fennek11
Goto Top

AccessPoint blocken

Im WLan nutze ich einen einfachen chinesischen AccessPoint, dem ich gerne im Router auf die Blacklist setzen würde. Das Gerät hat aber nur eine für mich sichtbare BSSID, aber keine IP-Adresse und taucht in der Fritz.Box überhaupt nicht auf. Wie kann ich trotzdem jede Verbindung zu INet blocken?

Man weis nie, ob nicht eine backdoor eingebaut ist. Da es keine IP gibt, ist auch eine Prüfung mit Wireshark nicht möglich (?).

Vielen Dank

Content-ID: 518996

Url: https://administrator.de/forum/accesspoint-blocken-518996.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 26.11.2019 aktualisiert um 09:44:50 Uhr
Goto Top
Moin,

wenn der AP selbst keine IP hält, kann er auch nicht kommunizieren.
Außer vielleicht den Traffic auf irgend eine Weise zu manipulieren.
Ich würde trotzdem einmal mit Wireshark schauen ob nicht doch ein Gerät auffindbar ist und dem AP zugeordnet werden kann.

Gruß
Spirit
Lochkartenstanzer
Lochkartenstanzer 26.11.2019 um 09:57:30 Uhr
Goto Top
Zitat von @Fennek11:

Im WLan nutze ich einen einfachen chinesischen AccessPoint, dem ich gerne im Router auf die Blacklist setzen würde. Das Gerät hat aber nur eine für mich sichtbare BSSID, aber keine IP-Adresse und taucht in der Fritz.Box überhaupt nicht auf.

Wenn das Ding keine IP hat, wie konfigurierst Du den AP? Die Liste in der Fritzbox ist nur eine Liste von Geräten, die sich auch bei der Fritzbox melden. Geräte die nicht mit der Fritzbox reden, bekommen auch keinen Eintrag. Es hat also überhaupt keine Aussagekraft, ob ein gerät in der Fritzbox-Netzwerkliste auftaucht oder nicht.

Wie kann ich trotzdem jede Verbindung zu INet blocken?

Inden Du eine ordentliche irewall einsetzt und als default-regel deny all hast und nur Sachen durchläßt, die Du kennst. face-smile


Man weis nie, ob nicht eine backdoor eingebaut ist.

Es ist sogar noch schlimmer. Da inzwischen die Chinesen für ein paar Cent Mobilfunkchips integrieren können, könnte es auch sein, daß das Ding gar kein Internet von Dir braucht, um heimzufunken.

Da es keine IP gibt, ist auch eine Prüfung mit Wireshark nicht möglich (?).

Solange das Ethernet oder WiFI-frames durch die gegend geschickt werden, kann Wireshark "zuhören" Man bruach keine IP-Adressen um "zuzuhören". Du mußt nur am mitgehörten traffic alles bekannte rausfiltern. Allerdings kann man natürlich durch MAC-Spoofing das erschweren.

lks
Vielen Dank
Fennek11
Fennek11 26.11.2019 um 10:10:52 Uhr
Goto Top
Zum Einrichten habe ich den AccessPoint im Modus "Router" per Kabel mit einem PC verbunden und die Passwörter gesetzt.

"Arp -A" liefert die MAC der Fritzbox, aber nicht die des AccessPoint, die kann ich nur mit "NETSH ... mode BSSID" sehen.

In Wireshark habe ich (zum ersten Mal) den Filter "MAC == Mac des Accesspoints" gesetzt, aber es waren keine Pakete sichtbar.
SlainteMhath
SlainteMhath 26.11.2019 um 11:06:27 Uhr
Goto Top
Moin,

In Wireshark habe ich (zum ersten Mal) den Filter "MAC == Mac des Accesspoints" gesetzt, aber es waren keine Pakete sichtbar.
Das ist ja auch korrekt so, da der AP nur eine Bridge ist und somit nur im Layer 1 arbeitet. Seine eigene MAC/IP braucht er nur fürs Management.

Die Frage die sich mir stellt: Wenn du der Hardware nicht traust, warum schliesst du sie dann bei dir an?!


lg,
Slainte
aqui
aqui 26.11.2019 aktualisiert um 12:04:33 Uhr
Goto Top
Der TO hat vermutlich nicht verstanden das ein AP so gut wie immer als reine Layer 2 Bridge arbeitet und niemals direkt selber mit irgendwas kommuniziert. Wenn er das macht dann ist das nur das reine Management, sproch also Setup GUI usw. rein nur zum konfigurieren. An der Kommunikation der WLAN Cliewnts ist der AP gänzlich unbeteiligt, denn die laufen mit ihren eigenen Mac Adressen und IP Adressen am Router auf.
Da ist es dann vollkommen logisch, das es in der FB nirgendwo auftaucht, denn die zeigt ja keine Bridges an.

Ebenso wenn der AP im Router Mode betrieben wird wie der TO schreibt. Dann hat man eben auf der WLAN Schnittstelle und der LAN Schnittstelle unterschiedliche IP Adressen. Dennoch tauchen die WLAN Clients dann immer mit ihrer Absender IP Adresse auf.
Etwas unterschiedlich ist dann aber der Layer 2 auf der LAN Seite im Router Mode. Hier tauchen die WLAN Clients immer mit der LAN Mac Adresse des APs auf an der FritzBox, da der AP ja dann als Router arbeitet.
Logisch das in der FritzBox dann aber auch eine statische Route auf den AP im Router Mode definiert sein muss.
Es sei denn der vom TO eingesetzte AP arbeitet dann zusätzlich noch im NAT Mode und macht Adress Translation auf dem WAN Port. Leider ist das nur sehr oberflächlich bis gar nicht beschrieben oben. face-sad
Die Grundlagen zu dem Thema sind in den u.a. Tutorials beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Kopplung von 2 Routern am DSL Port
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Fennek11
Fennek11 26.11.2019 um 14:05:31 Uhr
Goto Top
Danke.

Wikipedia und youtube sind nicht mehr als ein erster Einstieg.

Selten (1-2 /Woche) schaltet der AccessPoint plötzlich in den Router-Modus, d.h. er vergibt eine IP-Adresse an die WLan-Clients. Anscheinend wird aber keine Verbindung zur Fritz.Box hergestellt.
SlainteMhath
SlainteMhath 26.11.2019 um 14:06:48 Uhr
Goto Top
Selten (1-2 /Woche) schaltet der AccessPoint plötzlich in den Router-Modus,
LOL!

Bitte wirf das Ding in den (Elektro-)Müll
aqui
aqui 26.11.2019 um 14:12:06 Uhr
Goto Top
Das sollte man in der Tat dann besser schnell machen !! Oder....
es vielleicht doch nochmal mit der aktuellsten Firmware versuchen bevor man den besser ganz schnell entsorgt !!!
maretz
maretz 26.11.2019 um 16:17:52 Uhr
Goto Top
Wenn man die Befürchtung hat das es eh das eigene Netz ausliest dann is Müll der einzige Platz. Wobei es dann auch Sinnvoll wäre bereits mal alle Passwörter usw. zu ändern -> da die ja damit automatisch auch schon ggf. bekannt sind.

Wobei ich nicht wüsste was man da nehmen kann - weil im Endeffekt sind alle Hersteller gleich. Ob jetzt Cisco (die ggf. auch mehr als 1 Backdoor drin haben) oder China is dann auch egal...
brammer
brammer 26.11.2019 um 16:20:10 Uhr
Goto Top
Hallo,

ja und?
dann nutz diese Verbindung erneut und konifguriere den AP.
Ich vemrute das der dann eine APIPA oder eien RFC 1918 IP Adresse nimmt.
Wenn du das ding im Browser über den Hsotnamen ansprichst hat das ding eine IP Adresse....

ein ping -a <hostname> solte die IP Adresse ausgeben.

brammer