Wenn ich in meinem Leben eine Sache gelernt habe dann ist es mich möglichst Dumm zu stellen. So hatte ich auch vor einiger Zeit ein recht interessantes Kennenlerngespräch mit einem Systemadministrator. Im Zuge dieses etwas längeren Gespräches, bei dem mein Teil aus möglichst auffälligem Staunen bestand, wurde mir die VMware Infrastruktur und die grundlegende Aufteilung des Netzwerkes erklärt. Soweit lief also alles nach meinen Erwartungen, ich stellte ein paar halbgare Fragen die in den meisten Fällen mit ein wenig Protz und recht wenig Fachwissen beantwortet wurden. Pro Tip: Nichts tut ein Systemadministrator lieber als mit seiner Infrastruktur anzugeben, einfach reden lassen 😉
Im Zuge der anschließenden Securityrunde kam es zu folgender Aussage „Wusstest du das es da auch spezielle Netzwerkkarten gibt bei denen die Hacker ihre MAC-Adresse ändern können!“. Nach der üblichen „Nein“,“Doch“,“Ooooh“ Reaktionskette, die ich in diesem Moment gezwungen war anzustoßen, fing es in meinem Schädel an zu rattern. Mein Gegenüber hatte sich also noch nie mit ernsthaften Angriffen auf Netzwerkinfrastrukturen beschäftigt geschweige denn sie selbst ausprobiert. Da fehlte es also ein wenig an Grundlagen um mit mir wirklich ein ernsthaftes Gespräch über Netzwerkabsicherung zu führen. Auf dieser technischen Basis reichte dann auch die Einrichtung eines Macfilters am Switch um die gefühlte Sicherheit zu erhöhen. Ja, manchmal verkaufe auch ich Schlangenöl. Soweit zu meinen fachlichen Leidensgeschichten, rein privat muss ich mir hier allerdings einmal den Frust von der Seele schreiben in der Hoffnung dem ein oder anderen noch zu einer Erleuchtung zu verhelfen.
Ja, eine MAC-Adresse ist per Definition eindeutig. In der Realität sieht es allerdings etwas anders aus, im realen leben kommt es doch immer mal wieder vor das ein Hersteller auf die geniale Idee kommt Adressblöcke mehrfach zu vergeben, bzw. irgendwelche Billighersteller sich bei ihren Fälschungen auch an den Originalen Adressbereichen bedienen. Die Macadresse kann unter Linux jederzeit mit Boardmitteln, also dem Befehl „ifconfig“, auf einen beliebigen Wert geändert werden. Da ich etwas seltener unter Windows arbeite ist mir dort keine direkte Möglichkeit bekannt, es sollte mich aber sehr wundern wenn es hier nicht ebenso einfach geht.
Ein rein Mac basierender Schutz für Netzwerke ist meist recht lächerlich. Der findige Angreifer sucht sich ein passendes Endgerät (Drucker,Fax,WlanAP,….) wirft einen Blick auf das Typenschild und schon hat er sowohl eine gültige MAC-Adresse als auch das passende Kabel um sein Endgerät anzuschließen. Oder, man verwendet fürs erste ein rein passives mitschneiden des Netzwerkes bis man einen Satz gültiger MAC-Adressen gefunden hat. Der einzige Einsatzzweck einer solchen Filtertechnik ist das ärgern bzw. kontrollieren „normaler“ Benutzer, um an dieser Stelle das Fehlverhalten ein wenig zu reduzieren und zu verhindern das ein Mitarbeiter mit eigenen Gerätschaften arbeitet sofern ihm das nicht explizit erlaubt wurde.
Noch lustiger wird ein solcher Schutz wenn es um Wlan Technik geht. Hier bedeutet ein MAC-Filter, der in vielen Routern als Sicherheitsfeature angepriesen wird, nur das man für eine Verbindung auch nach Clients im Wlan ausschau halten muss. Da jeder Wlanclient seine MAC-Adresse sehr regelmäßig durch die Weltgeschichte schreit wir ein solcher MAC-Filter einen erfahrenen Angreifer im besten Fall 10 Sekunden beschäftigen. (Ja, ich gehe bei den 10 Sekunden davon aus das man erstmal in die Manpage schauen muss um die Parameter zu suchen, auch ich schaffe es in unter 2 wenn ein Client verbunden ist.) Gerade bei WLANs kam mir die Fehlannahme das MAC-Adressen eindeutig sind immer wieder zugute, vor allem in Hotels die 1ne Stunde gratis Wlan pro Gast und Tag anbieten kann das ändern der MAC-Adresse oft wunder bewirken 😉 (Löschen von eventuell vorhandenen Browsercookies hier nicht vergessen.)
Wir halten also für die Zukunft einmal fest das MAC-Adressen eines der am wenigsten eindeutigen Merkmale eines Netzwerkgerätes sind und man sich keinesfalls darauf verlassen kann das jemand mit entsprechendem Know-How dadurch von irgendetwas abgehalten wird. Das Einschalten eines solchen Features kann zur Nutzererziehung trotzdem einen gewissen Sinn machen. Man verhindert zumindest effektiv private Laptops,Handys,usw. die ohne böse Absicht in das Firmennetz eingebracht werden.