über die Netzwerkkarte auf. In der Zeile Physikalische Adresse ist die MAC-Adresse aufgeführt.

4. Notieren Sie sich die MAC-Adresse, um sie später in die Liste der zugelassenen Adressen eintragen zu können.

Falls mehrere Netzwerkkarten installiert sind, achten Sie darauf, die MAC-Adresse der WLAN-Netzwerkkarte und nicht etwa der normalen „Kabel“-Netzwerkkarte zu notieren. Zumeist erkennen Sie die WLAN-Karte an den Begriffen Wireless oder WLAN in der Zeile Beschreibung.

Bei einem Apple-Computer öffnen Sie zunächst die Systemeinstellungen und anschließend Netzwerk. Wählen Sie mit einem Doppelklick die gewünschte Netzwerkkarte AirPort aus. Im folgenden Fenster steht die MAC-Adresse der AirPort-Karte. Beim Betriebssystem Linux verwenden Sie den Befehl ifconfig, um die MAC-Adresse einzublenden.

Positivliste der zugelassenen Rechner anlegen

Nachdem Sie von allen eigenen WLAN-fähigen Computern, die Sie im Funknetz betreiben möchten, die MAC-Adressen notiert haben, können Sie diese in die Positivliste des WLAN-Routers eintragen. Die Verwaltung der Positivliste erfolgt über das Konfigurationsmenü des Routers:

1. Starten Sie den Internet Browser und geben Sie die Adresse Ihres WLAN-Routers ein, etwa 192.168.0.1. Ein Blick ins Handbuch verrät, über welche Adresse das Konfigurationsmenü Ihres Routers erreichbar ist. Hier eine Liste der Standardkennwörter und Zugangsdaten der wichtigsten Routerhersteller:

Hersteller 3com:
http://192.168.1.1
Benutzername: Admin
Kennwort: admin

Hersteller D-Link:
http://192.168.0.1
Benutzername: Admin
Kennwort: (leer)

Hersteller AVM:
http://fritz.box
Benutzername:(leer)
Kennwort: (leer)

Hersteller Linksys:
http://192.168.1.1
Benutzername: Admin
Kennwort: admin

Hersteller Netgear:
http://192.168.0.1
Benutzername: Admin
Kennwort: password

2. Im Konfigurationsbereich finden Sie zumeist im Bereich Sicherheit die Zugriffskontrolle, auch Access Control List (ALC), MAC-Filtertabelle oder MAC-Adressfilter genannt. Die genaue Bezeichnung kann je nach Routermodell unterschiedlich lauten. Aktivieren Sie hier die Zugriffskontrolle.

3. Tragen Sie in die Filterliste alle MAC-Adressen der Computer ein, die in Ihrem Netzwerk zugelassen sein sollen. Achten Sie dabei auf die exakte Schreibweise. Die Groß- und Kleinschreibung spielt dabei keine Rolle. Üblicherweise werden die MAC-Adressen aber durchgehend groß geschrieben.

4. Sobald alle MAC-Adressen eingetragen sind, speichern Sie die Einstellungen und schließen das Konfigurationsfenster.

Ab sofort dürfen nur noch Geräte, deren MAC-Adresse in der Filtertabelle aufgeführt sind, das Netzwerk „betreten“. Alle anderen weist der Router kategorisch zurück.

Sollte einer Ihrer eigenen PCs nach der Aktivierung der Filtertabelle keinen Zugriff mehr haben, überprüfen Sie noch einmal die exakte Schreibweise in der Filtertabelle – hier schleichen sich gerne Tippfehler oder Buchstabendreher ein.

AVM macht’s einfacher

Zugegeben: Das Sammeln und Eintragen der MAC-Adresse ist zeitaufwändig. Einmal eingerichtet, sorgt die Positivliste aber für einen wirksamen Schutz vor Angreifern.Besonders praktisch und einfach ist die Pflege der Liste bei WLAN-Geräten der Firma AVM. Hier bleibt Ihnen das manuelle Notieren und Eintragen der MAC-Adresse erspart. Der Trick: Sie müssen lediglich einmal alle Geräte, die Sie im WLAN nutzen möchten, einschalten und mit dem Router verbinden. Danach teilen Sie dem Router mit, in Zukunft nur noch die zurzeit angemeldeten Geräte und keine weiteren zuzulassen. Der Router speichert dann die MAC-Adressen der derzeit eingeschalteten Geräte automatisch in der Filterliste und aktiviert den Zugriffsschutz.

MAC-Adressfilter kein hundertprozentiger Schutz

Der Mac-Adressfilter ist eine feine Sache, bietet aber keinen hunderprozentigen Schutz und sollte nur in Kombination mit anderen Schutzmechanismen (z.B. WPA2-Verschlüsselung) eingesetzt werden. Der Grund: Kriminelle können die Mac-Adresse fälschen und die WLAN-IP-Adresse hacken. Das geht mit Hackerprogrammen wie SMAC (www.klcconsulting.net/smac) ganz einfach. Daher unser Rat: Setzen Sie die Mac-Adressfilterung nicht als alleinigen Schutzmechanismus ein, sondern verschlüsseln Sie die WLAN-Kommunikation zusätzlich mit der WPA2-Verschlüsselungsmethode.

2 Antworten auf „WLAN-Funknetzwerker absichern: Nur eigene PCs zulassen (MAC-Adressfilter, Zugriffsliste, Whitelist, Positivliste)“

Außer einem guten, langen Passwort für die WPA2-Verschlüsselung gibt es KEINEN vernünftigen Schutz. Aber es stimmt schon: Eine MAC-Filterung erschwert das Einbrechen ins WLAN. Für Scriptkiddies reicht das, Profis knacken das nebenbei, denn die MAC-Adressen fliegen auch bei verschlüsseltem Funk frei durch die Luft. Deshalb hatte Apple bei iOS-8-Geräte einen Schutz eingebaut, dass sie bei unbekannten Funknetzen auch mal die MAC-Adresse wechseln, damit Geschäfte einen nicht wiedererkennen. Leider war die Implementierung dilettantisch (funktionierte nur, wenn man Ortungsdienste und Datendienste der SIM-Karte abgeschaltet hat – also praktisch bei niemandem).

Es stimmt zwar, dass jede Netzwerkkarte eine einzigartige Adresse (MAC) hat, doch daran die Zugriffsberechtigung aufs LAN/WAN/WLAN zu knüpfen ist Stuss. Warum?

Wenn ein Computer über WLAN mit dem Router kommuniziert, sind die Addresspakete an die MAC addressiert, und das kann von jedem anderen Rechner aufgezeichnet werden (eg. mit Programm Wireshark). Sprich: Die MAC Addresse ist nicht geheim, sondern auch ausserhalb des Netzwerks sichtbar.

Nun, sofern so gut. Damit ist aber die Zugriffsfunktion immer noch gewährt, könnte der Laie denken. Antwort: Falsch. Die Mac Adresse kann gefälscht werden, und dafür benötigt man keine Fachkenntnisse: E.g. mit dem Programm SMAC!

MAC filter sind eben so hohl wie versteckte SSIDs, welche ebenfalls ausgelesen werden können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.