572 Aufrufe
Gefragt in W-LAN von schumi99 Einsteiger_in (66 Punkte)
ich und mein Nachbar haben schon 3-mal fremde MAC Adressen in der Geräteliste unserer Internet Box gehabt, ohne sichtbare IP Adresse allerdings. Unsere PC sind massiv gehackt worden, der Fall ist bei der Polizei, Abt. Forensik gemeldet und hängig. Natürlich haben wir WLAN Pwd geändert. So weit sind wir schon noch! Nun habe ich aber schon wieder so einen Fall, und bin alarmiert. Wie ist das möglich? Der Angriff erfolgt offenbar via WLAN, somit in Funkreichweite. Ich möchte nun mein Heimnetz zunageln, und habe mir Lösungen ausgedacht. Die erste, einfachste sieht so aus, ich hoffe, dass ich von euch Hilfe und Feedback bekomme:
1. ich fixiere die Kombination IP Adresse - MAC Adresse mit arp -s. Laut help sollte dies eine fixe Zuordnung ergeben.
2. ich übernehme diese Kombinationen aller meiner Geräte aus der Geräteliste meiner Internetbox 2. Dort hats ohnehin schon 5 Geräte mit fixer Adresse.
3. ich schalte in meiner Internetbox die DHCP Funktion aus.
Falls es nun mein "Nachbar" wieder schafft eine MAC Adresse in meiner IB zu platzieren (wie der das schafft ist mir schleierhaft), dann bleibt er dort hängen. Er bekommt keine IP Adresse, und sofern er das Passwort von meinem Router nicht weiss, kann er die DHCP Funktion auch nicht wieder einschalten. Somit kann er nach meinem Wissen nichts mehr veranstalten. Ist das richtig, was meint ihr?
Weitere Lösungen wären z.B. Synology Router mit Intrusion Detection/Prevention. Prevention kostet aber offenbar sehr viel Leistung auf dem Netz, und somit etwas fragwürdig.
Layer-3 Switch scheint eine Alternative, u.a. durch die Möglichkeit erlaubte MAC Adressen zu spezifizieren. MAC Spoofing könnte das aber unwirksam machen, oder?
*****, allenfalls Wireshark Analysen sind unglaublich aufwendig, wegen der Datenmengen die man durchforsten muss.
Professionelle Lösungen wie etwa AirCHECK G2 kosten halt ab Fr. 1'450.-
Für gute Ideen und Lösungen spende ich gerne eine virtuelle Tonne Bier! Danke zum Voraus!

5 Antworten

0 Punkte
Beantwortet von
mach doch einfach in deinem ersten Thread zum gleichen Thema weiter
[url]https://supportnet.de/t/2507864[/url]
0 Punkte
Beantwortet von computerschrat Profi (32.2k Punkte)
Hallo schumi99,

wo hast du denn diese MAC-Adresse ohne IP-Adresse in deinem Netz gefunden?

Das Abschalten des DHCP-Servers bringt keinen wirklichen Schutz. Wenn jemand die Netzwerkadresse kennt, z.B.. die 192.168.178., und wenn es ihm tatsächlich gelungen sein sollte, den W-LAN Schlüssel geknackt zu haben, dann gibt er seinem PC eine feste IP-Adresse im Bereich des bekannten Netzwerks. Schlimmstenfalls ist diese Adresse dann im Netzwerk belegt, dann gibt es einen Adresskonflikt. Ansonsten kommt er ins Netz rein.

Für das W-Lan kannst du nicht viel mehr machen, als einen guten, nicht zu erratenden W-LAN Schlüssel. Um es einem Angreifer ein wenig schwerer zu machen, kannst du noch die Ausstrahlung der SSID abschalten und die MAC-Filterung einschalten. Viel zusätzliche Sicherheit bringt das nicht, aber es macht es ein wenig schwieriger.

Wenn deine PCs gehackt sind, dann war der Zugangsweg wahrscheinlich eher über Daten, die auf dem Weg über Mails, Phishing oder verseuchte Webseiten.

Gruß
computerschrat
0 Punkte
Beantwortet von schumi99 Einsteiger_in (66 Punkte)
ok, danke, dann funktioniert meine Idee also nicht.

Die Internetbox 2 von Swisscom weist unter Netzwerk eine Geräteliste aus, in der man jede MAC-Adresse, mit Datum/Zeit des ersten Einloggens sieht. Eine IP Adresse bekommt diese MAC wahrscheinlich dann, wenn sie aufs Internet oder eine interne Verbindung machen will. Da unser Hackerfreund das Eventlog gelöscht hat, wissen wir nicht genau was er alles gemacht hat, nur so viel, MBR gepatcht, Windows Services abgeändert, Eventlog gelöscht. So viel konnten wir noch feststellen.

Unsere WLAN Keys sind kompliziert, mit Brute force kaum zu knacken. Es gibt aber mehrere Indizien, dass die WPA2 Sequenzen irgendwie abgegriffen werden und interpretiert werden können. Wenn ich mir die Liste mit Angriffstechniken auf 802.11 ... so anschaue, dann erscheint mir das nicht so unmöglich.

Der weg über Mail lässt sich einigermassen zurückverfolgen, das schliessen wir aus. Der Weg über eine infizierte Webpage - ok - dann müsste unser Virenschutz und die Firewall versagt haben. . Praktisch alle meine Verbindungen zu Webpages gehen über https, ebenso zu Mailservern. Aber ja - nichts ist unmöglich.

Dann muss ich also den Weg über mgd. Switches oder IDS/IPS Router gehen. Es sei denn es käme noch ein anderer Vorschlag daher. Aber danke erstmals, für die rasche Antwort.
0 Punkte
Beantwortet von schumi99 Einsteiger_in (66 Punkte)
@paranoia: hallo, daran habe ich gar nicht gedacht, weil ich dort den Fall als abgeschlossen markiert habe, resp. erklärt habe dass ich weiterhin auf dem Kriegspfad bin.  Wie auch immer, computerschrat hat sich auch hier wieder gemeldet. Danke
0 Punkte
Beantwortet von halfstone Profi (18.1k Punkte)
Hi schumi99,

mach bitte in deinem alten Thread weiter, das gibt sonst nur ein heilloses Durcheinander.

[url]https://supportnet.de/t/2507864[/url]

Ich werde diesen hier mal schließen.

Gruß Fabian
...