Hallo, in vielen WLAN-Netzen findet eine Authorisierung an Hand der MAC statt (MAC-Filter) und häufig hörte ich schon davon durch Mithören die authorisierten MAC-Adressen und abändern der Eigenen selber Daten im WLAN senden zu können. (abgesehen von WPA und co.). Unter Windows kann man auch leicht in den Adapter-Einstellungen eine MAC vorgeben und unter Linux geht das ja auch. Nun ist die MAC doch aber beim erstmaligen Programmieren vom Hersteller "eingebrannt". Diese wird beim Ändern per Software nicht berührt!? Welche MAC wird nun auf der MAC-Ebene im WLAN verwendet und kann von außen überhaupt festgestellt werden ob die MAC vom User geändert wurde? Angenommen der Adapter wird vom Betriebssystem getrennt (zb. durch Ausbau) dann verfällt ja diese softwareseitige Änderung. Irgendwo muss doch da der Haken sein. Wenn es so einfach wäre eine MAC-Filerung zu umgehen, dann stellt diese Freiheit doch ein Sicherheitsrisiko dar oder? Gruß Maddin
:
Verschoben durch User
Martin S. schrieb: > Wenn es so einfach wäre eine > MAC-Filerung zu umgehen, dann stellt diese Freiheit doch ein > Sicherheitsrisiko dar oder? Nur wenn du es schaffst aus den abermillionen MAC Adressen gerade die 3 zu raten welche in deinem Router freigeschaltet sind. Das ganze ist natürlich kein kompletter Schutz, schränkt aber mögliche Angriffe schon sehr ein. Ein WLAN Passwort ist ja zusätzlich noch erforderlich.
Die MAC adresse bietet keine Sicherheit weil man sie ändern kann. Meistens steht sie im Flash der Netzwerkkarte, kann aber vom Betriebssystem temporär geändert werden.
Läubi .. schrieb: > Das ganze ist natürlich kein kompletter Schutz, schränkt aber mögliche > Angriffe schon sehr ein. Aber nur, wenn die Angreifer keine Ahnung haben. Wenn sie es schaffen, die Verschlüsselung zu knacken, dann hilft auch kein MAC-Filter mehr. Wozu gibt es Sniffer. Martin S. schrieb: > Irgendwo muss doch da der Haken sein. Wenn es so einfach wäre eine > MAC-Filerung zu umgehen, dann stellt diese Freiheit doch ein > Sicherheitsrisiko dar oder? Der Haken ist, daß MAC-Filter noch nie ein echter Sicherheitsgewinn waren. > Diese wird beim Ändern per Software nicht berührt!? Nein, die liegt eh im ROM. Sie wird nur vom Treiber ausgelesen und bei Bedarf gefaked, solange der Rechner läuft.
Icke ®. schrieb: > Nein, die liegt eh im ROM. Sie wird nur vom Treiber ausgelesen und bei > Bedarf gefaked, solange der Rechner läuft. Das ist nur vielleicht zutreffend - es gibt Karten, die eine geänderte MAC-Adresse auf der Karte speichern. Das vermeidet Probleme beim Hochfahren, beim Booten vom Netz und beim Laden unterschiedlicher Betriebssysteme. Dabei handelt es sich nicht nur um Exoten, meine älteren Intel-NICs können das soweit ich mich erinnere. Gruss Reinhard
Läubi .. schrieb: > Nur wenn du es schaffst aus den abermillionen MAC Adressen gerade die 3 > zu raten welche in deinem Router freigeschaltet sind. Naja ich meinte ja durch Lauschen es aktuellen Traffics. Dann kann man je nach Situation, Anzahl der WLAN-Netze usw. feststellen welche MACs zur Zeit authorisiert sind und kann diese MAC einfach übernehmen. Wird dann aber bestimmt zu Problemen führen wenn 2 Unterschiedliche Teilnehmer mit gleicher MAC unterwegs sind, aber darums solls mal nicht gehen.... Icke ®. schrieb: > Der Haken ist, daß MAC-Filter noch nie ein echter Sicherheitsgewinn > waren. Hm verdammt, dabei fühl ich mich immer so sicher wenn ich zu Hause im Router nur meine MACs eintrage... Hans Mayer schrieb: > Meistens steht sie im Flash der Netzwerkkarte, kann aber vom > Betriebssystem temporär geändert werden. Wird die MAC vom Betriebssysteme wirklich verändert oder führt das nur zu einem "Ausblenden" der eigentlichen MAC?
Martin S. schrieb: > Naja ich meinte ja durch Lauschen es aktuellen Traffics. Dann kann man > je nach Situation, Anzahl der WLAN-Netze usw. feststellen welche MACs > zur Zeit authorisiert sind und kann diese MAC einfach übernehmen Du kannst dich ohne gültige MAC nicht am Netz anmelden, also auch nichts "mitlauschen", wenn man erst mal Zugang zum Netz erlangt hast ist das natürlich eher wirkungslos. Icke ®. schrieb: > Wenn sie es schaffen, > die Verschlüsselung zu knacken Ja wenn... Aber wie knackt man die Verschlüsselung wenn ein einigermaßen aktuelles Protokoll verwendet wird und der Router jeden Verbindungsaufbau ignoriert weil die MAC nicht stimmt?
Läubi .. schrieb: > Du kannst dich ohne gültige MAC nicht am Netz anmelden, also auch nichts > "mitlauschen", ich kann auch in der Straßenbahn alles mithören ohne mich bei den Leute vorzustellen. > Ja wenn... Aber wie knackt man die Verschlüsselung wenn der Router eh > jeden Verbindungsaufbau ignoriert weil die MAC nicht stimmt? einfach die Daten abhören und in ruhe umrechnen bis man das password raus hat. Man muss dafür keien Verbindung aufbauen.
Reinhard Kern schrieb: > Das ist nur vielleicht zutreffend - es gibt Karten, die eine geänderte > MAC-Adresse auf der Karte speichern. m.E. wird dabei auch nur die "Locally Administered Address" gespeichert, also was sonst der Treiber macht. Die originale MAC (Universally Administered Address) bleibt trotzdem erhalten. http://de.wikipedia.org/wiki/Locally_Administered_Address
Hier ist z.B. eine Sicherheitslücke bei WPA2 genannt: http://www.heise.de/security/meldung/Sicherheitsluecke-in-WPA2-entdeckt-1044869.html >> Abgemildert würden die Angriffsmöglichkeiten nur durch die Tatsache, >> dass der Angreifer als regulärer WLAN-Teilnehmer autorisiert sein muss Also nix mit einfach ein bisschen zuhören.
Läubi .. schrieb: > Ja wenn... Aber wie knackt man die Verschlüsselung wenn ein einigermaßen > aktuelles Protokoll verwendet wird und der Router jeden > Verbindungsaufbau ignoriert weil die MAC nicht stimmt? Du benötigst dafür lediglich eine WLAN-Karte, die im Monitormodus betrieben werden kann und ein Sniffingtool (z.B. Kismet). Gegenüber dem WLAN verhält sich diese Kombi vollkommen passiv. Dann muß man nur noch hoffen, daß der WLAN-Betreiber ein Vollpfosten ist und primitive Keys verwendet. Oder man hat seeehr viel Zeit, u.U. 1000e von Jahren, um den Schlüssel zu berechnen...
Icke ®. schrieb: > hoffen, daß der WLAN-Betreiber ein Vollpfosten ist und primitive Keys > verwendet. Eine (indirekte) Kollaboration sollte man schon ausschließen... ;-) > Oder man hat seeehr viel Zeit, u.U. 1000e von Jahren, um den > Schlüssel zu berechnen... eben... aber wer hat die schon. Das man mit genügend zeit dann auch noch die MAC Adresse raten könnte will ich ja nicht bestreiten...
Läubi .. schrieb: > Das man mit genügend zeit dann auch noch die MAC Adresse raten könnte Raten muß man die nicht, nur eine gültige ersniffen. Die Verschlüsselung ist quasi die Tresortür. Hat sie der Einbrecher überwunden, wird er sich auch nicht von einem dahinter gestellten Stuhl aufhalten lassen. Du kannst es drehen, wie du willst, MAC-Filter sind unnütz. Bei guter Verschlüsselung kommt der Angreifer eh nicht rein und bei schlechter hält ihn der MAC-Filter auch nicht auf.
Icke ®. schrieb: > hält ihn der MAC-Filter auch nicht auf Also der Router den ich hier für WLAN nutze (irgend so ein Gammelteil, nutze eigentlich ausschließlich Kabel) ist es so das ohne gültige MAC der Router sich verhält als wäre er nicht da das hält auf jedenfall Leute ab es "einfach mal zu probieren", es ging ja darum das es 'leicht' sei die MAC zu ändern und ich finde es nicht schlecht wenigstens die Geräte welche sich grundsätzlich verbinden dürfen zu reglementieren.
Icke ®. schrieb: > Bei guter > Verschlüsselung kommt der Angreifer eh nicht rein und bei schlechter > hält ihn der MAC-Filter auch nicht auf. Sehe ich genauso. @TO: Vergiss den MAC Filter und aktiviere WPA2 mit Pre-Shared Keys. Bei der Gelegenheit kannst du auch noch aufm Router prüfen, ob du die aktuelle Firmware drauf hast und falls WPS an ist, es nach dem "Pairing" mit deinen Geräten tunlichst deaktivieren... :)
Tom schrieb: > Bei > der Gelegenheit kannst du auch noch aufm Router prüfen, ob du die > aktuelle Firmware drauf hast und falls WPS an ist, es nach dem "Pairing" > mit deinen Geräten tunlichst deaktivieren... :) na logo
Läubi, mach dich bitte mal schlau, bevor du hier MAC-Filter und ähnlichen Nonsens als Sicherheitsgewinn verkaufst. Das gehört in die Kategorie 'ohne-Ping-bin-isch-voll-krass-unsichtbar'... Die MAC-Adressen werden im Klartext gefunkt, ein Mithören derselben ist mithin doch eher als Praktikanten-Gehilfen-Aufgabe zu werten.
Läubi .. schrieb: > Also der Router den ich hier für WLAN nutze (irgend so ein Gammelteil, > nutze eigentlich ausschließlich Kabel) ist es so das ohne gültige MAC > der Router sich verhält als wäre er nicht da Bei WLAN kann das nicht funktionieren, der Datenverkehr ist wie bei einem simplen Hub immer abhörbar. Und im Kabelnetzwerk muß der Angreifer physischen Zugang haben, oder hast du eine Netzwerkdose im Vorgarten?
Martin S. schrieb: > Irgendwo muss doch da der Haken sein. Wenn es so einfach wäre eine > MAC-Filerung zu umgehen, dann stellt diese Freiheit doch ein > Sicherheitsrisiko dar oder? MAC-Filter als Schutz im WLAN sind per Definition ein einziges Sicherheitsrisiko.
Icke ®. schrieb: > Bei WLAN kann das nicht funktionieren, der Datenverkehr ist wie bei > einem simplen Hub immer abhörbar. Ich wollte damit nur sagen das es zumindest den AP uninteressant für einen Angreifer machen kann.
Läubi .. schrieb: > Ich wollte damit nur sagen das es zumindest den AP uninteressant > für einen Angreifer machen kann. Nein, im Gegenteil ist eine MAC-Filterung ein deutliches Indiz dafür, das ein 'nicht-sehr-bewanderter-User' (aka Depp) den AP eingerichtet hat. Das macht den AP u.U. erst interessant. Habe in der (WLAN-)Nachbarschaft auch so einen... eg
Läubi .. schrieb: > Ich wollte damit nur sagen das es zumindest den AP uninteressant > für einen Angreifer machen kann. Warum sollte es das?
Martin S. schrieb: > Nun ist die MAC doch aber beim erstmaligen Programmieren vom Hersteller > "eingebrannt". Diese wird beim Ändern per Software nicht berührt!? Jaein. Die leigt meistens in einem EEPROM oder einem EPROM. Du kannst dir MAC-Adressen ja auch z.B. bei Microchip im TO92-Gehäuse kaufen oder so ähnlich. Vom E(E)PROM wandert die Adresse dann in die Parametrisierung, also im einfachsten Fall ein paar Register im RAM der Karte. > Welche MAC wird nun auf der MAC-Ebene im WLAN verwendet und kann von > außen überhaupt festgestellt werden ob die MAC vom User geändert wurde? Diejenige, die ins Register geladen wurde. Ob die mit der im E(E)PROM übereinstimmt, ist ne andere Frage. Von außen ist garnichts erkennbar. > Angenommen der Adapter wird vom Betriebssystem getrennt (zb. durch > Ausbau) dann verfällt ja diese softwareseitige Änderung. Genau, sofern die Karte keine Möglichkeit bietet, automatisch eine andere Adresse zu laden. > Irgendwo muss doch da der Haken sein. Wenn es so einfach wäre eine > MAC-Filerung zu umgehen, dann stellt diese Freiheit doch ein > Sicherheitsrisiko dar oder? Ja, MAC-Filterung war noch nie eine Sicherheitsmaßnahme. Die findet man meistens dort, wo nicht jeder im WLAN herumfunken soll, aber der Aufwand zusätzlicher Verschlüsselung bzw. Knacken selbiger trotzdem verhältnismäßig ist. Zum Beispiel, weil es nichts zu verbergen gibt, etwa an Hotspots an Hochschulen oder so. Eventuell geht der MAC-Filter auch grad noch als Sicherung vor unbefugtem Zugriff durch, was dann einige Dinge juristisch anders darstellt. Umgehung des Filters ist zwar immer noch trivial, aber könnte dann als Straftat gewertet werden, wodurch der Betreiber sich von illegalen Downloads distanzieren kann usw. Lauschen kann man im WLAN als auch im LAN immer. Im LAN eventuell nur eingeschränkt, wenn es auf Switches gebaut ist.
Reinhard Kern schrieb: > meine älteren Intel-NICs > können das soweit ich mich erinnere. Jo, die EtherPro's von Intel kamen mit einem DOS Tool, wo man wirklich eine neue MAC ins EEPROM schreiben konnte. Ich war damals ziemlich baff, weil damit ja die Idee der 'worlwide unique address' unterlaufen wurde.
die macs werden bei wlan im klartext über die luft gepustet... also hilft der sniffer sehr wohl.
Sven P. schrieb: > Umgehung des Filters ist zwar immer noch trivial, aber könnte > dann als Straftat gewertet werden, wodurch der Betreiber sich von > illegalen Downloads distanzieren kann usw. Glaub das nur nicht, wenn ein Provider behauptet, unter deiner IP-Adresse wäre was Illegales passiert, bist du nach der gängigen Rechtssprechung schon verurteilt, egal ob du überhaupt einen PC oder Router besitzt, und wie der konfiguriert ist will das Gericht auch nicht wissen, die Behauptung eines Downloads durch einen Abmahnspezialisten genügt als Beweis völlig. Das einzige was dir vielleicht hilft, wäre die Tatsache dass du vor dem Download gestorben bist, aber nur vielleicht. Ich bin auf die Frage der MAC-Adresse in ganz anderem Zusammenhang gestossen, nämlich als ich von einem CAD-Hersteller für ein Seminar eine auf die MAC-Adresse gedongelte Software bekam. Rein aus Interesse habe ich auf einem anderen PC die gleiche Adresse eingestellt und sofort lief dort die angeblich geschützte Software. Natürlich wäre das illegal und in einem Firmennetz auch nur begrenzt praktikabel. Ich habe dem Distributor der Software auch mitgeteilt, wie wenig wirksam sein Schutz war, der wusste das auch noch nicht. Gruss Reinhard
Reinhard Kern schrieb: > Ich bin auf die Frage der MAC-Adresse in ganz anderem Zusammenhang > gestossen, nämlich als ich von einem CAD-Hersteller für ein Seminar eine > auf die MAC-Adresse gedongelte Software bekam. Aua... > Rein aus Interesse habe > ich auf einem anderen PC die gleiche Adresse eingestellt und sofort lief > dort die angeblich geschützte Software. Natürlich wäre das illegal und > in einem Firmennetz auch nur begrenzt praktikabel. Zwei NICs im Rechner? { unschuldig dreinguck ;-) } > Ich habe dem > Distributor der Software auch mitgeteilt, wie wenig wirksam sein Schutz > war, der wusste das auch noch nicht. Taugt die Software? Bei soviel Dilettantismus hätte ich da Bauchschmerzen.
Mac-Adressen kauft man en block bei der IEEE. Wenn du einen Netzwerkadmin ärgern willst dann vergeb 2 gleiche im eigenen Subnetz.
Reinhard Kern schrieb: > Glaub das nur nicht, wenn ein Provider behauptet, unter deiner > IP-Adresse wäre was Illegales passiert, bist du nach der gängigen > Rechtssprechung schon verurteilt, egal ob du überhaupt einen PC oder > Router besitzt, und wie der konfiguriert ist will das Gericht auch nicht > wissen, die Behauptung eines Downloads durch einen Abmahnspezialisten > genügt als Beweis völlig. Das einzige was dir vielleicht hilft, wäre die > Tatsache dass du vor dem Download gestorben bist, aber nur vielleicht. Kannst du natürlich auch belegen.
> unter deiner IP-Adresse wäre was Illegales passiert,
Herr Richter, dann achten Sie bitte genauer auf Datum und Uhrzeit, da
dynamische IPs später mehrfach wieder vergeben werden können!!!
MAC-Adressen wurden in der PC-Steinzeit im EPROM der Netzwerkkarte
eingebrannt.
Ob es beim WLAN sinnvoll ist oder nicht, eine MAC zu püfen hat nicht
unbedingt mit Sicherheit zu tun. Es könnte jedoch in Sonderfällen einige
Schmeißfliegen fernhalten, die sonst durch ständige Anmeldeversuche den
falschen Accesspoint belästigen?
vn nn schrieb: > Kannst du natürlich auch belegen. Amtsgericht München, 23.11.2011, 142 C 2564/11. Gruss Reinhard
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.