IT-Service in München - speziell für kleine Unternehmen und anspruchsvolle Privatkunden

Hotline: 089 - 49 00 92 00                     info @ its-bz.de                       
Home arrow WLAN - Sicherheit arrow 03 - Verwendung von MAC Filtern
Friday, 10 September 2010
  
 
Hauptmenü
Home
Kontakt
Leistungen
Netzwerk
IT - Sicherheit
IT - Projekte
eBusiness
Hosting
Fertigung
Service
ServiceCenter
Security-Check
Servicevertrag
Workshops





















03 - Verwendung von MAC Filtern
MAC steht für Media Access Control. Darunter versteht man einen Sublayer des OSI Data Link Layers. Auf die Details dazu soll hier nicht näher eingegangen werden. Wie die Bezeichnung schon suggeriert, existiert eine Beziehung zu den bekannten MAC Adressen (auch als physikalische Adressen bezeichnet). Bei MAC Adressen handelt es sich um (theoretisch) weltweit eindeutige Adressen für Netzwerkkarten, welche vom Hersteller vergeben werden und zunächst einmal nicht verändert werden können. Die ersten 3 Byte sind die sog. Herstellerkennung, welche den Hersteller der Netzwerkkarte identifiziert (z. B. Intel, Realtek, Marvell usw.). Die zweite Hälfte ist die Gerätekennung, welche von den Herstellern vergeben wird. Die folgende Abbildung verdeutlicht dies:

Aufbau einer MAC Adresse


Durch die Trennung in Hersteller- und Gerätekennung ist gewährleistet, dass Netzwerkkarten verschiedener Hersteller nicht unbeabsichtigt dieselbe MAC Adresse haben.

Infolge der Eindeutigkeit dieser Adressen erscheint es logisch, sie für die Zugriffskontrolle zu verwenden. Und so entstand die Idee des MAC Filters: nach dem Whitelistprinzip verbietet ein MAC Filter grundsätzlich alle MAC Adressen außer solchen, welche explizit eingetragen werden. Auf diese Weise wird allen unbekannten Clients der Zugang verweigert, während legitime Clients auf der Whitelist stehen und dadurch eine Verbindung aufbauen können.

Genauso einfach wie das Prinzip der MAC Filter ist es auch, sie zu umgehen. Der Grund hierfür ist einerseits, dass MAC Adressen grundsätzlich nicht verschlüsselt werden können, da sie als grundlegendste Form der Adressierung dienen. Damit ist es einem Angreifer durch einfaches Beobachten des Datenverkehrs möglich, eine erlaubte MAC Adresse zu erhalten.
Andererseits kann man MAC Adressen mit der richtigen Software sehr wohl von Hand ändern. Während man unter Windows in der Regel auf eine entsprechende Funktion im Treiber der Netzwerkkarte angewiesen ist, bietet Linux standardmäßig die Option über das Konfigurationsutility ifconfig.


Vorteile des MAC Filters
  • Verhindert „versehentlichen“ Verbindungsaufbau (was mit Verschlüsselungsprotokollen selbstverständlich auch zu erreichen ist)


Nachteile des MAC Filters
  • kinderleicht zu Umgehen
  • hoher Konfigurationsaufwand
  • unflexibel





Infolge der praktisch nicht existenten Sicherheit muss man sich daher Fragen, ob sich der Konfigurationsaufwand für einen MAC Filter überhaupt lohnt.
Last Updated ( Sunday, 19 March 2006 )
Next >
[ Back ]
Zertifikate
Advertisement
Support
                   Teamviewer
 
Top!
Design by www.rkwebdesign.de
Optimized for IE 6 & Firefox 1.0
Top!