7
Client in WLAN ausfindig machen Ort o. Position
Hallo zusammen,
ich habe einen Client der sich alle 10 Minuten versucht in mein WLAN einzulogen und scheitert am Passwort.
Ich gehe mal nicht davon aus, dass es sich um einen Angreifer handelt.
Der Accesspoint steht mittig in unserem Bürogebäude.
Leider steht bei uns auch haufenweise Hardware an- und ausgeschaltet rum. Ich weiß da gehört aufgeräumt aber so ist halt nun der Istzustand.
Seht Ihr eine Möglichkeit wie ich diesen Client finde?
Außer seiner MAC-Adresse ist mir nichts bekannt. Vom Hersteller (Azurewave) der MAC kann man jetzt auch nicht auf das Endgerät schließen.
Mein AP zeigt leider auch nur an das sich jemand anmelden will, aber nicht dessen Signalstärke oder die Richtung.
ich habe einen Client der sich alle 10 Minuten versucht in mein WLAN einzulogen und scheitert am Passwort.
Ich gehe mal nicht davon aus, dass es sich um einen Angreifer handelt.
Der Accesspoint steht mittig in unserem Bürogebäude.
Leider steht bei uns auch haufenweise Hardware an- und ausgeschaltet rum. Ich weiß da gehört aufgeräumt aber so ist halt nun der Istzustand.
Seht Ihr eine Möglichkeit wie ich diesen Client finde?
Außer seiner MAC-Adresse ist mir nichts bekannt. Vom Hersteller (Azurewave) der MAC kann man jetzt auch nicht auf das Endgerät schließen.
Mein AP zeigt leider auch nur an das sich jemand anmelden will, aber nicht dessen Signalstärke oder die Richtung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6479623735
Url: https://administrator.de/contentid/6479623735
Printed on: May 6, 2024 at 14:05 o'clock
7 Comments
Latest comment
Moin.
Ich gehe davon aus, dass in der jüngsten Vergangenheit das WLAN-Passwort geändert worden ist. Davor hatte der Client mit der Azurewave Zugriff auf das WLAN und jetzt eben nicht mehr.
Wenn die Login-Versuche nur zu Öffnungszeiten laufen, dann wird es eher ein mobiles Device sein - z. B. ein Smartphone, welches der Kollege wieder nach Hause mitnimmt.
Wenn die Login-Versuche rund um die Uhr laufen, dann würde ich nach Fernseher/Chromecast/Netzwerkkamera/Smarthome/Saugroboter/IoT usw. schauen.
Gruß
JoeToe
Ich gehe davon aus, dass in der jüngsten Vergangenheit das WLAN-Passwort geändert worden ist. Davor hatte der Client mit der Azurewave Zugriff auf das WLAN und jetzt eben nicht mehr.
Wenn die Login-Versuche nur zu Öffnungszeiten laufen, dann wird es eher ein mobiles Device sein - z. B. ein Smartphone, welches der Kollege wieder nach Hause mitnimmt.
Wenn die Login-Versuche rund um die Uhr laufen, dann würde ich nach Fernseher/Chromecast/Netzwerkkamera/Smarthome/Saugroboter/IoT usw. schauen.
Gruß
JoeToe
@JoeToe
Danke für deinen Beitrag.
Es gibt im dem Sinne kein WLAN-Passwort, es läuft über RADIUS aber im Grunde könntest du recht haben. Evtl. wurde hier ein Login deaktivert.
Mittarbeiter Geräte würde ich ausschließen, da auch Nachts 2-4Uhr versucht wird sich anzumelden.
Genau diese Art Geräte bin ich gerade auch am suchen, find da aber auch nichts.
Weißt du wie sich Notebooks verhalten? Wenn die Anmeldung scheitert, versuchen die es immer und immer wieder? Hab da bis jetzt eher den Eindruck, dass wird versucht und wenns nicht geht gelassen.
Danke für deinen Beitrag.
Es gibt im dem Sinne kein WLAN-Passwort, es läuft über RADIUS aber im Grunde könntest du recht haben. Evtl. wurde hier ein Login deaktivert.
Mittarbeiter Geräte würde ich ausschließen, da auch Nachts 2-4Uhr versucht wird sich anzumelden.
Genau diese Art Geräte bin ich gerade auch am suchen, find da aber auch nichts.
Weißt du wie sich Notebooks verhalten? Wenn die Anmeldung scheitert, versuchen die es immer und immer wieder? Hab da bis jetzt eher den Eindruck, dass wird versucht und wenns nicht geht gelassen.
Wenn du nur einen AP hast wirds schwer... du hast zwar bei einigen APs das die ne distanz zeigen, das is aber nur nen Schätzwert... Hast du mehrere APs kannst du natürlich mal einen abschalten u. gucken wo der client sich dann hin verbindet (um das etwas einzugrenzen)... aber mit einem wirds halt schwer
Hallo,
eine Möglichkeit wäre es dem Gerät mit einem Tracker auf die Spur zu kommen. Ein entsprechendes Projekt ist nzyme, das neben der stationären Überwachung auch einen Modus für mobile Tracker hat https://v1.nzyme.org/docs/bandits-trackers/trackers .
Ohne Tracker - und wenn du a) die Sendeleistung anpassen und b) dein WLAN zeitweise entbehren kannst - könntest du dich über die Verringerung der Sendeleistung annähern. Kannst du den AP mobil machen? Als die Signalstärke so lange reduzieren, bis das Gerät nicht mehr zu sehen ist. Dann umpositionieren und schauen, dass das Gerät wieder verbindet. Je niedriger die Sendeleistung, desto näher das gesuchte Objekt. Und so nach und nach einkreisen.
Grüße
TA
eine Möglichkeit wäre es dem Gerät mit einem Tracker auf die Spur zu kommen. Ein entsprechendes Projekt ist nzyme, das neben der stationären Überwachung auch einen Modus für mobile Tracker hat https://v1.nzyme.org/docs/bandits-trackers/trackers .
Ohne Tracker - und wenn du a) die Sendeleistung anpassen und b) dein WLAN zeitweise entbehren kannst - könntest du dich über die Verringerung der Sendeleistung annähern. Kannst du den AP mobil machen? Als die Signalstärke so lange reduzieren, bis das Gerät nicht mehr zu sehen ist. Dann umpositionieren und schauen, dass das Gerät wieder verbindet. Je niedriger die Sendeleistung, desto näher das gesuchte Objekt. Und so nach und nach einkreisen.
Grüße
TA
Die MAC Adresse des anmeldenden Clients ist ja die Wifi Karte des Geräts.
Evtl. hast du die ja schon irgendwo mal Dokumentiert?
Ansonsten auf allen Clients ein Script laufen lassen das diese ausliest. Dann solltest du wissen welcher Client das ist.
Ansonsten, falls du bereit für das Risiko bist, bastel eine Ausnahme im Radius. Sorge dafür das er eine reservierung im DHCP erhält. Sobald er diese IP bekommen hat schaust du wie der Client heisst.
Ggf mit sowas wie NMAP scannen. Falls RDP aktiv ist steht der Clientname ja im zertifikat. Dann muss man keine Remoteanmeldung riskieren
Evtl. hast du die ja schon irgendwo mal Dokumentiert?
Ansonsten auf allen Clients ein Script laufen lassen das diese ausliest. Dann solltest du wissen welcher Client das ist.
Ansonsten, falls du bereit für das Risiko bist, bastel eine Ausnahme im Radius. Sorge dafür das er eine reservierung im DHCP erhält. Sobald er diese IP bekommen hat schaust du wie der Client heisst.
Ggf mit sowas wie NMAP scannen. Falls RDP aktiv ist steht der Clientname ja im zertifikat. Dann muss man keine Remoteanmeldung riskieren
Zitat von @SeaStorm:
Ansonsten, falls du bereit für das Risiko bist, bastel eine Ausnahme im Radius. Sorge dafür das er eine reservierung im DHCP erhält. Sobald er diese IP bekommen hat schaust du wie der Client heisst.
Wäre auch mein Ansatz:Ansonsten, falls du bereit für das Risiko bist, bastel eine Ausnahme im Radius. Sorge dafür das er eine reservierung im DHCP erhält. Sobald er diese IP bekommen hat schaust du wie der Client heisst.
Wenn ihr mit dynamischen VLAN Zuweisungen arbeitet:
Die MAC gezielt in ein neues, temporäres und isoliertes VLAN zuweisen und schauen. Danach:
Ggf mit sowas wie NMAP scannen. Falls RDP aktiv ist steht der Clientname ja im zertifikat. Dann muss man keine Remoteanmeldung riskieren
Ich hab's noch nie gemacht, aber Kali sollte das können:
zeigt auch die Stations und ihre Sendeleistung an. Da sollte man sich mit dem Notebook dann ja nähern können.
https://www.rapid7.com/blog/post/2013/05/22/easily-assessing-wireless-ne ...
https://www.elektronik-kompendium.de/sites/net/2008071.htm
Viele Grüße, commodity
airodump-nghttps://www.rapid7.com/blog/post/2013/05/22/easily-assessing-wireless-ne ...
https://www.elektronik-kompendium.de/sites/net/2008071.htm
Viele Grüße, commodity
