AccessPoint blocken

Im WLan nutze ich einen einfachen chinesischen AccessPoint, dem ich gerne im Router auf die Blacklist setzen würde. Das Gerät hat aber nur eine für mich sichtbare BSSID, aber keine IP-Adresse und taucht in der Fritz.Box überhaupt nicht auf. Wie kann ich trotzdem jede Verbindung zu INet blocken?

Man weis nie, ob nicht eine backdoor eingebaut ist. Da es keine IP gibt, ist auch eine Prüfung mit Wireshark nicht möglich (?).

Vielen Dank

Content-Key: 518996

Url: https://administrator.de/contentid/518996

Ausgedruckt am: 19.10.2021 um 05:10 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 26.11.2019 aktualisiert um 09:44:50 Uhr
Goto Top
Moin,

wenn der AP selbst keine IP hält, kann er auch nicht kommunizieren.
Außer vielleicht den Traffic auf irgend eine Weise zu manipulieren.
Ich würde trotzdem einmal mit Wireshark schauen ob nicht doch ein Gerät auffindbar ist und dem AP zugeordnet werden kann.

Gruß
Spirit
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.11.2019 um 09:57:30 Uhr
Goto Top
Zitat von @Fennek11:

Im WLan nutze ich einen einfachen chinesischen AccessPoint, dem ich gerne im Router auf die Blacklist setzen würde. Das Gerät hat aber nur eine für mich sichtbare BSSID, aber keine IP-Adresse und taucht in der Fritz.Box überhaupt nicht auf.

Wenn das Ding keine IP hat, wie konfigurierst Du den AP? Die Liste in der Fritzbox ist nur eine Liste von Geräten, die sich auch bei der Fritzbox melden. Geräte die nicht mit der Fritzbox reden, bekommen auch keinen Eintrag. Es hat also überhaupt keine Aussagekraft, ob ein gerät in der Fritzbox-Netzwerkliste auftaucht oder nicht.

Wie kann ich trotzdem jede Verbindung zu INet blocken?

Inden Du eine ordentliche irewall einsetzt und als default-regel deny all hast und nur Sachen durchläßt, die Du kennst. :-) face-smile


Man weis nie, ob nicht eine backdoor eingebaut ist.

Es ist sogar noch schlimmer. Da inzwischen die Chinesen für ein paar Cent Mobilfunkchips integrieren können, könnte es auch sein, daß das Ding gar kein Internet von Dir braucht, um heimzufunken.

Da es keine IP gibt, ist auch eine Prüfung mit Wireshark nicht möglich (?).

Solange das Ethernet oder WiFI-frames durch die gegend geschickt werden, kann Wireshark "zuhören" Man bruach keine IP-Adressen um "zuzuhören". Du mußt nur am mitgehörten traffic alles bekannte rausfiltern. Allerdings kann man natürlich durch MAC-Spoofing das erschweren.

lks
Vielen Dank

Mitglied: Fennek11
Fennek11 26.11.2019 um 10:10:52 Uhr
Goto Top
Zum Einrichten habe ich den AccessPoint im Modus "Router" per Kabel mit einem PC verbunden und die Passwörter gesetzt.

"Arp -A" liefert die MAC der Fritzbox, aber nicht die des AccessPoint, die kann ich nur mit "NETSH ... mode BSSID" sehen.

In Wireshark habe ich (zum ersten Mal) den Filter "MAC == Mac des Accesspoints" gesetzt, aber es waren keine Pakete sichtbar.
Mitglied: SlainteMhath
SlainteMhath 26.11.2019 um 11:06:27 Uhr
Goto Top
Moin,

In Wireshark habe ich (zum ersten Mal) den Filter "MAC == Mac des Accesspoints" gesetzt, aber es waren keine Pakete sichtbar.
Das ist ja auch korrekt so, da der AP nur eine Bridge ist und somit nur im Layer 1 arbeitet. Seine eigene MAC/IP braucht er nur fürs Management.

Die Frage die sich mir stellt: Wenn du der Hardware nicht traust, warum schliesst du sie dann bei dir an?!


lg,
Slainte
Mitglied: aqui
aqui 26.11.2019 aktualisiert um 12:04:33 Uhr
Goto Top
Der TO hat vermutlich nicht verstanden das ein AP so gut wie immer als reine Layer 2 Bridge arbeitet und niemals direkt selber mit irgendwas kommuniziert. Wenn er das macht dann ist das nur das reine Management, sproch also Setup GUI usw. rein nur zum konfigurieren. An der Kommunikation der WLAN Cliewnts ist der AP gänzlich unbeteiligt, denn die laufen mit ihren eigenen Mac Adressen und IP Adressen am Router auf.
Da ist es dann vollkommen logisch, das es in der FB nirgendwo auftaucht, denn die zeigt ja keine Bridges an.

Ebenso wenn der AP im Router Mode betrieben wird wie der TO schreibt. Dann hat man eben auf der WLAN Schnittstelle und der LAN Schnittstelle unterschiedliche IP Adressen. Dennoch tauchen die WLAN Clients dann immer mit ihrer Absender IP Adresse auf.
Etwas unterschiedlich ist dann aber der Layer 2 auf der LAN Seite im Router Mode. Hier tauchen die WLAN Clients immer mit der LAN Mac Adresse des APs auf an der FritzBox, da der AP ja dann als Router arbeitet.
Logisch das in der FritzBox dann aber auch eine statische Route auf den AP im Router Mode definiert sein muss.
Es sei denn der vom TO eingesetzte AP arbeitet dann zusätzlich noch im NAT Mode und macht Adress Translation auf dem WAN Port. Leider ist das nur sehr oberflächlich bis gar nicht beschrieben oben. :-( face-sad
Die Grundlagen zu dem Thema sind in den u.a. Tutorials beschrieben:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
https://administrator.de/wissen/kopplung-2-routern-dsl-port-48713.html#t ...
https://administrator.de/wissen/wlan-zwei-lan-ip-netzwerke-verbinden-152 ...
Mitglied: Fennek11
Fennek11 26.11.2019 um 14:05:31 Uhr
Goto Top
Danke.

Wikipedia und youtube sind nicht mehr als ein erster Einstieg.

Selten (1-2 /Woche) schaltet der AccessPoint plötzlich in den Router-Modus, d.h. er vergibt eine IP-Adresse an die WLan-Clients. Anscheinend wird aber keine Verbindung zur Fritz.Box hergestellt.
Mitglied: SlainteMhath
SlainteMhath 26.11.2019 um 14:06:48 Uhr
Goto Top
Selten (1-2 /Woche) schaltet der AccessPoint plötzlich in den Router-Modus,
LOL!

Bitte wirf das Ding in den (Elektro-)Müll
Mitglied: aqui
aqui 26.11.2019 um 14:12:06 Uhr
Goto Top
Das sollte man in der Tat dann besser schnell machen !! Oder....
es vielleicht doch nochmal mit der aktuellsten Firmware versuchen bevor man den besser ganz schnell entsorgt !!!
Mitglied: maretz
maretz 26.11.2019 um 16:17:52 Uhr
Goto Top
Wenn man die Befürchtung hat das es eh das eigene Netz ausliest dann is Müll der einzige Platz. Wobei es dann auch Sinnvoll wäre bereits mal alle Passwörter usw. zu ändern -> da die ja damit automatisch auch schon ggf. bekannt sind.

Wobei ich nicht wüsste was man da nehmen kann - weil im Endeffekt sind alle Hersteller gleich. Ob jetzt Cisco (die ggf. auch mehr als 1 Backdoor drin haben) oder China is dann auch egal...
Mitglied: brammer
brammer 26.11.2019 um 16:20:10 Uhr
Goto Top
Hallo,

ja und?
dann nutz diese Verbindung erneut und konifguriere den AP.
Ich vemrute das der dann eine APIPA oder eien RFC 1918 IP Adresse nimmt.
Wenn du das ding im Browser über den Hsotnamen ansprichst hat das ding eine IP Adresse....

ein ping -a <hostname> solte die IP Adresse ausgeben.

brammer
Heiß diskutierte Beiträge
question
Server mit zwei Interfaces und Standardgateways am selben Switch gelöst incisor2kVor 1 TagFrageNetzwerkgrundlagen13 Kommentare

Guten Morgen. Ich brauche bitte ein bisschen Hirnschmalz von euch, um ggf. Auswirkungen nachfolgendes Szenarios zu verstehen. Gestern ist mir etwas seltsames untergekommen. Kurz umrissen: ...

question
Windows 11 Upgrade nicht möglichben1300Vor 21 StundenFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
SFP+ auf RJ45 AdapterHasahirnVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo, bin neu hier und hoffe das richtige Unterforum mit meiner Frage erwischt zu haben. Falls das nicht der Fall sein sollte bitte entsprechend verschieben, ...

question
Anfänger benötigt Hilfe bei PDFsBarabanVor 1 TagFrageMicrosoft8 Kommentare

Hallo zusammen, ich bin ein leidgeplagter Endnutzer der bei dem leidigen Thema PDFs zusammenführen Hilfe benötigt. Ich habe mir hier schon ein paar Beiträge durchgelesen ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 1 TagFrageFestplatten, SSD, Raid8 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Spam in den PNs gelöst erikroVor 20 StundenFrageAdministrator.de Feedback8 Kommentare

Moin, das habe ich heute in meinen PNs gefunden: Hallo, Schatz . Ich hoffe, es geht dir gut, mein Name ist Naomi Haider, ich habe ...

question
VPN per LTE? Hardware? Alternativen? gelöst HerrKohlVor 1 TagFrageRouter & Routing8 Kommentare

Hallo, ich stehe vor einem Problem, welches ich als Laie mit wenig Ahnung lösen möchte/muss. Kurz umrissen: ich betreibe in meinem Büro mehrere Endgeräte, die ...

question
Microsoft Security Baseline sinnvoll?dertowaVor 1 TagFrageWindows 113 Kommentare

Hallo allerseits, ich habe nun im HomeLab ein wenig mit den Security Baselines von Microsoft experimentiert und komme zu keinem wirklichen Ergebnis. Es gibt einige ...