Diskussionsforum
Menü

Für alle?


23.05.2010 18:22 - Gestartet von Telly
Das ganze WLAN-Netz orientiert sich nämlich an dem schwächsten WLAN-Standard und das langsamste Gerät zieht die Geschwindigkeit für alle Teilnehmer in den Keller.

Gilt das für den Fall, wenn alle Geräte gleichzeitig im WLAN sind - also aktiv Traffic läuft. Oder gilt das auch, wenn nur das "schnellste Gerät" online ist, die anderen aber lediglich im Netz konfiguriert sind. So haben wir unsere Geräte alle mit MAC-Adresse angeschlossen.

Telly
Menü
[1] calin.rus antwortet auf Telly
01.06.2010 11:13
Benutzer Telly schrieb:

Gilt das für den Fall, wenn alle Geräte gleichzeitig im WLAN sind - also aktiv Traffic läuft.

Ja

Oder gilt das auch, wenn nur das "schnellste Gerät" online ist, die anderen aber lediglich im Netz konfiguriert sind.

Du meinst, dass der AP sich für jeden Client neben der MAC-Adresse auch die maximal unterstützte Geschwindigkeit merkt? Sehr unwahrscheinlich.

So haben wir unsere Geräte alle mit MAC-Adresse angeschlossen.

Wozu?

Gruß,
Calin
Menü
[1.1] Telly antwortet auf calin.rus
01.06.2010 14:40
So haben wir unsere Geräte alle mit MAC-Adresse angeschlossen.

Wozu?

Weil sich so niemand in unser WLAN einhacken kann, der nicht über das Wissen und die Technik verfügt, unsere MACs auszulesen und "mitzusenden", wenn er bei uns rein will.

Hundertprozentig sicher ist nichts auf der Welt.

Aber wir fühlen uns ganz gut geschützt dadurch.

Telly
Menü
[1.1.1] calin.rus antwortet auf Telly
01.06.2010 16:02
Benutzer Telly schrieb:

Weil sich so niemand in unser WLAN einhacken kann, der nicht über das Wissen und die Technik verfügt, unsere MACs auszulesen und "mitzusenden", wenn er bei uns rein will.

Dachte ich mir. Ist in den Netzwerkgruppen und -foren eine nicht auszurottende Mär.
Besonderes Wissen oder gar besondere Technik ist nicht nötig. Du hältst damit lediglich "versehentliche" Verbindungen fern (z. B. wenn jemand genau wie Du ein unverschlüsseltes WLAN namens "WLAN" hat und es auf seinem Laptop entsprechend konfiguriert hat). Ach ja, und all die, die unfähig sind "MAC-Adresse ändern" bei Google einzutippen. :-)

Hundertprozentig sicher ist nichts auf der Welt.

Auch wenn es richtig ist, es ist ein Nullargument. Von 100% Sicherheit bist Du mit MAC-Filter als einzige Maßnahme genauso weit entfernt wie Meppen von Mekka. Es gibt da deutlich bessere Maßnahmen. Selbst das (wenn man es darauf anlegt) innerhalb von Minuten knackbare WEP ist da um einiges sicherer. Dagegen kannst Du WPA/WPA2 mit kryptischer, ausreichend langer Passphrase als eine über den Luftweg uneinnehmbare Festung ansehen. Das ist zwar in der Theorie auch knackbar, allerdings ist das beim aktuellen Stand der Technik eine rein akademische Betrachtung, so dass man das in der Praxis als "absolut sicher" betrachten kann.

Aber wir fühlen uns ganz gut geschützt dadurch.

Das ist es eben: die "gefühlte" Sicherheit. Leider hat sie im Falle MAC-Filter mit der reellen Sicherheit nichts zu tun. :-)

Gruß,
Calin
Menü
[1.1.1.1] Telly antwortet auf calin.rus
01.06.2010 16:45
Hallo calin.rus,

zunächsteinmal danke für Deine Meinung.

Du gehst fälschlicherweise davon aus, dass wir den MAC-Filter als einzigste Schutzmaßnahme verwenden. Dem ist nicht so. Zum einen haben wir unsere SSID "versteckt" und das WLAN ist mit WPA verschlüsselt. WPA2 können leider noch nicht alle angeschlossenen Geräte.

Dennoch möchte ich mal kurz auf der Basis mit Dir reden, als hätten wir außer MAC nichts für die Sicherheit getan.

Ach ja, und all die, die unfähig sind "MAC-Adresse ändern" bei Google einzutippen. :-)

Ich dachte immer MAC-Adressen kann man nicht ändern. Oder anders. Eine MAC-Adresse sei mit einem bestimmten Gerät verbunden.

Wenn ich z. B. in meinem Nokia E90 folgendes eintippe:

*#62209526#

dann bekomme ich die MAC-Adresse angezeigt. Ich dachte, diese sei wie die IMEI-Nummer nicht änderbar.

Wenn ich also ein unverschlüsseltes Netz hätte, dann müsste ein Hacker doch dieses unverschlüsselte Netz auslesen und die MAC von beispielsweise meinem Handy herausfiltern.

Dann könnte er diese MAC simulieren und in mein unverschlüsseltes Netz reinkommen. Oder ginge es noch einfacher und ich liege komplett falsch? Er muss doch eine in meinem Netz erfasste bzw. freigegebene MAC-Adresse übersenden können, oder?

BTW:

Wie sinnvoll ist das Verstecken der SSID?

Telly
Menü
[1.1.1.1.1] calin.rus antwortet auf Telly
01.06.2010 17:17
Benutzer Telly schrieb:

Du gehst fälschlicherweise davon aus, dass wir den MAC-Filter als einzigste Schutzmaßnahme verwenden.

Tue ich nicht, daher auch meine Formulierung "als einzige Maßnahme" (im Sinne von "wenn es die einzige Maßnahme wäre"). Ich habe mich aber bewusst auf den Aspekt MAC-Filter beschränkt.

Dem ist nicht so. Zum einen haben wir unsere SSID "versteckt"

*gnarf*

Die einzige Methode, die SSID zu verstecken, ist den Stromstecker vom AP abzuziehen.

und das WLAN ist mit WPA verschlüsselt. WPA2 können leider noch nicht alle angeschlossenen Geräte.

Macht nix. WPA mit langer, kryptischer Passphrase, und euch kann nichts passieren. Jedenfalls nicht über WLAN. :-)

Ich dachte immer MAC-Adressen kann man nicht ändern.

Man kann sie sogar sehr einfach ändern. Unter linux ist es ein Konsolenbefehl, unter Windows kann man das, je nach Treiber, entweder direkt in den Eigenschaften der Netzwerk-Karte frei eingeben, oder in der Registry einstellen oder Tools wie Macshift nutzen, die das dann etwas bequemer übernehmen.
Zudem muss man unterscheiden zwischen "temporär" und "permanent" einstellen.

Oder anders. Eine MAC-Adresse sei mit einem bestimmten Gerät verbunden.

Theoretisch schon.

dann bekomme ich die MAC-Adresse angezeigt. Ich dachte, diese sei wie die IMEI-Nummer nicht änderbar.

Wie das bei Symbian geht weiß ich nicht, aber unter Windows und Linux ist es sehr einfach.

Wenn ich also ein unverschlüsseltes Netz hätte, dann müsste ein Hacker doch dieses unverschlüsselte Netz auslesen und die MAC von beispielsweise meinem Handy herausfiltern.

Alle beteiligten MAC-Adressen (und auch die SSID!) werden IMMER im Klartext übertragen, auch bei verschlüsselten Netzen. Tools wie Kismet bieten dem "Hacker" eine sehr hübsche Darstellung, so dass er sich innerhalb von Sekunden einen Überblick verschaffen kann, welche MAC-Adresse zum AP und welche zu den Clients gehört und wer wann mit wem wie viel spricht.

Er muss doch eine in meinem Netz erfasste bzw. freigegebene MAC-Adresse übersenden können, oder?

Wie gesagt, ein einzelner Befehl in der Konsole. Dazu muss man die eigene MAC-Adresse gar nicht permanent ändern, man kann eine beliebige MAC-Adresse als Aufruf-Parameter übergeben.

Wie sinnvoll ist das Verstecken der SSID?

Die SSID kann man nicht verstecken. Sicherheitstechnisch ist es genauso ein Unfug wie MAC-Filter. WPA schützt dich mehr als ausreichend, du kannst die Pseudo-Maßnahmen getrost weglassen.
Menü
[1.1.1.1.1.1] Telly antwortet auf calin.rus
01.06.2010 17:51
Die SSID kann man nicht verstecken. Sicherheitstechnisch ist es genauso ein Unfug wie MAC-Filter. WPA schützt dich mehr als ausreichend, du kannst die Pseudo-Maßnahmen getrost weglassen.

Ich finde den Mix schon mal ganz okay. Und der Otto-Normal-Nachbar findet meiner Meinung nach durch die versteckte SSID schon mal nicht zufällig heraus, dass ich überhaupt über WLAN verfüge.

Ich werde alles so lassen, wie es ist.

Danke Dir für die Ausführungen.

Telly
Menü
[1.1.1.1.1.1.1] calin.rus antwortet auf Telly
01.06.2010 18:03
Benutzer Telly schrieb:

Ich finde den Mix schon mal ganz okay. Und der Otto-Normal-Nachbar findet meiner Meinung nach durch die versteckte SSID schon mal nicht zufällig heraus, dass ich überhaupt über WLAN verfüge.

Das stimmt zwar, allerdings provozierst du damit bei deinen eigenen Clients unnötige Verbindungsfehler, bei einem Verbindungsabriss dauert es länger, bis sie sich erneut verbinden, etc. Und das alles, ohne dass du dein Sicherheitsniveau erhöhst.
Zudem verrät dein Notebook mit der Einstellung "Verbinden, auch wenn keine SSID ausgestrahlt wird" außerhalb der Reichweite deines WLANs mehr über dich, als dir möglicherweise lieb ist.

Ich werde alles so lassen, wie es ist.

Das bleibt dir unbenommen. Es ist nur, wie gesagt, unnötig.

Danke Dir für die Ausführungen.

Bitte sehr, gern geschehen.
Menü
[1.1.1.1.1.1.1.1] Telly antwortet auf calin.rus
01.06.2010 18:15
Das stimmt zwar, allerdings provozierst du damit bei deinen eigenen Clients unnötige Verbindungsfehler, bei einem Verbindungsabriss dauert es länger, bis sie sich erneut verbinden, etc.

Mmh. Das werde ich nochmal überdenken.

Und das alles, ohne dass du dein Sicherheitsniveau erhöhst.

Wer liest hier mit und sieht dies genauso?

Zudem verrät dein Notebook mit der Einstellung "Verbinden, auch wenn keine SSID ausgestrahlt wird" außerhalb der Reichweite deines WLANs mehr über dich, als dir möglicherweise lieb ist.

Wie meinst Du das? Außerdem der Reichweite habe ich mein WLAN-Stick zwar immer abgeklemmt - aber tun wir mal so, als wäre er aktiv.

Telly
Menü
[1.1.1.1.1.1.1.1.1] calin.rus antwortet auf Telly
01.06.2010 19:10
Benutzer Telly schrieb:

Wer liest hier mit und sieht dies genauso?

"Hier" ist nicht ganz die richtige Adresse für Fragen zu WLAN. Guck mal in de.comp.hardware.n­etzwerke.wireless, da sind MAC-Filter und ssid hiding seit Jahren Dauerbrenner. Wie gesagt, eine Mär, die sich nicht ausrotten lässt. :-)

Wie meinst Du das? Außerdem der Reichweite habe ich mein WLAN-Stick zwar immer abgeklemmt - aber tun wir mal so, als wäre er aktiv.

Bei der Einstellung "Verbinden, auch wenn keine SSID ausgestrahlt wird" (Windows-Standard-Einstellung) sucht ein aktiver WLAN-Adapter ständig nach den ihm bekannten (konfigurierten) Netzen, solange er nicht verbunden ist ("probe requests"). Jemand in deiner Reichweite weiß also innerhalb von Sekunden, welche Netze du auf deinem Laptop konfiguriert hast und wie sie heißen.