• Geschlossen

Einbruch ins Heimnetzwerk

schumi99
Level 2
1 von 11

ich und mein Nachbar haben schon 3-mal fremde MAC Adressen in der Geräteliste unserer Internet Box gehabt, ohne sichtbare IP Adresse allerdings. Unsere PC sind massiv gehackt worden, der Fall ist bei der Polizei, Abt. Forensik gemeldet und hängig. Natürlich haben wir WLAN Pwd geändert. So weit sind wir schon noch! Nun habe ich aber schon wieder so einen Fall, und bin alarmiert. Wie ist das möglich? Der Angriff erfolgt offenbar via WLAN, somit in Funkreichweite. Ich möchte nun mein Heimnetz zunageln, und habe mir Lösungen ausgedacht. Die erste, einfachste sieht so aus, ich hoffe, dass ich von euch Hilfe und Feedback bekomme:

  1. ich fixiere die Kombination IP Adresse - MAC Adresse mit arp -s. Laut help sollte dies eine fixe Zuordnung ergeben.
  2. ich übernehme diese Kombinationen aller meiner Geräte aus der Geräteliste meiner Internetbox 2. Dort hats ohnehin schon 5 Geräte mit fixer Adresse.
  3. ich schalte in meiner Internetbox die DHCP Funktion aus.

Falls es nun mein "Nachbar" wieder schafft eine MAC Adresse in meiner IB zu platzieren (wie der das schafft ist mir schleierhaft), dann bleibt er dort hängen. Er bekommt keine IP Adresse, und sofern er das Passwort von meinem Router nicht weiss, kann er die DHCP Funktion auch nicht wieder einschalten. Somit kann er nach meinem Wissen nichts mehr veranstalten. Ist das richtig, was meint ihr?

Weitere Lösungen wären z.B. Synology Router mit Intrusion Detection/Prevention. Prevention kostet aber offenbar sehr viel Leistung auf dem Netz, und somit etwas fragwürdig.

Layer-3 Switch scheint eine Alternative, u.a. durch die Möglichkeit erlaubte MAC Adressen zu spezifizieren. MAC Spoofing könnte das aber unwirksam machen, oder?

Snort, allenfalls Wireshark Analysen sind unglaublich aufwendig, wegen der Datenmengen die man durchforsten muss.

Professionelle Lösungen wie etwa AirCHECK G2 kosten halt ab Fr. 1'450.-

Für gute Ideen und Lösungen spende ich gerne eine virtuelle Tonne Bier! Danke zum Voraus!

 

10 Kommentare 10
WalterB
Super User
2 von 11

Also Einbrüche via WLAN ist sehr selten wenn diese mit einem guten Passwort gesichert ist,  Einbrüche erfolgen meistens über E-Mail oder Pages welche gehackt wurden, auch über dubiose Programme welche etwas versprechen.

 

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
schumi99
Level 2
3 von 11

ok, darf ich dir mal die Webpage searchnetworking.de empfehlen, das Dokument WLAN-Sicherheit - eine Liste mit Angriffstechniken auf 802.11 und 802.1X.  Die meisten Angriffe werden durch freeware unterstützt. Wenn man das liest könte man schon noch auf die Idee kommen das eine oder das andere auszuprobieren.  Es macht auch nicht den Anschein, dass es so unmöglich ist wie man immer hört.  Ich bin gar nicht stolz drauf ein seltenes Opfer zu sein, verd.:raging:..

 

Anonym
4 von 11

@schumi99 schrieb:

Falls es nun mein "Nachbar" wieder schafft eine MAC Adresse in meiner IB zu platzieren (wie der das schafft ist mir schleierhaft), dann bleibt er dort hängen. Er bekommt keine IP Adresse, und sofern er das Passwort von meinem Router nicht weiss, kann er die DHCP Funktion auch nicht wieder einschalten. Somit kann er nach meinem Wissen nichts mehr veranstalten. Ist das richtig, was meint ihr?


Ein Ausschalten des DHCP-Servers bringt dir kaum mehr Sicherheit. Ein Angreifer wird die IP des Routers sofort finden, sofern sie nicht sowieso standardgemäss gesetzt ist. 

Was hast du denn für Geräte im WLAN? Es könnten sein, dass eines davon kompromittiert ist und das WLAN-Passwort freiwillig herausgibt, entweder über das Internet oder indem es Accesspoint spielt. 

NotNormal
Level 4
5 von 11

Hallo Schumi99

Deine 3 Massnahmen bringen alle nichts.  Der Angreifer kann seine MAC-Adresse und IP-Adresse beliebig ändern.

Solange  zu der fremden MAC-Adresse keine IP angezeigt wird, würde ich mir keine Sorgen machen. Kann ja sein, dass sich irgendein Gerät tatsächlich in deinem WLAN-Anmelden will, aber (wie es sein sollte) am Passwort scheitert. Das passiert womöglich ganz automatisch.

Sind es den immer die gleichen Adressen? Und hast Du mal geschaut, was es sein könnte (es gib Listen zur zuordnung der Hersteller, leider nicht wirklich exakt)

Gruss

 

NotNormal

NotNormal
Level 4
6 von 11

Oh, das mit dem Bier habe ich gar nicht gesehen, also:

1. Lösung: WLAN abschalten

2. Lösung: Wenn Du das WLAN nur brauchst, um Geräte ins Internet zu bringen, kannst Du mit einem zweiten Router eine DMZ basteln. Kurz erklärt: den Zweiten Router hinter deine IB hängen und da dahinter alle deine Geräte. Über das WLAN der IB kannst Du so ins Internet, hast aber sonst auch nichts Zugriff (ausser die IB selber).

3. Einen Raspi ans Netz und regelmässig nach fremden MACs scannen, das würde zumindest mal eine Übersicht geben, was zu welchen Zeiten passiert.

Nebenbei ist so ein Angriff über WLAN sicher extrem selten, zu 99% holt man sich Viren&Co über den eigenen Webbrowser (das geht auch ohne irgendwas runterzuladen oder zu bestätigen).

Gruss

NotNormal

 

 

Werner
Super User
7 von 11

@schumi99

Also wenn Du Deinen Verdacht, dass Du gehackt worden bist rein auf der Geräteliste der Internetbox begründest, dann bist Du ev. einer der ersten Kunden, welcher Softwarefehler der Swisscom direkt bei der Polizei angezeigt hat...

Die Geräteliste der Internetbox war noch nie zuverlässig: Zuwenig oder zuviel Geräte, inkl. „Geister-PC“ können da immer wieder mal auftauchen.

Auf was begründest Du denn Deinen Verdacht, dass Dein WLAN gehackt worden ist, denn genau?

Ansonsten empfehle ich ebenfalls den Vorschlag von @NotNormal: Hänge hinter die Internetbox einen eigenen Router und baue ein zusätzliches von der Internetbox abgeschottetes internes Netzwerk, dessen WiFi Du nur bei Bedarf aktivierst. Das WLAN der Internetbox kannst Du dann konzeptionell wie ein Gästenetzwerk (reiner Internetzugriff) weiterbetreiben, oder auch ganz abschalten.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
schumi99
Level 2
8 von 11
ich habe insgesamt 6 Geräte am LAN. Via WLAN habe ich 2 Tablets, 2 Laptops, 4 Smartphones, alles Android, 1 WLAN Verstärker, und einen unbekannten mit MAC Adresse aus dem Apple Bereich. Und bei mir im Hause gibt es halt nur Bio Äpfel, deshalb kommt mir der fremd vor! In einem früheren Angriff hatte ich auch Apple MAC drin. Dein Hinweis, dass eines dieser Geräte kompromitiert sein könnte scheint mir plausibel, in diese Richtung habe ich noch nicht gesucht, werde dies aber nachholen. Im vorher erwähnten Papier werden tatsächlich solche Angriffe erwähnt, z.B. Evil Twins. Danke.
POGO 1104
Super User
9 von 11

@schumi99 schrieb:
.....Dein Hinweis, dass eines dieser Geräte kompromitiert sein könnte scheint mir plausibel, in diese Richtung habe ich noch nicht gesucht, werde dies aber nachholen.....

Diese Variante halte ich für diesen Fall hier für am wahrscheinlichsten

keep on rockin'
keep on rockin'
schumi99
Level 2
10 von 11

Hallo Shorty7777  die Softwarefehler die du da meinst gab es vor ein paar Jahren, die wurden hier im Forum auch behandelt. Seither habe ich nie mehr etwas von solchen Fehlern gelesen oder gehört. Es wäre ungeheuerlich, wenn die seither nicht durch Firmware Upgrades behoben worden wären! Immerhin ist es so, dass sich Swisscom bisher nicht für die Ursachen interessiert hat. Wenn es denn so wäre, dass die Polizei Softwarefehler in Swisscom Geräten herausfinden muss, dann wäre das wohl ein Fall für irgendeine Beschwerdestelle. 

Den Verdacht auf WLAN Hacking begründe ich mit der lokalen Häufung, und den Indizien. Liest man die Liste der WLAN Attacken dann würden die Symptome passen. Aber klar. Der Weg über infizierte Smartphones / Tablets ist auch eine Möglichkeit.  Die Suche ist aber verdammt aufwendig, habt Geduld mit mir. 

Den Rat vom eigenen Router hat mir auch ein Experte der Polizei gegeben, ich bin am evaluieren. Es gibt da einen von Synology der auch IDS/IPS Funktionen hat.  Das hat allerdings auch Konsequenzen auf die Performance, ich hab mich da im Synolgy Forum umgesehen. 

schumi99
Level 2
11 von 11

Hallo Notnormal. Ok, mein Schlachtplan taugt nix, habe ich verstanden. Die fremden MAC Adressen sind aus dem Apple Bereich, 4 verschiedene. Weder ich noch mein infizierter Nachbar sind apfelig. Auffallend war einfach, dass die fremden MAC nach ändern des WLAN Passwort verschwunden waren. 

Nach oben