madnem
Goto Top

Client in WLAN ausfindig machen Ort o. Position

Hallo zusammen,

ich habe einen Client der sich alle 10 Minuten versucht in mein WLAN einzulogen und scheitert am Passwort.
Ich gehe mal nicht davon aus, dass es sich um einen Angreifer handelt.
Der Accesspoint steht mittig in unserem Bürogebäude.

Leider steht bei uns auch haufenweise Hardware an- und ausgeschaltet rum. Ich weiß da gehört aufgeräumt aber so ist halt nun der Istzustand.

Seht Ihr eine Möglichkeit wie ich diesen Client finde?
Außer seiner MAC-Adresse ist mir nichts bekannt. Vom Hersteller (Azurewave) der MAC kann man jetzt auch nicht auf das Endgerät schließen.

Mein AP zeigt leider auch nur an das sich jemand anmelden will, aber nicht dessen Signalstärke oder die Richtung.

Content-ID: 6479623735

Url: https://administrator.de/contentid/6479623735

Ausgedruckt am: 24.11.2024 um 22:11 Uhr

JoeToe
JoeToe 23.03.2023 um 17:54:41 Uhr
Goto Top
Moin.

Ich gehe davon aus, dass in der jüngsten Vergangenheit das WLAN-Passwort geändert worden ist. Davor hatte der Client mit der Azurewave Zugriff auf das WLAN und jetzt eben nicht mehr.
Wenn die Login-Versuche nur zu Öffnungszeiten laufen, dann wird es eher ein mobiles Device sein - z. B. ein Smartphone, welches der Kollege wieder nach Hause mitnimmt.
Wenn die Login-Versuche rund um die Uhr laufen, dann würde ich nach Fernseher/Chromecast/Netzwerkkamera/Smarthome/Saugroboter/IoT usw. schauen.

Gruß
JoeToe
madnem
madnem 23.03.2023 um 18:12:06 Uhr
Goto Top
@JoeToe

Danke für deinen Beitrag.
Es gibt im dem Sinne kein WLAN-Passwort, es läuft über RADIUS aber im Grunde könntest du recht haben. Evtl. wurde hier ein Login deaktivert.

Mittarbeiter Geräte würde ich ausschließen, da auch Nachts 2-4Uhr versucht wird sich anzumelden.
Genau diese Art Geräte bin ich gerade auch am suchen, find da aber auch nichts.

Weißt du wie sich Notebooks verhalten? Wenn die Anmeldung scheitert, versuchen die es immer und immer wieder? Hab da bis jetzt eher den Eindruck, dass wird versucht und wenns nicht geht gelassen.
maretz
maretz 23.03.2023 um 18:46:07 Uhr
Goto Top
Wenn du nur einen AP hast wirds schwer... du hast zwar bei einigen APs das die ne distanz zeigen, das is aber nur nen Schätzwert... Hast du mehrere APs kannst du natürlich mal einen abschalten u. gucken wo der client sich dann hin verbindet (um das etwas einzugrenzen)... aber mit einem wirds halt schwer
TwistedAir
TwistedAir 23.03.2023 um 19:45:49 Uhr
Goto Top
Hallo,

eine Möglichkeit wäre es dem Gerät mit einem Tracker auf die Spur zu kommen. Ein entsprechendes Projekt ist nzyme, das neben der stationären Überwachung auch einen Modus für mobile Tracker hat https://v1.nzyme.org/docs/bandits-trackers/trackers .

Ohne Tracker - und wenn du a) die Sendeleistung anpassen und b) dein WLAN zeitweise entbehren kannst - könntest du dich über die Verringerung der Sendeleistung annähern. Kannst du den AP mobil machen? Als die Signalstärke so lange reduzieren, bis das Gerät nicht mehr zu sehen ist. Dann umpositionieren und schauen, dass das Gerät wieder verbindet. Je niedriger die Sendeleistung, desto näher das gesuchte Objekt. Und so nach und nach einkreisen.

Grüße
TA
SeaStorm
SeaStorm 23.03.2023 aktualisiert um 21:02:02 Uhr
Goto Top
Die MAC Adresse des anmeldenden Clients ist ja die Wifi Karte des Geräts.
Evtl. hast du die ja schon irgendwo mal Dokumentiert?
Ansonsten auf allen Clients ein Script laufen lassen das diese ausliest. Dann solltest du wissen welcher Client das ist.

Ansonsten, falls du bereit für das Risiko bist, bastel eine Ausnahme im Radius. Sorge dafür das er eine reservierung im DHCP erhält. Sobald er diese IP bekommen hat schaust du wie der Client heisst.
Ggf mit sowas wie NMAP scannen. Falls RDP aktiv ist steht der Clientname ja im zertifikat. Dann muss man keine Remoteanmeldung riskieren
em-pie
em-pie 24.03.2023 um 07:17:52 Uhr
Goto Top
Zitat von @SeaStorm:
Ansonsten, falls du bereit für das Risiko bist, bastel eine Ausnahme im Radius. Sorge dafür das er eine reservierung im DHCP erhält. Sobald er diese IP bekommen hat schaust du wie der Client heisst.
Wäre auch mein Ansatz:
Wenn ihr mit dynamischen VLAN Zuweisungen arbeitet:
Die MAC gezielt in ein neues, temporäres und isoliertes VLAN zuweisen und schauen. Danach:
Ggf mit sowas wie NMAP scannen. Falls RDP aktiv ist steht der Clientname ja im zertifikat. Dann muss man keine Remoteanmeldung riskieren
commodity
commodity 24.03.2023 um 12:38:56 Uhr
Goto Top
Ich hab's noch nie gemacht, aber Kali sollte das können:
airodump-ng
zeigt auch die Stations und ihre Sendeleistung an. Da sollte man sich mit dem Notebook dann ja nähern können.
https://www.rapid7.com/blog/post/2013/05/22/easily-assessing-wireless-ne ...
https://www.elektronik-kompendium.de/sites/net/2008071.htm

Viele Grüße, commodity