Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WPA2 doch nicht so sicher?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: LordGurke

LordGurke (Level 2) - Jetzt verbinden

26.02.2008, aktualisiert 29.02.2008, 9115 Aufrufe, 14 Kommentare

Hallo zusammen,

vor ein paar Tagen ist mir durch Zufall aufgefallen, dass obwohl alle Rechner ganz sicher ausgeschaltet waren, immer wieder längere Broadcasts ins Netz geschickt wurden - also so etwa 4-5 Sekunden lang war da ordentlich was los am Router.
Neugierig wie ich bin, habe ich mich dann über Kabel mit dem Router verbunden und mit Ethereal mal ein wenig reingehorcht.
Das war dann etwas, was dort während des Broadcasts so um die 50 Mal geschickt wurde (MAC zensiert):

IntelCor_65:b3:?? Broadcast XID Basic Format; Type 1 LLC (Class I LLC); Window Size 0

Ich bin mir ziemlich sicher, dass diese MAC-Adresse nicht zu meinem Netz gehört, das habe ich sofort geprüft, bleibt also noch das WLAN.
Dieses ist jedoch mit einem 63 Zeichen starken Schlüssel mit Groß- Kleinschreibung und Zahlen verschlüsselt, Verschlüsselungsverfahren ist/war diese Mischung aus WPA+WPA2, ergo AES+TKIP.
Ist das einfach eine ungünstige Konstellation, die evtl. anfällig für Angriffe ist? Hatte in den Tagen vorher ziemlich guten WLAN-Traffic, wenn da also jemand was gesnifft haben sollte, hatte er definitiv genug Pakete (Skype-Gespräche über WLAN).
Habe den Schlüssel sofort abgeändert und das Verschlüsselungsverfahren auf reines WPA mit TKIP umgestellt.
Was würdet ihr empfehlen?


Danke schonmal
Mitglied: thekingofqueens
26.02.2008 um 15:19 Uhr
Mal die Clients überprüft? WPA2, was will man denn noch mehr.
Bitte warten ..
Mitglied: kaffeezombie
26.02.2008 um 15:28 Uhr
WPA2 aufmachen - ist doch schon ein wenig anstrengend

http://de.wikipedia.org/wiki/Wpa2
Bitte warten ..
Mitglied: LordGurke
26.02.2008 um 15:37 Uhr
Meinst du wegen Trojanern?
Auf den Clients, die ins WLAN kommen, habe ich Kaspersky Antivirus drauf - und es war zu dem Zeitpunkt ganz sicher kein Client angemeldet, weil ich alleine zu Hause war und selbst gerade ins Bett wollte
Bitte warten ..
Mitglied: aqui
26.02.2008 um 15:41 Uhr
Derzeit sind weltweit keine Angriffe auf WPA2 bekannt.
Kann also nur sein das du dein Passwort verraten hast

Was sind das denn für Packete ?? Bzw. wer sendet die ???
Da dein WLAN nur als Bridge zum Kabel LAN arbeitet müssen zwangsläufig diese Packete auch auf dem Kabel auftauchen, denn Broadcasts müssen geforwardet werden.
Zur Not ziehst du sukzessive alles der Reihe mal ab bis auf den Sniffer. Laut Mac Vendor Code ist es irgendwas mit Intel Hardware.

Vermutlich hast du dort einen Dienst der sich selber announced oder sowas (NAS Speicher, Media Streamer, etc. etc....) Ggf. der Router selber wenn er LLDP.
Mit an Sicherheit grenzender Wahrscheinlichkeit wird das ein UPnP Dienst sein den du irgendwo abschalten musst. Nicht aber ein Einbruch in dein WLAN....es sei denn jemand kennt noch dein PW.
Bitte warten ..
Mitglied: LordGurke
26.02.2008 um 17:29 Uhr
Ich würde eher vermuten, dass jemand, der schonmal im Netz war, das Passwort erraten oder mit Keylogger abgefangen hat.
Normalerweise sage ich das nicht, ich gebe das selbst ein oder reiche ein Kabel, wenn jemand ins Netz will. (Allerdings kann ich mir niemanden vorstellen, der Nachts um halb zwei da reinwill...)
Bei mir habe ich 3 Rechner und 1 Notebook im Netz - und alles ist AMD-Hardware, daher kann ich auf jeden Fall sagen, dass es von den bekannten Clients keiner gewesen sein kann
Und das war auch der Grund, warum ich mich noch mehr über die Broadcasts gewundert habe.

Die Pakete habe ich übrigens per Kabel abgefangen, aber ich gehe davon aus, dass sie übers WLAN kamen, denn man hat deutlich eine geringe Verzögerung zwischen WLAN-Aktivität und der LAN-Aktivität gesehen (muss aber nichts heißen).
Nachdem ich das Passwort geändert habe, sind diese merkwürdigen Broadcasts auch nicht mehr aufgetaucht, habe sogar extra meinen Laptop an einigen Tagen und Nächten einfach mal sniffen lassen.
Aber außer dem eben genannten repräsentativen Paket (welches insgesamt gut 200 Mal ins Netz geschossen wurde) ist nichts gekommen - und außer der MAC-Adresse habe ich dazu keine weiteren Informationen.
Die Capture-Datei habe ich allerdings noch auf der Festplatte, wenn Interesse besteht, kann ich die mal hochladen.
Bitte warten ..
Mitglied: firebird3000
26.02.2008 um 18:14 Uhr
Bei mir habe ich 3 Rechner und 1 Notebook im
Netz - und alles ist AMD-Hardware, daher kann
ich auf jeden Fall sagen, dass es von den
bekannten Clients keiner gewesen sein kann


Können AMD Prozessoren keine Broadcats versenden?


Die Pakete habe ich übrigens per Kabel
abgefangen, aber ich gehe davon aus, dass sie
übers WLAN kamen, denn man hat deutlich
eine geringe Verzögerung zwischen
WLAN-Aktivität und der
LAN-Aktivität gesehen.

Wie bemerkt man eine Verzögerung der Aktivität?
Ist das nur über das Mac Vendor Code Programm zu erfahren und wenn ja wie?

Aber außer dem eben genannten
repräsentativen Paket (welches insgesamt
gut 200 Mal ins Netz geschossen wurde) ist
nichts gekommen - und außer der
MAC-Adresse habe ich dazu keine weiteren
Informationen.

Was sind das für Pakete, die ins Netz geschossen wurden?
Könnten so auch Telefongespräche gestartet werden, wenn das Telefon am Router hängt?

Die Capture-Datei habe ich allerdings noch
auf der Festplatte, wenn Interesse besteht,
kann ich die mal hochladen.

Ich hätte die mir gerne mal angesehen.
Bitte warten ..
Mitglied: wiesi200
26.02.2008 um 19:52 Uhr
Kabel!
Auch wenn irgend eine Funkverschlüsselung momentan als sicher eingestuft wird ändert sich soetwas leider immer wieder sehr schnell.
Bitte warten ..
Mitglied: LordGurke
26.02.2008 um 22:02 Uhr
Habe die Capture-Datei mal hochgeladen:
http://files.it-assistent.de/user/1/broadcast.zip
(Die ersten vier Pakete sind von mir bzw. dem Router)

@firebird3000:
Aber selbstverständlich können auch AMD-Prozessoren Broadcasts verschicken.
Die Broadcasts wurden allerdings von einem Intel-Netzwerkcontroller abgeschickt - ich möchte jetzt einfach mal bezweifeln, dass es viele Mainboards gibt, wo sowohl AMD-Prozessor als auch Intel-NIC gleichzeitig vorhanden sind - darauf wollte ich hinaus

Die Verzögerung habe ich ganz einfach über die Indikatoren des Routers festgestellt.
Bei genauem Hinsehen bemerkt man, dass beim Transport von Paketen zwischen LAN und WLAN eine kleine Verzögerung ist. Wenn ich zum Beispiel über WLAN einen Rechner am normalen LAN-Port anpinge, sieht man ganz Eindrucksvoll diese kleine Verzögerung.

Deine Frage mit dem Telefon verstehe ich nicht ganz, es handelt sich dabei um einen handelsüblichen Breitbandrouter mit 4-Port-Switch und einem WLAN-AP, nichts mit VoIP oder so.
Bitte warten ..
Mitglied: firebird3000
26.02.2008 um 22:44 Uhr
Deine Frage mit dem Telefon verstehe ich
nicht ganz, es handelt sich dabei um einen
handelsüblichen Breitbandrouter mit
4-Port-Switch und einem WLAN-AP, nichts mit
VoIP oder so.

Kann derjenige, der sich mit dem Router verbindet, Telefongespräche aufbauen? Bisher ist kein VoIP eingerichtet. Kann er über Dialer oder sonstwie denn Telefongespräche für wenige Sekunden anfangen, dann beenden und dann wieder ein selbes neues Telefongespräch starten und wieder beenden usw.?
Bitte warten ..
Mitglied: LordGurke
26.02.2008 um 23:19 Uhr
Kann derjenige, der sich mit dem Router
verbindet, Telefongespräche aufbauen?
Bisher ist kein VoIP eingerichtet. Kann er
über Dialer oder sonstwie denn
Telefongespräche für wenige
Sekunden anfangen, dann beenden und dann
wieder ein selbes neues Telefongespräch
starten und wieder beenden usw.?
Wie sollte er? Es ist keine Fritzbox oder ähnliches, wo DSL-Router und Telefonanlage etc... zusammen in einem Gerät vereint sind - es ist ein ganz normaler Router, der ist garnicht mit der Telefondose verbunden, weil es einfach nicht geht.
Es handelt sich um einen Belkin Wireless 54g-Router - nur Internet, kein Telefon
Bitte warten ..
Mitglied: firebird3000
28.02.2008 um 01:05 Uhr
Wie kann ein Einbrecher denn eine MAC-Filterung umgehen und dann diese Rufnummerverbindungen aufbauen?
Bitte warten ..
Mitglied: firebird3000
28.02.2008 um 01:06 Uhr
Wie kann ein Einbrecher denn eine MAC-Filterung umgehen und dann diese Rufnummerverbindungen aufbauen?
Bitte warten ..
Mitglied: aqui
28.02.2008 um 09:56 Uhr
Indem er die Mac Adresse mitsniffert und sich selbst vergibt. Mac Adressen sind konfigurierbar...
Bitte warten ..
Mitglied: firebird3000
29.02.2008 um 18:30 Uhr
Macht der das mit demselben Programm mit dem er auch die Verschlüsselung aussnifft?
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
WPA2 sicher, wenn Kennwort bekannt? (12)

Frage von stephan902 zum Thema LAN, WAN, Wireless ...

Off Topic
gelöst Chef will in E-Mails schauen - Wie sicher ich mich ab? (21)

Frage von Althalus zum Thema Off Topic ...

Verschlüsselung & Zertifikate
gelöst Bitlocker mit nur TPM sicher? (7)

Frage von Icybaby zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...