• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

WLAN Karten -> MAC

W

wydlerda

Newbie
Hallo zusammen,

wir haben grad neue Notebooks bestellt. Und haben heute festgestellt, dass man die MAC - Adressen auf den WLAN Karten ändern kann.

Dies stellt natürlich ein riesen Problem dar (Sicherheitsmäßig)!!
Die IP und auch die anderen Daten werden von einem DHCP-Server über die MAC-Adressen vergeben.

So, nun könnte ein beliebiger User dem Notebook eine x-beliebige MAC, eine feste IP und was noch dazu gehört geben und somit das Netzwerk angreifen ohne das wir feststellen könnten wer es war und von wo der Angriff kam. Gut viel könnte der nicht zu Gesicht bekommen ohne Authentifizierung, aber ein bisschen ist schon zu viel. Mit dieser Meinung bin ich nicht allein. Meine 2 Partner sagen das auch.

Könnte man das nicht unter WindowsXP Professional (Firmenversion) abstellen bzw. deaktivieren???
Da gibst bestimmt eine Art Schutzmechanismus?!

Bin dankbar für jede Antwort. :!:
 
D

Der_Pit

Newbie
wydlerda schrieb:
Hallo zusammen,

wir haben grad neue Notebooks bestellt. Und haben heute festgestellt, dass man die MAC - Adressen auf den WLAN Karten ändern kann.
Zum Vergrößern anklicken....
Nicht nur auf WLAN Karten....

Dies stellt natürlich ein riesen Problem dar (Sicherheitsmäßig)!!
Die IP und auch die anderen Daten werden von einem DHCP-Server über die MAC-Adressen vergeben.
Zum Vergrößern anklicken....
Manche verwenden auch MAC-Listen um den Zugang zum Access-Point zu beschränken - Du hast gerade rausgefunden warum das nur bedingt sicher ist.

Nee, sobald er an den Access-Point rankommt kann er solche Spielchen spielen, der erste Schritt ist also den dicht zu bekommen -> SSID-Broadcast abstellen, WPA verwenden usw...

Könnte man das nicht unter WindowsXP Professional (Firmenversion) abstellen bzw. deaktivieren???
Da gibst bestimmt eine Art Schutzmechanismus?!
Zum Vergrößern anklicken....
Was willst Du abstellen? Die MAC-basierte IP-Nr-Vergabe? Und selbst wenn Du das schaffen würdest - was hindert einen Nutzer daran manuell eine neue IP-Adresse einzutragen?

Pit
 
OP
W

wydlerda

Newbie
WPA habe ich schon aktiviert. Des war gleich meine erste Handlung.
Habe auch überall den Schlüssel eingertragen. Des mit Broadcast ist ne gute Idee..... :wink:

Ich meine eher, ob es eine Möglichkeit gibt, die Rechte oder Optionen so zu setzten, dass nur noch der Admin an die MAC- Adresse der Karte ran kommt.

Das ein normaler User nicht an die NIC - Konfiguartion kommt ist klar, aber die Einstellung der Karte selber wird nicht gesperrt. Das Problem ist, der User ist nicht völlig eingeschränkt, da sonst viele Dienste nicht mehr starten!!!

Kapierst was ich meine??
 
Fytzi

Fytzi

Hacker
Unter Linux kann man die Mac ganz leicht ändern, unter Windows ist es schon viel schwieriger. Es gibt manche WLan Karten bei denen man die MAC unter Windows nicht ändern kann (gilt genauso für Lan-Karten), halt einfach nach so einer Karte ausschau halten oder vielleicht kann dir hier im Forum einen Tipp geben, der so eine Karte hat.
 
OP
W

wydlerda

Newbie
Des haben wir vorher nicht gewusst. Also ein Auszubildener hat die MAC-Adresse unter WindowsXP in 5 Miunten geändert gehabt.

Des hat mich dann scho stuzig gemacht. Vor allem des werden noch mehr können!! oder?? :)
 
Fytzi

Fytzi

Hacker
Ja es geht leicht, aber bei manchen Karten funktioniert die Methode nur unter Linux und nicht unter Windows. Bei diesen Karten kann man die MAC unter Windows nicht ändern.
 
OP
W

wydlerda

Newbie
Leider geht es unter Windows auch. Blöd ist die Karten kann man nicht so richtig austauschen!! Da diese intern eingebaut sind.
 
D

Der_Pit

Newbie
wydlerda schrieb:
Ich meine eher, ob es eine Möglichkeit gibt, die Rechte oder Optionen so zu setzten, dass nur noch der Admin an die MAC- Adresse der Karte ran kommt.
Zum Vergrößern anklicken....

Das bringt Dir nicht wirklich viel. Wenn jemand in das Netz einbrechen will bringt er 'nen eigenen Schleppi mit, auf dem ist er Admin/root und kann machen was er will.

Die Frage ist wirklich vor wem willst Du Dich schützen? Anscheinend vor normalen Nutzern, die den WPA-Key kennen. Denn andere kommen nicht in's Netz rein, MAC Adresse hin oder her. Wer den Key hat kann auch manuell jede beliebige IP-Adresse einstellen. Wenn es privilegierte IP-Adressen in eurem Netz gibt dann müsst ihr die über andere Methoden absichern, mir VPN, IPsec und Host-Keys oder sowas.

Pit
 
OP
W

wydlerda

Newbie
Wir haben den IP-Bereich bis auf 18 IP's abgegrenzen. Des sind leidert 18 zu viel. Und rausbekommen welche IP-Adressen frei sind ist net großartig schwer.
Des heißt wir habn soviel Adressen freigegeben, dass sicher jeder PC eine hat. Wenn er nun ne andere nimmt, könnte er somit einen anderen PC die IP wegnehmen! Des wird ja normalerweiße vom DHCP Server nicht registriert. Ich hab mal bei unseren Tests nichts in den Logs gefunden. Oder könnte man das so einstellen??

Vom Internet her ist kein Zugriff möglich mal auf unser Teilnetze nicht!! Des wurde mir von der zentralen Rechnenzentrum versichert!!

Könnte man nicht irgendwie den WPA Key verschlüsselt irgendwo reinschreiben, wo kein normaler User Zugang hat??
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben