14
WPA2 doch nicht so sicher?
Hallo zusammen,
vor ein paar Tagen ist mir durch Zufall aufgefallen, dass obwohl alle Rechner ganz sicher ausgeschaltet waren, immer wieder längere Broadcasts ins Netz geschickt wurden - also so etwa 4-5 Sekunden lang war da ordentlich was los am Router.
Neugierig wie ich bin, habe ich mich dann über Kabel mit dem Router verbunden und mit Ethereal mal ein wenig reingehorcht.
Das war dann etwas, was dort während des Broadcasts so um die 50 Mal geschickt wurde (MAC zensiert):
IntelCor_65:b3:?? Broadcast XID Basic Format; Type 1 LLC (Class I LLC); Window Size 0
Ich bin mir ziemlich sicher, dass diese MAC-Adresse nicht zu meinem Netz gehört, das habe ich sofort geprüft, bleibt also noch das WLAN.
Dieses ist jedoch mit einem 63 Zeichen starken Schlüssel mit Groß- Kleinschreibung und Zahlen verschlüsselt, Verschlüsselungsverfahren ist/war diese Mischung aus WPA+WPA2, ergo AES+TKIP.
Ist das einfach eine ungünstige Konstellation, die evtl. anfällig für Angriffe ist? Hatte in den Tagen vorher ziemlich guten WLAN-Traffic, wenn da also jemand was gesnifft haben sollte, hatte er definitiv genug Pakete (Skype-Gespräche über WLAN).
Habe den Schlüssel sofort abgeändert und das Verschlüsselungsverfahren auf reines WPA mit TKIP umgestellt.
Was würdet ihr empfehlen?
Danke schonmal
vor ein paar Tagen ist mir durch Zufall aufgefallen, dass obwohl alle Rechner ganz sicher ausgeschaltet waren, immer wieder längere Broadcasts ins Netz geschickt wurden - also so etwa 4-5 Sekunden lang war da ordentlich was los am Router.
Neugierig wie ich bin, habe ich mich dann über Kabel mit dem Router verbunden und mit Ethereal mal ein wenig reingehorcht.
Das war dann etwas, was dort während des Broadcasts so um die 50 Mal geschickt wurde (MAC zensiert):
IntelCor_65:b3:?? Broadcast XID Basic Format; Type 1 LLC (Class I LLC); Window Size 0
Ich bin mir ziemlich sicher, dass diese MAC-Adresse nicht zu meinem Netz gehört, das habe ich sofort geprüft, bleibt also noch das WLAN.
Dieses ist jedoch mit einem 63 Zeichen starken Schlüssel mit Groß- Kleinschreibung und Zahlen verschlüsselt, Verschlüsselungsverfahren ist/war diese Mischung aus WPA+WPA2, ergo AES+TKIP.
Ist das einfach eine ungünstige Konstellation, die evtl. anfällig für Angriffe ist? Hatte in den Tagen vorher ziemlich guten WLAN-Traffic, wenn da also jemand was gesnifft haben sollte, hatte er definitiv genug Pakete (Skype-Gespräche über WLAN).
Habe den Schlüssel sofort abgeändert und das Verschlüsselungsverfahren auf reines WPA mit TKIP umgestellt.
Was würdet ihr empfehlen?
Danke schonmal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 81695
Url: https://administrator.de/contentid/81695
Printed on: April 25, 2024 at 10:04 o'clock
14 Comments
Latest comment
Mal die Clients überprüft? WPA2, was will man denn noch mehr.
Meinst du wegen Trojanern?
Auf den Clients, die ins WLAN kommen, habe ich Kaspersky Antivirus drauf - und es war zu dem Zeitpunkt ganz sicher kein Client angemeldet, weil ich alleine zu Hause war und selbst gerade ins Bett wollte
Auf den Clients, die ins WLAN kommen, habe ich Kaspersky Antivirus drauf - und es war zu dem Zeitpunkt ganz sicher kein Client angemeldet, weil ich alleine zu Hause war und selbst gerade ins Bett wollte
Derzeit sind weltweit keine Angriffe auf WPA2 bekannt.
Kann also nur sein das du dein Passwort verraten hast
Was sind das denn für Packete ?? Bzw. wer sendet die ???
Da dein WLAN nur als Bridge zum Kabel LAN arbeitet müssen zwangsläufig diese Packete auch auf dem Kabel auftauchen, denn Broadcasts müssen geforwardet werden.
Zur Not ziehst du sukzessive alles der Reihe mal ab bis auf den Sniffer. Laut Mac Vendor Code ist es irgendwas mit Intel Hardware.
Vermutlich hast du dort einen Dienst der sich selber announced oder sowas (NAS Speicher, Media Streamer, etc. etc....) Ggf. der Router selber wenn er LLDP.
Mit an Sicherheit grenzender Wahrscheinlichkeit wird das ein UPnP Dienst sein den du irgendwo abschalten musst. Nicht aber ein Einbruch in dein WLAN....es sei denn jemand kennt noch dein PW.
Kann also nur sein das du dein Passwort verraten hast
Was sind das denn für Packete ?? Bzw. wer sendet die ???
Da dein WLAN nur als Bridge zum Kabel LAN arbeitet müssen zwangsläufig diese Packete auch auf dem Kabel auftauchen, denn Broadcasts müssen geforwardet werden.
Zur Not ziehst du sukzessive alles der Reihe mal ab bis auf den Sniffer. Laut Mac Vendor Code ist es irgendwas mit Intel Hardware.
Vermutlich hast du dort einen Dienst der sich selber announced oder sowas (NAS Speicher, Media Streamer, etc. etc....) Ggf. der Router selber wenn er LLDP.
Mit an Sicherheit grenzender Wahrscheinlichkeit wird das ein UPnP Dienst sein den du irgendwo abschalten musst. Nicht aber ein Einbruch in dein WLAN....es sei denn jemand kennt noch dein PW.
Ich würde eher vermuten, dass jemand, der schonmal im Netz war, das Passwort erraten oder mit Keylogger abgefangen hat.
Normalerweise sage ich das nicht, ich gebe das selbst ein oder reiche ein Kabel, wenn jemand ins Netz will. (Allerdings kann ich mir niemanden vorstellen, der Nachts um halb zwei da reinwill...)
Bei mir habe ich 3 Rechner und 1 Notebook im Netz - und alles ist AMD-Hardware, daher kann ich auf jeden Fall sagen, dass es von den bekannten Clients keiner gewesen sein kann
Und das war auch der Grund, warum ich mich noch mehr über die Broadcasts gewundert habe.
Die Pakete habe ich übrigens per Kabel abgefangen, aber ich gehe davon aus, dass sie übers WLAN kamen, denn man hat deutlich eine geringe Verzögerung zwischen WLAN-Aktivität und der LAN-Aktivität gesehen (muss aber nichts heißen).
Nachdem ich das Passwort geändert habe, sind diese merkwürdigen Broadcasts auch nicht mehr aufgetaucht, habe sogar extra meinen Laptop an einigen Tagen und Nächten einfach mal sniffen lassen.
Aber außer dem eben genannten repräsentativen Paket (welches insgesamt gut 200 Mal ins Netz geschossen wurde) ist nichts gekommen - und außer der MAC-Adresse habe ich dazu keine weiteren Informationen.
Die Capture-Datei habe ich allerdings noch auf der Festplatte, wenn Interesse besteht, kann ich die mal hochladen.
Normalerweise sage ich das nicht, ich gebe das selbst ein oder reiche ein Kabel, wenn jemand ins Netz will. (Allerdings kann ich mir niemanden vorstellen, der Nachts um halb zwei da reinwill...)
Bei mir habe ich 3 Rechner und 1 Notebook im Netz - und alles ist AMD-Hardware, daher kann ich auf jeden Fall sagen, dass es von den bekannten Clients keiner gewesen sein kann
Und das war auch der Grund, warum ich mich noch mehr über die Broadcasts gewundert habe.
Die Pakete habe ich übrigens per Kabel abgefangen, aber ich gehe davon aus, dass sie übers WLAN kamen, denn man hat deutlich eine geringe Verzögerung zwischen WLAN-Aktivität und der LAN-Aktivität gesehen (muss aber nichts heißen).
Nachdem ich das Passwort geändert habe, sind diese merkwürdigen Broadcasts auch nicht mehr aufgetaucht, habe sogar extra meinen Laptop an einigen Tagen und Nächten einfach mal sniffen lassen.
Aber außer dem eben genannten repräsentativen Paket (welches insgesamt gut 200 Mal ins Netz geschossen wurde) ist nichts gekommen - und außer der MAC-Adresse habe ich dazu keine weiteren Informationen.
Die Capture-Datei habe ich allerdings noch auf der Festplatte, wenn Interesse besteht, kann ich die mal hochladen.
Bei mir habe ich 3 Rechner und 1 Notebook im
Netz - und alles ist AMD-Hardware, daher kann
ich auf jeden Fall sagen, dass es von den
bekannten Clients keiner gewesen sein kann
Netz - und alles ist AMD-Hardware, daher kann
ich auf jeden Fall sagen, dass es von den
bekannten Clients keiner gewesen sein kann
Können AMD Prozessoren keine Broadcats versenden?
Die Pakete habe ich übrigens per Kabel
abgefangen, aber ich gehe davon aus, dass sie
übers WLAN kamen, denn man hat deutlich
eine geringe Verzögerung zwischen
WLAN-Aktivität und der
LAN-Aktivität gesehen.
abgefangen, aber ich gehe davon aus, dass sie
übers WLAN kamen, denn man hat deutlich
eine geringe Verzögerung zwischen
WLAN-Aktivität und der
LAN-Aktivität gesehen.
Wie bemerkt man eine Verzögerung der Aktivität?
Ist das nur über das Mac Vendor Code Programm zu erfahren und wenn ja wie?
Aber außer dem eben genannten
repräsentativen Paket (welches insgesamt
gut 200 Mal ins Netz geschossen wurde) ist
nichts gekommen - und außer der
MAC-Adresse habe ich dazu keine weiteren
Informationen.
repräsentativen Paket (welches insgesamt
gut 200 Mal ins Netz geschossen wurde) ist
nichts gekommen - und außer der
MAC-Adresse habe ich dazu keine weiteren
Informationen.
Was sind das für Pakete, die ins Netz geschossen wurden?
Könnten so auch Telefongespräche gestartet werden, wenn das Telefon am Router hängt?
Die Capture-Datei habe ich allerdings noch
auf der Festplatte, wenn Interesse besteht,
kann ich die mal hochladen.
auf der Festplatte, wenn Interesse besteht,
kann ich die mal hochladen.
Ich hätte die mir gerne mal angesehen.
Kabel!
Auch wenn irgend eine Funkverschlüsselung momentan als sicher eingestuft wird ändert sich soetwas leider immer wieder sehr schnell.
Auch wenn irgend eine Funkverschlüsselung momentan als sicher eingestuft wird ändert sich soetwas leider immer wieder sehr schnell.
Habe die Capture-Datei mal hochgeladen:
http://files.it-assistent.de/user/1/broadcast.zip
(Die ersten vier Pakete sind von mir bzw. dem Router)
@firebird3000:
Aber selbstverständlich können auch AMD-Prozessoren Broadcasts verschicken.
Die Broadcasts wurden allerdings von einem Intel-Netzwerkcontroller abgeschickt - ich möchte jetzt einfach mal bezweifeln, dass es viele Mainboards gibt, wo sowohl AMD-Prozessor als auch Intel-NIC gleichzeitig vorhanden sind - darauf wollte ich hinaus
Die Verzögerung habe ich ganz einfach über die Indikatoren des Routers festgestellt.
Bei genauem Hinsehen bemerkt man, dass beim Transport von Paketen zwischen LAN und WLAN eine kleine Verzögerung ist. Wenn ich zum Beispiel über WLAN einen Rechner am normalen LAN-Port anpinge, sieht man ganz Eindrucksvoll diese kleine Verzögerung.
Deine Frage mit dem Telefon verstehe ich nicht ganz, es handelt sich dabei um einen handelsüblichen Breitbandrouter mit 4-Port-Switch und einem WLAN-AP, nichts mit VoIP oder so.
http://files.it-assistent.de/user/1/broadcast.zip
(Die ersten vier Pakete sind von mir bzw. dem Router)
@firebird3000:
Aber selbstverständlich können auch AMD-Prozessoren Broadcasts verschicken.
Die Broadcasts wurden allerdings von einem Intel-Netzwerkcontroller abgeschickt - ich möchte jetzt einfach mal bezweifeln, dass es viele Mainboards gibt, wo sowohl AMD-Prozessor als auch Intel-NIC gleichzeitig vorhanden sind - darauf wollte ich hinaus
Die Verzögerung habe ich ganz einfach über die Indikatoren des Routers festgestellt.
Bei genauem Hinsehen bemerkt man, dass beim Transport von Paketen zwischen LAN und WLAN eine kleine Verzögerung ist. Wenn ich zum Beispiel über WLAN einen Rechner am normalen LAN-Port anpinge, sieht man ganz Eindrucksvoll diese kleine Verzögerung.
Deine Frage mit dem Telefon verstehe ich nicht ganz, es handelt sich dabei um einen handelsüblichen Breitbandrouter mit 4-Port-Switch und einem WLAN-AP, nichts mit VoIP oder so.
Deine Frage mit dem Telefon verstehe ich
nicht ganz, es handelt sich dabei um einen
handelsüblichen Breitbandrouter mit
4-Port-Switch und einem WLAN-AP, nichts mit
VoIP oder so.
nicht ganz, es handelt sich dabei um einen
handelsüblichen Breitbandrouter mit
4-Port-Switch und einem WLAN-AP, nichts mit
VoIP oder so.
Kann derjenige, der sich mit dem Router verbindet, Telefongespräche aufbauen? Bisher ist kein VoIP eingerichtet. Kann er über Dialer oder sonstwie denn Telefongespräche für wenige Sekunden anfangen, dann beenden und dann wieder ein selbes neues Telefongespräch starten und wieder beenden usw.?
Kann derjenige, der sich mit dem Router
verbindet, Telefongespräche aufbauen?
Bisher ist kein VoIP eingerichtet. Kann er
über Dialer oder sonstwie denn
Telefongespräche für wenige
Sekunden anfangen, dann beenden und dann
wieder ein selbes neues Telefongespräch
starten und wieder beenden usw.?
Wie sollte er? Es ist keine Fritzbox oder ähnliches, wo DSL-Router und Telefonanlage etc... zusammen in einem Gerät vereint sind - es ist ein ganz normaler Router, der ist garnicht mit der Telefondose verbunden, weil es einfach nicht geht.verbindet, Telefongespräche aufbauen?
Bisher ist kein VoIP eingerichtet. Kann er
über Dialer oder sonstwie denn
Telefongespräche für wenige
Sekunden anfangen, dann beenden und dann
wieder ein selbes neues Telefongespräch
starten und wieder beenden usw.?
Es handelt sich um einen Belkin Wireless 54g-Router - nur Internet, kein Telefon
Wie kann ein Einbrecher denn eine MAC-Filterung umgehen und dann diese Rufnummerverbindungen aufbauen?
Wie kann ein Einbrecher denn eine MAC-Filterung umgehen und dann diese Rufnummerverbindungen aufbauen?
Indem er die Mac Adresse mitsniffert und sich selbst vergibt. Mac Adressen sind konfigurierbar...
Macht der das mit demselben Programm mit dem er auch die Verschlüsselung aussnifft?
