Derzeit ermöglicht Ihnen MikroTik die Verwendung der Firewall-Option in der Bridge. Dadurch können Sie Layer-2-Protokollverbindungen verwalten.
Es ist möglich, eine MAC-Filterung auf MikroTik-Geräten durchzuführen. Die MAC-Adressfilterung (Media Access Control) ist eine Netzwerksicherheitstechnik, die es Netzwerkadministratoren ermöglicht, anhand ihrer eindeutigen MAC-Adresse festzulegen, welchen Geräten der Zugriff auf das Netzwerk gestattet (oder verweigert) wird.
Im Kontext von MikroTik RouterOS, dem Betriebssystem, das auf MikroTik-Geräten läuft, gibt es je nach Verwendungskontext (z. B. in Wi-Fi-Netzwerken, Ethernet-Zugängen usw.) mehrere Möglichkeiten, MAC-Filterung zu implementieren.
Für drahtlose Netzwerke:
- Zugriff auf die drahtlose Schnittstelle: Sie können die MAC-Filterung direkt auf der drahtlosen Schnittstelle konfigurieren, um den Zugriff auf ein Wi-Fi-Netzwerk zu steuern. Dies geschieht durch die Erstellung einer „Zugriffsliste“ oder einer „MAC-Adressliste“, in der Sie die erlaubten oder gesperrten MAC-Adressen angeben.
- Verwenden von Bridge-Filtern: Wenn Geräte über eine Bridge verbunden sind, können Sie Bridge-Filter verwenden, um Datenverkehr basierend auf MAC-Adressen zuzulassen oder abzulehnen.
Für Ethernet-Netzwerke:
- Verwendung der Switch-Chip-Funktionen: Bei MikroTik-Geräten, die einen Switch-Chip verwenden, können Sie die Funktionen des Switch-Chips nutzen, um MAC-Filterung auf bestimmten Ethernet-Ports zu implementieren.
- Filterung in der Firewall: Sie können in der RouterOS-Firewall auch Regeln konfigurieren, um den Datenverkehr basierend auf MAC-Adressen zu filtern, was sowohl für drahtlose als auch für Ethernet-Schnittstellen gelten kann.
So konfigurieren Sie die MAC-Filterung in einem Wi-Fi-Netzwerk (einfaches Beispiel):
Um eine MAC-Adresse zur Zugriffsliste hinzuzufügen und ihr die Verbindung zu ermöglichen, können Sie die folgenden Befehle im RouterOS-Terminal verwenden:
/interface wireless access-list add mac-address=XX:XX:XX:XX:XX:XX interface=all allow-signal-out-of-range=10s
Wo XX:XX:XX:XX:XX:XX
ist die MAC-Adresse, die Sie zulassen möchten. Die Option allow-signal-out-of-range=10s
Dies ist nützlich für Geräte, die möglicherweise nicht immer in Reichweite sind, die Sie aber nicht dauerhaft blockieren möchten.
Um den Zugriff auf eine bestimmte MAC-Adresse zu verweigern, konfigurieren Sie einfach den entsprechenden Eintrag in der Zugriffsliste, ohne ihn jedoch einer Zulassungsliste hinzuzufügen oder die Verweigerung explizit anzugeben.
Es ist wichtig zu beachten, dass MAC-Filterung eine ergänzende Sicherheitsmethode sein kann, aber nicht die einzige verwendete Sicherheitsmethode sein sollte, da MAC-Adressen von einem Angreifer mit den richtigen Kenntnissen und Tools gefälscht werden können.
Die Kombination von MAC-Filterung mit anderen Sicherheitsmaßnahmen, wie z. B. WPA2/WPA3-Verschlüsselung für Wi-Fi-Netzwerke, kann eine zusätzliche Sicherheitsebene bieten.
Es gibt keine Tags für diesen Beitrag.