Warum sollte die Mac-Filterung bei einem 2wire 2701HG-T-Modem nicht funktionieren? Ich habe mich schon früher auf die Mac-Filterung verlassen, um Eindringlinge mit anderen Modems zu blockieren, aber bei meiner Mutter zu Hause hat sie ein 2wire 2701HG-T-Modem und es gibt ein paar Leute, die ihr WLAN-Signal stehlen. Sie hat ihr Passwort ein paar Mal geändert, aber die Eindringlinge kommen immer wieder. Anscheinend haben sie eine verdammt gute Software, um die Passwörter herauszufinden.
Um sie aus dem Netzwerk zu blockieren, habe ich eine Mac-Filterung auf dem Modem eingerichtet, aber das funktioniert nicht. Ich habe sogar eines meiner Geräte „blockiert“, aber ich kann eine Verbindung herstellen und habe ein Internetsignal, selbst nachdem ich den Router und das WLAN auf dem Gerät ein- und ausgeschaltet habe.
Mir gefällt nicht, wie die Mac-Filterung in diesem Modem eingerichtet ist. Anstatt einer einzigen Liste zulässiger Geräte gibt es eine Liste zulässiger Geräte und eine Liste blockierter Geräte, aber wenn es tatsächlich funktionieren würde, wäre ich damit einverstanden.
Irgendwelche Ideen, warum das passieren könnte?
Antwort1
Ohne tatsächlich einen 2701 vor mir zu haben (und ich habe Schwierigkeiten, einen Emulator zu finden), kann ich nicht viel darüber sagen, was möglicherweise in der Konfiguration falsch ist. Ich würde vermuten, dass Sie wahrscheinlich etwas in Bezug auf die MAC-Filtereinstellungen falsch angekreuzt haben. Normalerweise führen SOHO-Router die MAC-Filterung entweder im Whitelist-Modus durchoderBlacklist-Modus – es hat wirklich keinen Sinn, die beiden zu kombinieren. Stellen Sie sicher, dass Sie den richtigen Modus für das gewünschte Verhalten Ihres Routers eingestellt haben. Wenn Sie die Whitelist-Option aktivieren, aber nur die Blacklist füllen (oder umgekehrt), hat das keine Auswirkungen. (Tatsächlich sollte es alle Geräte daran hindern, sich zu verbinden, während es andersherum alle zulassen würde. Der Punkt ist, es bringt keinen Sicherheitsvorteil.)
Schwarze Liste: Erlaubenalle Geräte außerdie in der „verbotenen“ Liste aufgeführten. (Einfacher zu verwalten, aber schwieriger, Angreifer zu blockieren.)
Whitelist: ErlaubennurGeräte, die in der Liste „Zulässig“ angegeben sind. (Von beiden ist dies vorzuziehen, da nicht autorisierte Geräte standardmäßig blockiert werden, aber die Verwaltung ist schwieriger, insbesondere wenn Sie häufig Besuchern den Zugriff auf Ihr Netzwerk gestatten.)
In beiden Fällen sollten SienichtVerlassen Sie sich auf die MAC-Filterung als primäre Verteidigung!
Beide MAC-Filtermodi lassen sich recht einfach umgehen, da MAC-Adressen keine permanenten Kennungen sind und immer unverschlüsselt über die Luft übertragen werden. Jeder kann also seine MAC-Adresse beliebig ändern und die MAC-Adressen aller Geräte in Reichweite sehen.
Die Blacklist kann dann leicht umgangen werden, indem der Angreifer seine Adresse einfach in eine Adresse ändert, die Sie noch nicht auf die schwarze Liste gesetzt haben.
Das Erstellen einer Whitelist ist nur geringfügig schwieriger, aber immer noch relativ einfach. Der Angreifer wartet einfach, bis er die MAC-Adressen der Geräte sieht, die aktiv mit Ihrem Access Point kommunizieren, und ändert dann deren MAC entsprechend.
Verhindert die MAC-Filterung einige Drive-By-Angriffe? Sicher. Aber wenn Sie es mit einem entschlossenen Angreifer zu tun haben (und das scheint der Fall zu sein), wird es ihn nicht wirklich aufhalten.
Obwohl Sie es nicht erwähnt haben, ist das „Verstecken der SSID“ oder „Deaktivieren von Beacons“ oder „Deaktivieren der SSID-Übertragung“ eine weitere schwache Sicherheitsmaßnahme, die sich nicht nur nicht lohnt, sondern vermieden werden sollte. Es verhindert lediglich, dass Ihr AP sich selbst bekannt gibt, wenn er inaktiv ist. Die SSID wird jedoch weiterhin unverschlüsselt gesendet, wenn aktiv kommuniziert wird, sodass Angreifer sie trotzdem erfassen und verwenden können. Schlimmer noch ist, dass Ihre Client-Geräte so konfiguriert werden müssen, dass sie den AP auch dann suchen, wenn sie sich nicht in seiner Nähe befinden, da Ihr AP seine Präsenz nicht überträgt. Angreifer können dann die von Ihren Client-Geräten generierten Beacons verwenden, um ihren eigenen gefälschten AP einzurichten und Ihre Clients dazu zu bringen, eine Verbindung herzustellen.
Was dusollenSie sollten sich stattdessen auf ein starkes Verschlüsselungs- und Authentifizierungsprotokoll wie das aktuelle WPA2-PSK (das AES-CCMP verwendet) verlassen. Darüber hinaus sollten Sie sicherstellen, dass Ihr Pre-Shared Key (PSK oder einfach Ihr WLAN-Netzwerkkennwort) ausreichend lang und komplex ist, damit er nicht leicht erraten oder geknackt werden kann. Solange Sie einen einigermaßen starken PSK haben (ich schlage mindestens 15 Zeichen mit 3 verschiedenen Zeichentypen vor – aber WPA2 unterstützt bis zu 63 Zeichen, und ich persönlich verwende sie alle vollständig zufällig), sollte Ihre WLAN-Verschlüsselung/-Authentifizierung in absehbarer Zukunft nicht leicht zu knacken sein. Oh, und machen Sie sich nicht einmal die Mühe mit WEP (furchtbar kaputt) oder WPA-TKIP (auch kaputt, aber immer noch besser als WEP). Wenn Sie WPA2 aus irgendeinem Grund wirklich nicht verwenden können, ist WPA-AES ein anständiger Ersatz, bis Sie einen neuen Router kaufen können.
Es gibt jedoch einen wichtigen Vorbehalt: WPS. Wi-Fi Protected Setup ist dieser schöne, praktische Ein-Knopf-Verbindungsmodus, der heute bei den meisten Access Points verfügbar ist. Das Problem bei WPS ist, dass der PIN-Authentifizierungsmodus eine Schwäche aufweist, die es Angreifern bei vielen, wenn nicht den meisten derzeit verwendeten SOHO-Routern ermöglicht, die PIN leicht zu knacken und sich dann über WPS zu authentifizieren. Sobald WPS jemandem Zugriff gewährt hat, gibt es ihm Ihren PSK, damit sein Gerät sich normal mit dem Netzwerk verbinden kann.Durch Ändern Ihres PSK wird dies nicht gemildert!Ein Angreifer kann WPS einfach erneut knacken (das dauert nicht lange) und den neuen PSK erhalten. Die einzige Möglichkeit, dies abzuschwächen, und die Sie vollständig kontrollieren können, besteht darin, WPS vollständig zu deaktivieren. (Einige neuere Router verfügen über zusätzliche Funktionen zum Verhindern solcher Angriffe, aber dies ist nichts, was Endbenutzer leicht und mit Sicherheit überprüfen können, es sei denn, sie sind bereit, den Exploit selbst zu testen.) Leider haben viele Routerhersteller – insbesondere bei älteren Modellen – dies schwierig oder unmöglich gemacht. Wenn dies bei Ihrem Router der Fall ist, empfehle ich Ihnen dringend, einen neuen zu kaufen oder die Firmware mit einem Drittanbieter-Image wie Tomato, DD-WRT oder OpenWRT zu flashen.
In Summe:
- Verlassen Sie sich nicht mehr auf die MAC-Filterung.Es ist ein nettes Sicherheits-Add-on, kann aber sehr leicht umgangen werden.
- Machen Sie sich nicht einmal die Mühe, Ihre SSID zu verbergen.Jeder kann es weiterhin sehen und die Sicherheit Ihrer Kunden ist weniger gewährleistet, wenn es nicht übertragen wird.
- Verwenden Sie WPA2-PSK mit einem starken PSK. Dassollte Ihre primäre Verteidigung gegen WLAN-Bandbreiten- und Datendiebstahl sein.
- Deaktivieren Sie WPS.Egal, wie gut Ihre Authentifizierung und Verschlüsselung ist, dies ist eine leicht auszunutzende Hintertür.
- Besorgen Sie sich ein neues Gerät oder eine neue Firmware, falls Sie eines benötigen.Wenn Ihr aktueller Router WPA2-PSK nicht unterstützt und/oder WPS nicht deaktiviert werden kann, ist es Zeit für ein Upgrade. Wenn der Router von Ihrem ISP bereitgestellt wird, können Sie jederzeit einen eigenen kaufen und ihn in das Netzwerk hinter dem Router des ISPs einbinden. Stellen Sie dann sicher, dass das WLAN Ihres Routers wie oben beschrieben sicher konfiguriert ist, und deaktivieren Sie das WLAN auf dem ISP-Router.