Schutz über MAC-Adresse greift nicht

[stricker]

Salü zusammen,

mein WLAN-Zugang sollte zusätzlich über MAC-Adressen geschützt sein, was jedoch nicht greift. Sobald ein neues Gerät den WPA2-Key und eine passende IP-Adresse (DHCP ausgeschaltet) hat, kann es trotz fehlendem MAC-Eintrag im Router online gehen. Der Router ist ein Zyxel Speedport 5501 mit aktueller Firmware.

Kennt jemand dieses Phänomen, oder ist das eventuell ein Bug dieses Geräts?

Merci vorab!

 

[Raijin]

Bug oder nicht, lass den MAC-Filter weg. Diese Funktion bietet keinerlei Sicherheit. Binnen weniger Sekunden kann man im WLAN gültige MACs auslesen und mit Windows-Bordmitteln die eigene MAC entsprechend ändern. Zudem steht der Aufwand, jedes neue Gerät manuell hinzuzufügen, in keinem Verhältnis dazu. Am Ende hat man also nicht nur nicht mehr Sicherheit, sondern einfach so nur mehr Verwaltungsaufwand ohne jeglichen Mehrwert.

Ein MAC-Filter ist ungefähr so effektiv wie ein Streifen Tesafilm auf dem Türschloss. Einfach abreißen und wie gehabt das Schloss knacken. Natürlich sollte der Filter dennoch funktionieren, wenn er eingeschaltet ist, aber da die Funktion als solche in der Bedeutungslosigkeit verschwindet, kann man sie auch einfach ausschalten und sich ein Ei drauf backen welche MAC ein Client hat. WPA2 bzw. selbst WPA(1) ist bei adäquatem Schlüssel sicher genug. Wer das knacken kann, braucht wie gesagt ziemlich genau 1,4 Sekunden länger, um zusätzlich noch kurz die MAC zu ändern.

*edit
Da du DHCP erwähnst, möchte ich noch etwas ergänzen. Verwechsle nicht die Eingabemaske für die MAC bei der Adressreservierung für den DHCP mit der Zugangskontrolle via MAC-Filter. Hört sich doof an, aber schau lieber nochmal genau hin ob du da auch wirklich an der richtigen Stelle guckst

 

[stricker]

Danke für die schnelle Antwort!

Dass MAC grundsätzlich keinen Schutz bietet, ist mir schon klar. Mir geht es einfach darum, Freunden unserer Kinder den Zugang für ihre mitgebrachten Smartphones in unser WLAN zu erschweren. Sinnigerweise funktioniert vice versa das Aussperren von MAC-Adressen problemlos. Aber dafür muss man die halt kennen!

Fu** All-IP - ich traure meinem alten Linksys WRT54GL nach ...

 

[Raijin]

Hä? Ergibt für mich dennoch keinen Sinn. Stell bei deinen Kindern das WLAN selbst ein, deine Kinder kennen das Passwort nicht, können das konfigurierte WLAN aber nutzen. Dann können sie ihren Freunden das Passwort auch nicht verraten und somit ist der MAC-Filter absolut überflüssig, weil die Freunde ohne Passwort gar nicht erst ins WLAN kommen.

Ich würde mir nie selbst Steine in Form eines MAC-Filters in den Weg legen, weil Fremde mein WLAN nutzen. In dem Falle lasse ich sie nämlich überhaupt nicht rein.


*edit
Im übrigen arbeitet ein MAC-Filter in der Regel so, dass er alle unbekannten MACs blockt und nur die eingetragenen MACs zugelassen sind. D.h. man muss nur die MACs der eigenen Geräte kennen und die kann man einfach im Menü oder im Falle von zB WLAN-Druckern, etc. auf einem Aufkleber an der Rückseite oder am Boden ablesen.

Ergänzung (25. August 2017)

Auf Seite 141 des Handbuchs steht, dass man eine Liste von MACs erstellen und diese dann wahlweise als zugelassene Geräte (Whitelist) oder blockierte Geräte (Blacklist) konfigurieren kann. In deinem Falle wäre es eine Whitelist, weil du die MACs deiner Geräte bzw. der Geräte deiner Kinder dort einträgst und alles andere geblockt werden soll.

Dennoch halte ich das für den falschen Weg. MAC-Filter machen einfach nur Arbeit und bieten keinerlei Vorteile. Unbefugte bekommen schlicht und ergreifend das WLAN-Passwort nicht und dann ist die Sache gegessen.

 

[stricker]

Wenn man möchte, kann man das Passwort an jedem Rechner im Netzwerk auslesen ... aber du hast natürlich recht ... LAN ist konkurrenzlos besser!

 

[Raijin]

Klar, kann man alles. Und wenn ich merke, dass meine Kinder sowas machen, haben sie lange genug im WLAN gesurft. Die MAC kann man nicht nur auslesen, sondern auch wunderbar aus der Luft greifen - im wahrsten Sinne des Wortes. Da beißt sich also die Katze in den Schwanz.

Wie dem auch sei, ist dein Bier, wenn du dir selbst den Krampf mit MAC-Filter antun willst. Dann bist du eben einer der wenigen armen Tröpfe (ist das der Plural von Tropf?!?), die sich mit dem MAC-Filter rumquälen. Auf der besagten Seite in der Bedienungsanleitung steht genau was du tun musst. Ich vermute mal du hast da evtl. die Einstellung genau falsch herum gemacht (black- vs whitelist). Prüfe die Einstellungen nochmal und probiere es erneut. Dann sollte der MAC-Filter eigentlich auch funktionieren und seinen Job tun - nämlich unnötige Arbeit machen