Diskussionsforum
Menü

MAC-Security sollte NICHT benutzt werden


17.08.2014 08:17 - Gestartet von blumenwiese
Die MAC-Security erhöht nicht die Sicherheit. Wer sein WLAN verschlüsselt versperrt ungebetenen Gästen den Zugang. Wer sein WLAN nicht verschlüsselt, dem hilft auch kein MAC-Filter. Eine MAC-Adresse lässt sich vollkommen unproblematisch fälschen. Bei einem unverschlüsseltem Netz reicht beriet ein aufgefangenes Paket um die MAC-Adresse eines Gerätes des rechtmäßigen Betreibers zu erhalten.

Allerdings führt ein aktivierter MAC-Filter fast immer zu erheblichen Problemen bei der Neuanmeldung von Geräten, die es bisher noch nicht gab. Da kauft sich dann der Benutzer ein neues Handy oder Tablet oder TV und verbringt dann Stunden damit, herauszufinden, warum er es nicht an seinem WLAN anmelden kann. Denn die MAC-Security ist meistens nicht bekannt oder vergessen.
Menü
[1] MAC-Filter sollte auf jeden Fall benutzt werden!
Leiter Kundenverarsche³ antwortet auf blumenwiese
17.08.2014 15:48
Benutzer blumenwiese schrieb:
Die MAC-Security erhöht nicht die Sicherheit. Wer sein WLAN verschlüsselt versperrt ungebetenen Gästen den Zugang. Wer sein WLAN nicht verschlüsselt, dem hilft auch kein MAC-Filter. Eine MAC-Adresse lässt sich vollkommen unproblematisch fälschen. Bei einem unverschlüsseltem Netz reicht beriet ein aufgefangenes Paket um die MAC-Adresse eines Gerätes des rechtmäßigen Betreibers zu erhalten.

Das ist nicht richtig und kann deshalb so nicht stehen gelassen werden. Denn die Sicherheit wird bei aktiver Filterung sehr wohl erhöht. Die Argumentation mit Profi-Einbrüchen in ein heimisches WLAN ist an den Haaren herbei gezogen. Schon rein haftungstechnisch ist es zwingend notwendig und deshalb jedem anzuraten, alle mit vertretbarem Aufwand möglichen Absicherungsmaßnahmen durchzuführen. Auf der rechtlich sicheren Seite ist man deshalb nur mit WPA2-only (AES), deaktivierter SSID-Ausstrahlung bei geänderter SSID, aktivierter MAC-Filterung bei statischer IP-Zuweisung und geänderter Standard-IP des Routers sowie der obligatorischen Änderung von Standardbenutzernamen und Standardkennwort für den Menüzugriff. Mehr kann man als Privatmann mit der gegebenen Hardware nicht tun. Profis hält man damit nicht ab (obschon man auch Ihnen die Arbeit ein wenig erschwert), das ist klar. Aber die haben i. d. R auch besseres zu tun als sich mit Einbrüchen in heimische WLANs die Zeit zu vertreiben. Rechtlich mit Hinblick auf die Störerhaftung erübrigt sich auch alles andere.

Allerdings führt ein aktivierter MAC-Filter fast immer zu erheblichen Problemen bei der Neuanmeldung von Geräten, die es bisher noch nicht gab. Da kauft sich dann der Benutzer ein neues Handy oder Tablet oder TV und verbringt dann Stunden damit, herauszufinden, warum er es nicht an seinem WLAN anmelden kann. Denn die MAC-Security ist meistens nicht bekannt oder vergessen.

Man sollte nicht immer von sich auf andere schließen. Ganz ehrlich - wer nicht in der Lage ist diese Dinge zu beherzigen oder unfähig ist, einen MAC-Filter zu bedienen, der sollte gar kein WLAN betreiben (dürfen) oder wenigsten jemanden mit der Netzwerkverwaltung beauftragen, der das beherrscht.
Menü
[1.1] blumenwiese antwortet auf Leiter Kundenverarsche³
17.08.2014 20:46
Benutzer Leiter Kundenverarsche³ schrieb:
Die Argumentation mit Profi-Einbrüchen in ein heimisches WLAN ist an den Haaren herbei gezogen.

Auch ein Profi kann in kein WPA2-gesichertes Netz einbrechen. Jedenfalls gibt es bis heute keine bestätigte Möglichkeit, WPA2 zu knacken.

Schon rein haftungstechnisch ist es zwingend notwendig und deshalb jedem anzuraten, alle mit vertretbarem Aufwand möglichen Absicherungsmaßnahmen durchzuführen.

So will es die Rechtssprechung ja.

Auf der rechtlich sicheren Seite ist man deshalb nur

Deine Aufzählung (mit Ausnahme der Verschlüsselung und des Routerpasswortes) entspringt deiner Phantasie und kann nicht durch Beispiele aus der Rechtssprechung belegt werden.

Noch mal: Die MAC-Security ist Spielerei. Soll ich dir zeigen, wie ich an einem Linux-OS in unter einer Minute jede beliebige MAC-Adresse einstellen kann? Soll ich dir dann noch zeigen, wie mit einem einfachen Programm auf einem WLAN-fähigen Rechner in genauso kurzer Zeit ich aktive Netzwerke herausfinde, die ihre SSID versteckt haben?

Und was soll um Himmels Willen die Änderung der Standard-IP meines Routers bewirken? Ein einziger kurzer Befehl auf der Bash, der Power- oder WIndows-Shell oder ein winziges, wenige Kilobyte großes Tool und in wenigen Sekunden habe ich die neue IP als Angreifer herausgefunden. Sogar mein Vater (über 70) bekommt das mit einem kleinen Tool in einer Minute hin.

Mehr kann man als Privatmann mit der gegebenen Hardware nicht tun.

Das stimmt allerdings.

Man sollte nicht immer von sich auf andere schließen. Ganz ehrlich - wer nicht in der Lage ist diese Dinge zu beherzigen oder unfähig ist, einen MAC-Filter zu bedienen, der sollte gar kein WLAN betreiben (dürfen) oder wenigsten jemanden mit der Netzwerkverwaltung beauftragen, der das beherrscht.

Wer glaubt, MAC-Security würde die Sicherheit eines WLAN-Netzes erhöhen, der sollte sich mit Aussagen über dieses Thema besser zurückhalten, um sich nicht lächerlich zu machen.
Menü
[1.1.1] Leiter Kundenverarsche³ antwortet auf blumenwiese
18.08.2014 10:49
Benutzer blumenwiese schrieb:
Benutzer Leiter Kundenverarsche³ schrieb:
Die Argumentation mit Profi-Einbrüchen in ein heimisches WLAN ist an den Haaren herbei gezogen.

Auch ein Profi kann in kein WPA2-gesichertes Netz einbrechen. Jedenfalls gibt es bis heute keine bestätigte Möglichkeit, WPA2 zu knacken.

Das ist echt anstrengend mit dir. Du verstehst es noch immer nicht ganz. Was will ein Profi, der das Umgehen sämtlicher Maßnahmen beherrscht in DEINEM oder MEINEM oder SONSTJEMANDES heimischen WLAN? Das ist die Frage, derer man sich mal vergegenwärtigen muss. Und selbst wenn tatsächlich ein Profi (warum auch immer) in ein heimisches WLAN eindringen möchte, dann wird er sich garantiert nach Belieben dasjenige heraussuchen, welches am wenigsten gesichert ist und ihm am wenigsten Umstände macht. Es gibt schließlich leider genug Trottel da draußen, die Ihr WLAN ungesichert oder @default betreiben...

Schon rein haftungstechnisch ist es zwingend notwendig und deshalb jedem anzuraten, alle mit vertretbarem Aufwand möglichen Absicherungsmaßnahmen durchzuführen.

So will es die Rechtssprechung ja.

Also. Dann gibt es auch nichts daran zu deuteln.

Auf der rechtlich sicheren Seite ist man deshalb nur

Deine Aufzählung (mit Ausnahme der Verschlüsselung und des Routerpasswortes) entspringt deiner Phantasie und kann nicht durch Beispiele aus der Rechtssprechung belegt werden.

Diese abschließende Aufzählung entspricht nicht meiner Phantasie, sondern den MAXIMALEN technischen Möglichkeiten, die ein handelsüblicher Heimrouter für gewöhnlich aufbietet und die man deshalb in jedem Fall wahrnehmen sollte. Die Rechtssprechung befasst sich nicht mit technischen Feinheiten. Im Zweifel liegt alles in der Hand eines bestellten Gutachters. Und den fragt der Richter: "Hat der Beklagte alles ihm Mögliche an Sicherungsmaßnahmen unternommen und ein fremdes Eindringen zu verhindern?" Was antwortet dann der Gutachter z. B. bei Default-Zugangsdaten für's Routermenü oder WLAN oder ungenutzem MAC-Filter? Wohl wahrheitsgemäß, dass NICHT alles unternommen wurde.

Noch mal: Die MAC-Security ist Spielerei. Soll ich dir zeigen, wie ich an einem Linux-OS in unter einer Minute jede beliebige MAC-Adresse einstellen kann? Soll ich dir dann noch zeigen, wie mit einem einfachen Programm auf einem WLAN-fähigen Rechner in genauso kurzer Zeit ich aktive Netzwerke herausfinde, die ihre SSID versteckt haben?

Und nochmal: Die MAC-Filterung (lustig, dass du dabei ausgerechnet immer das Wort "Security" in den Mund nimmst) ist keine Spielerei, denn sie taugt mit dem Rejecten nicht registrierter MACs immer noch sehr probat als Spacken- und Kiddie-Firewall (und das ist traditionell nun mal die größte "Bedrohungsgruppe" für ein privates WLAN). Geht das jetzt mal endlich in deinen Schädel? Gegen den Profi ist mit Standardhard- und Software kein Kraut gewachsen, das ist aber noch lange kein Grund auf zusätzliche Sicherungsmaßnahmen zu verzichten, die ausgerechnet die viel wahrscheinlicheren Einbruchsversuche effektiv ver- oder wenigstens zu behindern. Du vergisst bei deiner MAC-Abfangaktion auch einen entscheidenden Punkt. Besteht zum Zeitpunkt des Einbruchsversuchs keine aktive WLAN-Verbindung seitens registrierter Endgeräte, lässt sich OTA gar keine MAC abfangen... WLAN an den Geräten und natürlich auch am Router selbst abzuschalten, wenn man es nicht nutzt, ist so gesehen prinzipiell auch zu den erweiterten "Sicherungsmaßnahmen" zu zählen.

Und was soll um Himmels Willen die Änderung der Standard-IP meines Routers bewirken? Ein einziger kurzer Befehl auf der Bash, der Power- oder WIndows-Shell oder ein winziges, wenige Kilobyte großes Tool und in wenigen Sekunden habe ich die neue IP als Angreifer herausgefunden. Sogar mein Vater (über 70) bekommt das mit einem kleinen Tool in einer Minute hin.

Das solltest du aus dem Kontext schließen können. Stichwort "Identität des Gerätes" - es gibt entsprechende Tabellen... Ich führe es hier nicht weiter aus. Und natürlich ist die geänderte IP simpel herauszufinden, ich habe nie etwas anderes behauptet. Nur - das ist nun ein Argument wofür bzw. wogegen? Es gibt genügend Personen die daran scheitern dürften und spontan, z. B. mit einem Smartphone, dazu überhaupt nicht in der Lage sind. Merkst du was?

Mehr kann man als Privatmann mit der gegebenen Hardware nicht tun.

Das stimmt allerdings.

Natürlich stimmt das. Nochmal: Ich beschrieb das Maximum. Nicht die absolute Effektivität im Härtefall oder gar "100%-ige Sicherheit". Nach deinem Credo las es sich zumindest hingegen so, dass man eigentlich gar keine Sicherungsmaßnahmen einziehen braucht, da am Ende eh alles zwecklos ist. Das ist aber nun mal grundfalsch. Zum einen aus rechtlicher Sicht und zum anderen im Hinblick auf die latente Wahrscheinlichkeit eines schweren, professionellen Einbruchsversuchs. Im Extremfall bin ich doch ganz bei dir, da stimme ich dir unumwunden zu - du hast absolut recht! Nur deine dahinterstehende Denke ist falsch. Du ziehst daraus die falschen Schlüsse. Wenn ich weiß, dass mein Damm nicht HQ100-sicher ist, reiße ich ihn doch auch nicht einfach ab, weil im HQ100-Fall alles zwecklos ist. Das hat dann nichts mehr mit gesundem Sicherheitsdenken zu tun, sondern mit totaler Lethargie und Phlegmatismus. Es ist ja auch nicht so, dass die von mir genannten Maßnahmen besonders umständlich und aufwändig zu implementieren wären. Wobei ich auch zugebe, dass gerade von dir verhasste MAC-Filter mitunter die aufwandsintensivste Maßnahme von allen sein. Nichtsdestotrotz sage ich, dass er die Mühe wert ist.

Man sollte nicht immer von sich auf andere schließen. Ganz ehrlich - wer nicht in der Lage ist diese Dinge zu beherzigen oder unfähig ist, einen MAC-Filter zu bedienen, der sollte gar kein WLAN betreiben (dürfen) oder wenigsten jemanden mit der Netzwerkverwaltung beauftragen, der das beherrscht.

Wer glaubt, MAC-Security würde die Sicherheit eines WLAN-Netzes erhöhen, der sollte sich mit Aussagen über dieses Thema besser zurückhalten, um sich nicht lächerlich zu machen.

Wer sich hier lächerlich macht, fragt sich...
Angesichts der Schwere des Themas und dem nicht vorhanden Problembewusstsein in der breiten Öffentlichkeit kann ich einen Kommentar wie deinen nun mal einfach nicht so stehen lassen. Versteh' es oder nicht. Mir egal.
Menü
[1.1.1.1] blumenwiese antwortet auf Leiter Kundenverarsche³
18.08.2014 12:12
Benutzer Leiter Kundenverarsche³ schrieb:
Das ist echt anstrengend mit dir. Du verstehst es noch immer nicht ganz. Was will ein Profi, der das Umgehen sämtlicher Maßnahmen beherrscht in DEINEM oder MEINEM oder SONSTJEMANDES heimischen WLAN? Das ist die Frage, derer man sich mal vergegenwärtigen muss. Und selbst wenn tatsächlich ein Profi (warum auch immer) in ein heimisches WLAN eindringen möchte, dann wird er sich garantiert nach Belieben dasjenige heraussuchen, welches am wenigsten gesichert ist und ihm am wenigsten Umstände macht. Es gibt schließlich leider genug Trottel da draußen, die Ihr WLAN ungesichert oder @default betreiben...

Da sind wir einer Meinung.

Diese abschließende Aufzählung entspricht nicht meiner Phantasie, sondern den MAXIMALEN technischen Möglichkeiten, die ein handelsüblicher Heimrouter für gewöhnlich aufbietet und die man deshalb in jedem Fall wahrnehmen sollte. Die Rechtssprechung befasst sich nicht mit technischen Feinheiten.

Doch, das tut sie. Sie muss - und hat - nämlich entscheiden, ob jemand sein Netz ausreichend gesichert hat. Nach geltender Rechtssprechung dient dazu die sichere Verschlüsselung. Alle anderen Maßnahmen tragen nichts aber auch gar nichts zur Sicherheit bei. Ist ein WLAN verschlüsselt, kann niemand diese Verschlüsselung nach dem heutigen technischen Stand und bei einem ausreichend guten Passwort knacken. Keine weitere Maßnahmen sind erforderlich.

Und nochmal: Die MAC-Filterung (lustig, dass du dabei ausgerechnet immer das Wort "Security" in den Mund nimmst) ist keine Spielerei, denn sie taugt mit dem Rejecten nicht registrierter MACs immer noch sehr probat als Spacken- und Kiddie-Firewall (und das ist traditionell nun mal die größte "Bedrohungsgruppe" für ein privates WLAN).

Wie soll denn ein "Kiddie" eine WPA2-Verschlüsselung knacken? Wenn du das erklären kannst, dürften dir viele Preise winken. Ich kann mcih problemlos mit dem WLAN-Netz meiner Nachbarn verbinden - bis ich zur Passwort-Abfrage komme. Dann ist Schluss. Und so geht es auch jedem "Kiddie".

das ist aber noch lange kein Grund auf zusätzliche Sicherungsmaßnahmen zu verzichten, die ausgerechnet die viel wahrscheinlicheren Einbruchsversuche effektiv ver- oder wenigstens zu behindern.

Es kann bei einer WPA2-Verschlüsselung keinen erfolgreichen Einbruchsversuch geben! Ist das wirklich so schwer zu verstehen?

Du vergisst bei deiner MAC-Abfangaktion auch einen entscheidenden Punkt. Besteht zum Zeitpunkt des Einbruchsversuchs keine aktive WLAN-Verbindung seitens registrierter Endgeräte, lässt sich OTA gar keine MAC abfangen... WLAN an den Geräten und natürlich auch am Router selbst abzuschalten, wenn man es nicht nutzt, ist so gesehen prinzipiell auch zu den erweiterten "Sicherungsmaßnahmen" zu zählen.

Das ist korrekt. Ändert aber nichts daran, dass ohne Kenntnis des Schlüssels niemand eine nutzbare Verbindung zum Router aufbauen und in mein WLAN eindringen kann.

Und natürlich ist die geänderte IP simpel herauszufinden, ich habe nie etwas anderes behauptet. Nur - das ist nun ein Argument wofür bzw. wogegen? Es gibt genügend Personen die daran scheitern dürften und spontan, z. B. mit einem Smartphone, dazu überhaupt nicht in der Lage sind. Merkst du was?

Ja, es ist sinnlos. Was bitteschön kann jemand mit der IP anfangen? Er kommt ohne Kenntnis des WPA2-Passwortes gar nicht bis zum Routermenü. Dazu müsste er schon ein LAN-Kabel direkt in den Router stecken.

Nach deinem Credo las es sich zumindest hingegen so, dass man eigentlich gar keine Sicherungsmaßnahmen einziehen braucht, da am Ende eh alles zwecklos ist.

Das habe ich nie geschrieben. Die einzige Sicherheitsmaßnahme, die auch nur entfernt diesen namen verdient, iost die WPA2-Verschlüsselung. Hat man hier ein sicheres Kennwort verwendet, kann man sich alle ANDEREN Maßnahmen sparen.

Nichtsdestotrotz sage ich, dass er die Mühe wert ist.

Ein MAC-Filter ist eben nicht die Mühe wert. Niemand kann sich ohne WPA2-Passwort in mein Netz einhaken. Kennt er dieses Passwort, ist ein MAC-Filter das geringste Problem.

Wer sich hier lächerlich macht, fragt sich... Angesichts der Schwere des Themas und dem nicht vorhanden Problembewusstsein in der breiten Öffentlichkeit kann ich einen Kommentar wie deinen nun mal einfach nicht so stehen lassen. Versteh' es oder nicht. Mir egal.

Eben weil es ein wichtiges Thema ist und der normale Bürger meist nur wenig Computerkenntnisse hat, sollte man ihm vermitteln, was ein Netzwerk absichert: Eine anständige WPA2-Verschlüsselung. Ohne diesen Zugangsschlüssel kann niemand in ein WLAN-Netz eindringen.