PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : WLAN Mac-Adressenbereich festlegen


Swp2000
2015-07-18, 12:06:18
Hallo Leute,

Kann man im Router die MAC-Adressen Filterung auch nur für WLAN-Geräte aktivieren oder zählt das pauschal immer für alle angeschlossenen Gerät, egal ob mit oder ohne Kabel?

Geht sowas?

Mosher
2015-07-18, 12:15:47
Das hängt sicherlich von deinem Router und der Firmware ab.
Da müsstest du schon ein paar mehr Informationen liefern.

"Normalerweise" ist die MAC-Filterung (nicht die Zuweisung einer IP-Adresse durch den DHCP-Server anhand einer MAC-Tabelle) doch eh nur für WLAN-Geräte aktiv.

Bei DD-WRT ist es zumindest so.

Stanger
2015-07-18, 13:15:00
Bei meinem Cisco Router kann man den MAC-Filter ausschließlich für WLAN-Geräte einstellen.

mfg
Stanger

Swp2000
2015-07-18, 13:15:29
Es handelt sich um ein WR1043ND also von TP-Link!

Mosher
2015-07-18, 13:33:05
http://screenshots.portforward.com/routers/TP-Link/TL-WR1043ND/Wireless_MAC_Filtering.jpg

Hier (http://screenshots.portforward.com/routers/TP-Link/TL-WR1043ND/Wireless_MAC_Filtering.htm) sieht es so aus, als wäre der Filter eh nur für WLAN aktiv.

Swp2000
2015-07-18, 16:19:24
http://screenshots.portforward.com/routers/TP-Link/TL-WR1043ND/Wireless_MAC_Filtering.jpg

Hier (http://screenshots.portforward.com/routers/TP-Link/TL-WR1043ND/Wireless_MAC_Filtering.htm) sieht es so aus, als wäre der Filter eh nur für WLAN aktiv.
Genau das. Ich weiß jedoch nicht ob das immer so ist und für LAN & WLAN separate Filter regeln existieren.
Soweit habe ich nun alles gefunden und eingerichtet!

Mosher
2015-07-18, 16:32:28
MAC-Filterung für LAN ist eher ungewöhnlich und bei "Consumer"-Produkten meist nicht vorgesehen. -> Man wird ja wohl noch wissen, wen man an seinen Router stöpseln lässt.
Bei WLAN macht das mehr Sinn (Wobei man auch hier nicht dem Trugschluss aufsitzen darf, eine MAC-Filterung wäre absolut sicher)

Was zB unabhängig vom Interface (LAN/WLAN) ist, ist die Vergabe von IP-Adressen anhand einer MAC-Tabelle. Geräte wie zB die Fritzbox bieten diese Funktion unter dem Namen "Diesen Computer dauerhaft merken" o.ä. an, aber im Grunde ist es genau das.


Aber deine Frage scheint ja erst mal beantwortet zu sein, oder?

OBrian
2015-07-18, 23:56:09
aber um mal auf den Threadtitel einzugehen: Ein Adressenbereich wird ja nicht gefiltert, sondern im Router wird normalerweise die einzelne Mac-Adresse freigegeben, die einem spezifischen Gerät (sprich dem eigenen Notebook o.ä.) gehört, nicht irgendwelche Bereiche. Mac-Adressen sind ja auch sowieso zufällig und nicht nach Bereichen eingeteilt, wäre also unsinnig, Mac-Adressen von X bis Y zuzulassen.

lumines
2015-07-19, 00:48:57
Bei WLAN macht das mehr Sinn (Wobei man auch hier nicht dem Trugschluss aufsitzen darf, eine MAC-Filterung wäre absolut sicher)

Man muss sogar nur so lange warten, bis sich ein eingetragener Client mit dem AP verbinden will. Die senden ja ihre MAC-Adresse mit, die man z.B. sehr komfortabel mit Kismet mitschneiden kann. Eigentlich sollte man das auch nicht als Sicherheitsfunktion, sondern eher als lose Zugriffskontrolle sehen.

Aber ich will mich nicht beschweren. Man kann nie genug offene WLANs haben, auch wenn das hier für die Betreiber durch die Störerhaftung etwas haarig so ohne Verschlüsselung ist.

Mosher
2015-07-19, 10:18:15
Man muss sogar nur so lange warten, bis sich ein eingetragener Client mit dem AP verbinden will. Die senden ja ihre MAC-Adresse mit, die man z.B. sehr komfortabel mit Kismet mitschneiden kann. Eigentlich sollte man das auch nicht als Sicherheitsfunktion, sondern eher als lose Zugriffskontrolle sehen.

Aber ich will mich nicht beschweren. Man kann nie genug offene WLANs haben, auch wenn das hier für die Betreiber durch die Störerhaftung etwas haarig so ohne Verschlüsselung ist.

Gut, sagen wir, für den 0815 "Hihi, ich versuch mich mal zu verbinden"-Schelm reicht die MAC-Filterung, aber für jeden mit genug krimineller Energie und Sachverstand, um nach "Wie kann ich WLANs hacken" zu googeln, ist die Filterung nur ein minimales Hindernis.

In Kombination mit versteckter SSID (auch das ist nicht narrensicher) und einem gescheiten Passwort+Verschlüsselung lässt sich sicher ein einigermaßen wirksamer Schutz für sein WLAN herstellen. Man sollte vielleicht auch hin und wieder das Verbindungsprotokoll checken, ob da irgendwelche komischen Dinge stattgefunden haben.

Aber ich bin mir sicher, das ist dem Threadersteller alles bewusst.

lumines
2015-07-19, 15:14:06
In Kombination mit versteckter SSID […]

Das besser weglassen. Die SSID nicht zu broadcasten ist nicht standardkonform zu 802.11i mit WPA2. Man handelt sich damit nur Probleme ein und man sendet die SSID sogar weiter, weil die Clients die beim Suchen dann mitsenden. Ich kann dadurch hier APs sehen, die ich unter normalen Umständen nie sehen würde.

Mosher
2015-07-19, 15:18:15
Das besser weglassen. Die SSID nicht zu broadcasten ist nicht standardkonform zu 802.11i mit WPA2. Man handelt sich damit nur Probleme und man sendet die SSID sogar weiter, weil die Clients die beim Suchen dann mitsenden. Ich kann dadurch hier APs sehen, die ich unter normalen Umständen nie sehen würde.

Ok, das war mir zB unbekannt. Interessant.
Nun, aus provokationsgründen sende ich meine SSID sowieso absichtlich mit xD

Swp2000
2015-07-20, 18:58:16
Das besser weglassen. Die SSID nicht zu broadcasten ist nicht standardkonform zu 802.11i mit WPA2. Man handelt sich damit nur Probleme ein und man sendet die SSID sogar weiter, weil die Clients die beim Suchen dann mitsenden. Ich kann dadurch hier APs sehen, die ich unter normalen Umständen nie sehen würde.
Ich deinem Fall verstehe ich nicht ganz wieso du die APs sehen kannst wenn sie versteckt sind. Macht die Funktion ja hinfällig.

Bezgl. meiner Konfiguration. Ich habe eine WPA2 Verschlüsselung und nun als "Doppelte Sicherheit" noch die Mac-Filterung aktiviert!

Wäre es ratsam ( bei mir besteht die Möglichkeit) auf einen Radius Server umzuswitchen? Wäre das sicherer?

lumines
2015-07-20, 19:42:13
Ich deinem Fall verstehe ich nicht ganz wieso du die APs sehen kannst wenn sie versteckt sind. Macht die Funktion ja hinfällig.

Sie sind ja nicht versteckt, sie broadcasten nur keine SSID. Das ist schon ein sehr wichtiger Unterschied. Ein Client weiß dann natürlich nicht, womit er sich verbinden soll. Also broadcastet er sie selbst, damit der AP den Client finden kann. Dadurch wird die SSID viel weiter verfügbar gemacht, weil die gesamte Menge der Clients zusammen natürlich in einem viel größeren Umkreis sendet als der AP alleine.

Auf jeden Fall sollte man die Funktion besser nicht anrühren. Man hat nicht viel davon und man kann Probleme mit Inkompatibilitäten bekommen.

Wäre es ratsam ( bei mir besteht die Möglichkeit) auf einen Radius Server umzuswitchen? Wäre das sicherer?

Kommt drauf, gegen was du etwas absichern willst. Pauschal besser ist das nicht. Man hat dadurch vor allem mehr Möglichkeiten zur Authentifizierung. Ist natürlich die Frage, ob man das im privaten Umfeld haben muss. Wenn jemand einen funktionierenden Login hat, hat er eben sowieso Zugriff auf dein Netzwerk. Dass er sich dann nicht direkt als ein anderer Nutzer einloggen kann, hilft dann auch nicht so viel.

Man kann aber meistens noch etwas an der Passphrase optimieren, indem man wirklich eine zufällige Zeichenkette nimmt, z.B. aus /dev/random von einer Linux-Kiste. pwgen könnte auch interessant sein.

Die SSID fließt übrigens direkt in die Generierung des Schlüssels bei WPA2 mit ein. Man sollte auf jeden Fall nicht unbedingt die Standard-SSID des Routers benutzen, weil vielleicht jemand dafür Rainbow Tables erstellt haben könnte. Man könnte z.B. einen eingängigen Namen für die SSID nehmen und dahinter noch eine zufällige Zeichenfolge anhängen.