29
DoS Attacke aus dem eigenen Netz
Hallo zusammen,
Als passiver Beobachter dieses Forums habe ich bereits viel gelernt, daher diesmal eine direkte Frage in die Runde.
ich suche seit einiger Zeit schon nach einer Lösung zu diesem Problem:
Ausgangssituation:
In unserem Unternhmen befindet sich getrennt vom Produktivnetz ein Wlan für die Mitarbeiter.
Der Internetzugang kommt von einer standard-DSL-Verbindung über eine FritzBox und wird von dort über einen 8port Cisco aufs Patchpanel übertragen, das in einige büros leitet. Dort sind AP, als LAN-Brücke, die das Wlan aufspannen. Jeder AP spannt ein eigenes Netz auf, mit der gleichen SSID und Passwörtern, damit man überall im Gebäude das gleiche WLAN nutzen kann. Es sind 4AP und es läuft "eigentlich" perfekt. Verschlüsselung ist wpa3, ssid ist versteckt, Passwort ist komplex, WLAN an der Fritzbox direkt ist deaktiviert, es gibt keine Schnittstellen mit dem Produktivnetz. DHCP läuft über die FritzBox, Mac-Filter ist auf jedem AP aktiviert und Konfiguriert. Die AP sind einfache tp-link RX500.
Wir sind in einer internationalen Umgebung, die Nationen sind aber in verschiedenen Gebäuden untergebracht und ähnliche Konfigurationen finden sich in allen Gebäuden, die WLAN überschneiden sich aber nicht im Bezug auf Empfangsreichweite und Kanal. Es gibt ca. 40 registrierte Nutzer im WLAN, von denen meist jedoch nur 10-15 gleichzeitig im Netz sind.
Problem:
Hin und wieder - zu Beginn alle 24h, inzwischen eher willkürlich - kommt ein Gerät ins Netz und überflutet das Netz mit DNS anfragen. Im Prinzip eine typische DOS attacke, aber aus dem eigenen WLAN. Der Angriff sorgt dafür, dass die AP nicht mehr erreichbar sind und somit das WLAN kollabiert. Per LAN an die Fritzbox angeschlossene Geräte können problemlos das Netz und das Internet nutzen. Mein Laptop ist per LAN angeschlossen (einziges Endgerät im LAN), so konnte ich die Attacke über Wireshark bestätigen.
Das angreifende Gerät nutzt bei jedem Login eine andere IP, die nicht im DHCP-Bereich des Netzes liegt und eine andere MAC-Adresse. Die MAC-Adressen sind manchmal sogar von im Netz registrierten Geräten, die aber nicht verursacher sind, dass haben wir bereits getestet. Die Mobiltelefone der meisten Mitarbeiter sind auch getestet, ohne erfolg. Andere Engeräte existieren nicht in diesem Netz. Gestern haben wir das WLAN neu konfiguriert (andere SSID, neues Passwort), ohne Nutzer aufzunehmen und heute morgen gab es wieder eine Attacke. Das Gerät ist währenddessen auf der Fritzbox registriert und kann in der Netzwerkübersicht gefunden werden.
Wir konnten den Angriff lokal eingrenzen und wissen über welche AP der Angriff erfolgt aber unterbinden konnten wir es mit den bisherigen Maßnahmen nicht.
Nmap funktioniert während des Angriffs nicht, da die AP zu dem zeitpunkt auch nicht aus dem LAN erreichbar sind, sie werden quasi totgepingt.
1. Hat irgendjemand hier eine Idee welches Gerät sowas verursachen kann? Ich gehe nicht davon aus, dass einer der Mitarbeiter mit Absicht ein Schadgerät einbringt, da dies bei Entdeckung massive Konsequenzen nach sich ziehen würde.
2. Kennt jemand eine Software/Hardware, mit der man sowas aus den eigenen Reihen unterbinden kann? Ein DNS Blocker wie Adguard oder PiHole funktioniert nicht, haben wir schon getestet.
3. Gibt es ein Gerät, mit dem man diesen Sender physisch detektieren kann?
Vielen Dank für Eure Ideen, wir sind so langsam etwas Ratlos.
Als passiver Beobachter dieses Forums habe ich bereits viel gelernt, daher diesmal eine direkte Frage in die Runde.
ich suche seit einiger Zeit schon nach einer Lösung zu diesem Problem:
Ausgangssituation:
In unserem Unternhmen befindet sich getrennt vom Produktivnetz ein Wlan für die Mitarbeiter.
Der Internetzugang kommt von einer standard-DSL-Verbindung über eine FritzBox und wird von dort über einen 8port Cisco aufs Patchpanel übertragen, das in einige büros leitet. Dort sind AP, als LAN-Brücke, die das Wlan aufspannen. Jeder AP spannt ein eigenes Netz auf, mit der gleichen SSID und Passwörtern, damit man überall im Gebäude das gleiche WLAN nutzen kann. Es sind 4AP und es läuft "eigentlich" perfekt. Verschlüsselung ist wpa3, ssid ist versteckt, Passwort ist komplex, WLAN an der Fritzbox direkt ist deaktiviert, es gibt keine Schnittstellen mit dem Produktivnetz. DHCP läuft über die FritzBox, Mac-Filter ist auf jedem AP aktiviert und Konfiguriert. Die AP sind einfache tp-link RX500.
Wir sind in einer internationalen Umgebung, die Nationen sind aber in verschiedenen Gebäuden untergebracht und ähnliche Konfigurationen finden sich in allen Gebäuden, die WLAN überschneiden sich aber nicht im Bezug auf Empfangsreichweite und Kanal. Es gibt ca. 40 registrierte Nutzer im WLAN, von denen meist jedoch nur 10-15 gleichzeitig im Netz sind.
Problem:
Hin und wieder - zu Beginn alle 24h, inzwischen eher willkürlich - kommt ein Gerät ins Netz und überflutet das Netz mit DNS anfragen. Im Prinzip eine typische DOS attacke, aber aus dem eigenen WLAN. Der Angriff sorgt dafür, dass die AP nicht mehr erreichbar sind und somit das WLAN kollabiert. Per LAN an die Fritzbox angeschlossene Geräte können problemlos das Netz und das Internet nutzen. Mein Laptop ist per LAN angeschlossen (einziges Endgerät im LAN), so konnte ich die Attacke über Wireshark bestätigen.
Das angreifende Gerät nutzt bei jedem Login eine andere IP, die nicht im DHCP-Bereich des Netzes liegt und eine andere MAC-Adresse. Die MAC-Adressen sind manchmal sogar von im Netz registrierten Geräten, die aber nicht verursacher sind, dass haben wir bereits getestet. Die Mobiltelefone der meisten Mitarbeiter sind auch getestet, ohne erfolg. Andere Engeräte existieren nicht in diesem Netz. Gestern haben wir das WLAN neu konfiguriert (andere SSID, neues Passwort), ohne Nutzer aufzunehmen und heute morgen gab es wieder eine Attacke. Das Gerät ist währenddessen auf der Fritzbox registriert und kann in der Netzwerkübersicht gefunden werden.
Wir konnten den Angriff lokal eingrenzen und wissen über welche AP der Angriff erfolgt aber unterbinden konnten wir es mit den bisherigen Maßnahmen nicht.
Nmap funktioniert während des Angriffs nicht, da die AP zu dem zeitpunkt auch nicht aus dem LAN erreichbar sind, sie werden quasi totgepingt.
1. Hat irgendjemand hier eine Idee welches Gerät sowas verursachen kann? Ich gehe nicht davon aus, dass einer der Mitarbeiter mit Absicht ein Schadgerät einbringt, da dies bei Entdeckung massive Konsequenzen nach sich ziehen würde.
2. Kennt jemand eine Software/Hardware, mit der man sowas aus den eigenen Reihen unterbinden kann? Ein DNS Blocker wie Adguard oder PiHole funktioniert nicht, haben wir schon getestet.
3. Gibt es ein Gerät, mit dem man diesen Sender physisch detektieren kann?
Vielen Dank für Eure Ideen, wir sind so langsam etwas Ratlos.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671944
Url: https://administrator.de/forum/dos-attacke-aus-dem-eigenen-netz-671944.html
Ausgedruckt am: 16.04.2025 um 15:04 Uhr
29 Kommentare
Neuester Kommentar
Radius als Lösung?
Ich wuerde um es einzugrenzen einen AP nach dem anderen abstecken. Wenn man weiss an welchem AP der Problemuser angemeldet ist, schauen wer alles in Frage kommt. Dann die Geraete kontrollieren die in Frage kommen.
Ist bereits geschehen, gab kein Ergebnis. So konnten wir das Ganze lokal eingrenzen,
Mache ich mich mal schlau drüber übers Wochenende, klingt auf den ersten Blick gut.
BTW ich hab irgendwo was im Netz gefunden. Da hat ein Receiver (sowas wie ein VU+ auf Linux-Basis) auch ein komplettes LAN mit DNS-Anfragen geflutet. Das Ding war wohl defekt, bzw. hatte da die Konfig einen Fehler.
Von daher ist es so gar nicht mal so abwägig, dass da ein defektes Teil bei euch unwissentlich von einem Mitarbeiter eingebracht wird.
Von daher ist es so gar nicht mal so abwägig, dass da ein defektes Teil bei euch unwissentlich von einem Mitarbeiter eingebracht wird.
Nach welchen Adressen fragt denn der "Angreifer"?
Wie kann sich denn das "böse" Gerät neu einbuchen wenn das KW geändert ist?
Evtl hat ja jemand ein gerät per Kabel in den AP gesteckt.
btw: das Modell tp-link RX500 finde ich nicht
Evtl hat ja jemand ein gerät per Kabel in den AP gesteckt.
btw: das Modell tp-link RX500 finde ich nicht
Radius als Lösung?
Dafür reicht ein einfacher Raspberry Pi.Freeradius Management mit WebGUI
Du/ihr solltet damit das WLAN dann auf WPA Enterprise umstellen. (802.1x)
Entscheidend ist auch das man das Management der APs keinesfalls ins gleiche IP Netz legt wie die Gäste, denn damit exponiert man laienhaft die APs mit ihrer Management Schnittstelle ins Gästenetz und öffnet so natürlich Tür und Tor für Angriffe auf die WLAN Infrastruktur!
Die Verwendung eines Cisco Switches lässt vermuten das der VLAN fähig ist. Damit separiert man üblicherweise das Management Netz der APs in ein getrenntes VLAN und mappt das Gastnetz in ein separates VLAN (MSSID) dessen einziger IP Zugang die Fritzbox ist. So ist das gesamte WLAN Management völlig isoliert vom eigentlich Gastnetz und bietet keinerlei Angriffsfläche mehr. Vermutlich ist so eine sehr einfache Massnahme zur Sicherheit der AP Infrastruktur auch versäumt worden?!
So eine Lösung hätte auch den Vorteil das man das Management ins interne Netz legen könnte um die APs leicht managen zu können ohne umständlich umzustecken. Die VLANs sind ja physisch getrennt.
Eine reine Mac Authentisierung mit MAB kann man sich sparen, weil das schon bei der Mac Accessliste auf dem AP selber nicht geholfen hat und missbraucht wurde. Das lässt sich auch sehr einfach umgehen, denn Mac Adressen sind bekanntlich customizebar.
Das Verhalten sagt aber auch klar aus das jemand nicht nur das WLAN Passwort unbefugt weitergegeben hat sondern auch die in der Liste konfigurierten Mac Adressen. Ohne Kenntnis einer der Mac Adressen wäre ein Zugang zum Netz ja nicht möglich. Letztlich zeigt das auch das jemand der an wirklich sensible Insider Daten kommt diese missbraucht. Nach dem Neuaufsetzen von SSID und Passwort müssen diese Informationen dann wieder durch das gleiche Leck missbraucht worden sein, was nahelegt das jemand der Wissen vom WLAN und AP Setup hat oder an die Dokumentation dazu kommt dazu in der Lage ist.
Es zeigt einmal mehr das WLANs mit statischen Passwörtern eben niemals sicher sind! Solche statischen Passwörter kennt nach einer Zeitspanne die ganze Belegschaft, deren Freunde, Freunde (und Feinde) der Freunde usw. usw. Der klassische Angriff von innen.
Was alternativ zu WPA Enterprise noch möglich wäre sind Dynamic Preshared Keys also User bezogene WLAN Passwörter. Solche Features sind aber von der AP Hardware abhängig und können die Billo Chinesen TP Teile sicher nicht.
Hilfreich und zielführend wäre hier auch gewesen einmal einen Wireshark Screenshot dieser gefluteten DNS Frames zu posten. Insbesondere welche Zieladressen diese in den Frames nutzen und, wie oben schon gesagt, welche Hostnamen die auflösen wollen. Leider Fehlanzeige...
1
Moin.
Wie du geschrieben hast, konntest du den Angriff mit Wireshark beobachten. Dabei solltest du die MAC-Adresse des Senders erkennen können.
Viele Glück
TA
1. Hat irgendjemand hier eine Idee welches Gerät sowas verursachen kann? Ich gehe nicht davon aus, dass einer der Mitarbeiter mit Absicht ein Schadgerät einbringt, da dies bei Entdeckung massive Konsequenzen nach sich ziehen würde.
2. Kennt jemand eine Software/Hardware, mit der man sowas aus den eigenen Reihen unterbinden kann? Ein DNS Blocker wie Adguard oder PiHole funktioniert nicht, haben wir schon getestet.
3. Gibt es ein Gerät, mit dem man diesen Sender physisch detektieren kann?
2. Kennt jemand eine Software/Hardware, mit der man sowas aus den eigenen Reihen unterbinden kann? Ein DNS Blocker wie Adguard oder PiHole funktioniert nicht, haben wir schon getestet.
3. Gibt es ein Gerät, mit dem man diesen Sender physisch detektieren kann?
Wie du geschrieben hast, konntest du den Angriff mit Wireshark beobachten. Dabei solltest du die MAC-Adresse des Senders erkennen können.
- Einen Hinweis auf das Gerät liefert die OUI (sofern diese nicht gefälscht ist) https://www.heise.de/netze/tools/mac
- Du kannst im Netzwerk verfolgen, an welchem Port die MAC anliegt (wird wohl besagter AP sein)
Hast du die Möglichkeit die MAC auf eine Blacklist zu setzen? Sollte sich die MAC danach ändern, deutet das auf eine menschlichen Eingriff und nicht nur ein amoklaufendes Gerät hin.
- Mit Radius hast du auch die Chance, den Verursacher auf einen User einzugrenzen.
Viele Glück
TA
Dabei solltest du die MAC-Adresse des Senders erkennen können.
Da der TO schon eine statische Mac Zugangsliste in den WLAN APs nutzt um die Nutzer daran zu identifizieren muss der Angreifer eine dieser Mac's nutzen. Er hat also schon eine entsprechende Whitelist in den APs aktiv! (Zitat von oben: "Mac-Filter ist auf jedem AP aktiviert und Konfiguriert...")Interessant und spassig wird es wenn der originäre Besitzer dieser Mac zusätzlich ins Netz kommt. Doppelte Mac Adressen sieht Ethernet nicht vor!
3. Gibt es ein Gerät, mit dem man diesen Sender physisch detektieren kann?
Die Position eines WLAN-Gerätes ließe sich mit Triangulation/Trilateration bestimmen, aber vermutlich wird dieses Verfahren nicht von der vorhandenen Hardware unterstützt...?
1
Zitat von @aqui:
Das Verhalten sagt aber auch klar aus das jemand nicht nur das WLAN Passwort unbefugt weitergegeben hat sondern > auch die in der Liste konfigurierten Mac Adressen. Ohne Kenntnis einer der Mac Adressen wäre ein Zugang zum Netz > ja nicht möglich. Letztlich zeigt das auch das jemand der an wirklich sensible Insider Daten kommt diese missbraucht. > Nach dem Neuaufsetzen von SSID und Passwort müssen diese Informationen dann wieder durch das gleiche Leck
missbraucht worden sein, was nahelegt das jemand der Wissen vom WLAN und AP Setup hat oder an die
Dokumentation dazu kommt dazu in der Lage ist.
Das Verhalten sagt aber auch klar aus das jemand nicht nur das WLAN Passwort unbefugt weitergegeben hat sondern > auch die in der Liste konfigurierten Mac Adressen. Ohne Kenntnis einer der Mac Adressen wäre ein Zugang zum Netz > ja nicht möglich. Letztlich zeigt das auch das jemand der an wirklich sensible Insider Daten kommt diese missbraucht. > Nach dem Neuaufsetzen von SSID und Passwort müssen diese Informationen dann wieder durch das gleiche Leck
missbraucht worden sein, was nahelegt das jemand der Wissen vom WLAN und AP Setup hat oder an die
Dokumentation dazu kommt dazu in der Lage ist.
Wenn ein böser Junge es drauf anlegt kann man problemlos den Wifi Verkehr mitsniffen und somit MAC Adressen herausfinden die sich auf die SSID des WLANs verbinden, und somit problemlos MAC Adressen spoofen.
Mit entsprechendem Equipment kann man das in 5 Minuten herausfinden und erledigen wenn man will. Kostet nicht mehr als 150,- ....
Und Passwort kann man entsprechend auch knacken man muss nur paar GB an Datenverkehr mitsniffen, ist innerhalb von 24 Stunden meist machbar.
Wenn es jemand drauf anlegt das WLAN zu knacken ist das machbar, nur eine Frage der Zeit.
Daher wie du richtig sagtest: WLANs mit Login + PW gesichert sind leider kein wirkliches Hindernis.
Besser per Zertifikat das Login sichern und/oder 802.1x.
Kostet nicht mehr als 150,-
Mit dem Wireshark ist es sogar kostenlos! Und Passwort kann man entsprechend auch knacken
Zitat des TO: "Verschlüsselung ist wpa3"Dann wohl eher nicht!
Moin,
auch ich weiß nicht, welche Geräte Ihr einsetzt, die genannten finde ich nicht.
Spanne auf dem AP mehrere WLANs mit unterschiedlichen Zugangsdaten auf und gib die Zugangsdaten an möglichst wenige Enduser. Wenn irgend möglich, sogar 1 User = 1 Zugang, und einige User haben dann halt zunächst keinen Zugang. Dann kannst Du das so weit eingrenzen, dass Du weist, wer dahinter steckt (denn nach dem, was Du schilderst, muss es ja jemand sein, der die Zugangsdaten kennt).
Alternativ - und im Ergebnis noch zielgenauer - natürlich über Radius = 1 User, 1 Zugang. Damit bekommst Du den Übeltäter auch direkt.
Gruß
DivideByZero
auch ich weiß nicht, welche Geräte Ihr einsetzt, die genannten finde ich nicht.
Das angreifende Gerät nutzt bei jedem Login eine andere IP, die nicht im DHCP-Bereich des Netzes liegt und eine andere MAC-Adresse. Die MAC-Adressen sind manchmal sogar von im Netz registrierten Geräten, die aber nicht verursacher sind, dass haben wir bereits getestet.
Wie geht das denn? Du sagst, Ihr habt eine whitelist, und dann sind die MAC-Adressen nur manchmal solche von im Netz registrierten Geräten?Gestern haben wir das WLAN neu konfiguriert (andere SSID, neues Passwort), ohne Nutzer aufzunehmen und heute morgen gab es wieder eine Attacke. Das Gerät ist währenddessen auf der Fritzbox registriert und kann in der Netzwerkübersicht gefunden werden.
Mach das doch mal anders. Nimm die unbekannten TP-Link Geräte raus. Kauf einen verwaltbaren vernünftigen AP (ist das Budget entscheidend: auch bei TP-Link gibt es welche, die verwaltet werden können). Installiere ihn dort, wo Du weißt, dass die Probleme örtlich herkommen.Spanne auf dem AP mehrere WLANs mit unterschiedlichen Zugangsdaten auf und gib die Zugangsdaten an möglichst wenige Enduser. Wenn irgend möglich, sogar 1 User = 1 Zugang, und einige User haben dann halt zunächst keinen Zugang. Dann kannst Du das so weit eingrenzen, dass Du weist, wer dahinter steckt (denn nach dem, was Du schilderst, muss es ja jemand sein, der die Zugangsdaten kennt).
Alternativ - und im Ergebnis noch zielgenauer - natürlich über Radius = 1 User, 1 Zugang. Damit bekommst Du den Übeltäter auch direkt.
Gruß
DivideByZero
...welche Geräte Ihr einsetzt, die Genannten finde ich nicht.
Möglich das der TO "RE500X" meint aber das kann auch nicht sein denn das sind keine APs sondern nur dumme Repeater mit denen so ein strukturiertes WLAN wie das oben beschriebene nicht zu realisieren ist. Bleibt also ein Mysterium...
Zitat von @aqui:
Dann wohl eher nicht!
Kostet nicht mehr als 150,-
Mit dem Wireshark ist es sogar kostenlos! Und Passwort kann man entsprechend auch knacken
Zitat des TO: "Verschlüsselung ist wpa3"Dann wohl eher nicht!
Mit Wireshark musst du aber am Netz sein
passives mitsniffen geht nur mit entsprechender Hardware...
musst mal WLAN mittracen jeden furz weil Geschäftsführer Pranoia hatte...
Ja WPA3 hab ich wohl überlesen... da bin ich nicht auf dem aktuellen stand was die voraussetzungen sind und/oder obs geht.
Interessanter Artikel:
https://www.gosecurity.ch/dragonblood-vulnerability-wpa3-standard-geknac ...
da wird dann auch über DOS Attacken geredet im zusammenhang mit dem versuch WPA3 zu hacken.
Eventuell hast du da ein Problem.
siehe im Artikel:
Side-Channel und Denial-of-Service
Fazit:
In der Stellungnahme der Wi-Fi Alliance (WFA) können diese Sicherheitslücken durch Software-Updates geschlossen werden. Daher gilt es für Sie, Wenn Sie den WPA3-Standard schon im Einsatz haben, unbedingt nach Software-Updates zu suchen und diese zu installieren. Weiter empfehlen wir Ihnen, komplexe WLAN-Passwörter von mindestens 16-Zeichen zu verwenden.
https://www.gosecurity.ch/dragonblood-vulnerability-wpa3-standard-geknac ...
da wird dann auch über DOS Attacken geredet im zusammenhang mit dem versuch WPA3 zu hacken.
Eventuell hast du da ein Problem.
siehe im Artikel:
Side-Channel und Denial-of-Service
Fazit:
In der Stellungnahme der Wi-Fi Alliance (WFA) können diese Sicherheitslücken durch Software-Updates geschlossen werden. Daher gilt es für Sie, Wenn Sie den WPA3-Standard schon im Einsatz haben, unbedingt nach Software-Updates zu suchen und diese zu installieren. Weiter empfehlen wir Ihnen, komplexe WLAN-Passwörter von mindestens 16-Zeichen zu verwenden.
Tja, wenn die Zugangsdaten geändert wurden und das Gerät sofort wieder im Netz ist seit ihr evtl kompromittiert bzw dein Rechner (das wäre zumindest mein erster Gedanke, das sollte man als ersten Punkt ausschließen bevor man überhaupt weitere Schritte angeht, wäre ja worst-case)? Dann liest und sieht der Angreifer quasi alles was du an deinem PC so machst.
Um die WPA3 Lücke auszuschließen könnte man auf WPA2 umstellen und dann schauen. Oder man gibt dem Angreifer ein präparietes WLAN und snifft wohin ausgehende Verbindungen gehen vielleicht findet man hier Anhaltspunkte. Hier gibt es viele Möglichkeiten wo man Detektiv spielen kann.
Um die WPA3 Lücke auszuschließen könnte man auf WPA2 umstellen und dann schauen. Oder man gibt dem Angreifer ein präparietes WLAN und snifft wohin ausgehende Verbindungen gehen vielleicht findet man hier Anhaltspunkte. Hier gibt es viele Möglichkeiten wo man Detektiv spielen kann.
1
Kein Feedback des TOs ist natürlich auch ein Feedback...
Wenn die Thematik gelöst ist bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wenn die Thematik gelöst ist bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Mich hats die Woche ins Bett verbannt, daher gabs noch keine Antworten, sei nicht so ungeduldig 
. Nächste Woche werde ich mich mit dem Thema wieder beschäftigen und dann auch ein Update der Situation bringen und ein paar Screenshots, wenn möglich.
Danke schonmal für die Antworten.
Hier noch ein paar schnelle Antworten auf bisherige Beiträge :
- Die Geräte wurden schrittweise getrennt um die Herkunft zu lokalisieren
- Das Passwort wurde nicht weitergegeben, da nur 2 Leute das Passwort kannten zum Zeitpunkt der letzten DNS-Flut
- Bei den Geräten handelt es tatsächlich um RE500X, also dumme Repeater, die auch kein Radius unterstützen.
- Es handelt sich hier um ein privat finanziertes Netz, daher gibts auch keine teuren Komponenten
- Wie das mit den MAC-Adressen läuft versteh ich beim besten willen nicht, aber es wurden MAC aus der Whitelist "immitiert"
- WPA 2 wurde am Anfang verwendet, als der ganze Zirkus losging, wird also nix mit der Verschlüsselung selbst zu tun haben
- Zzt gehe ich davon aus, dass ein oder mehrere Geräte einen Defekt haben und die Anfragen von den Geräten selbst kommen
- Die Adressen, die meistens angefragt wurden waren entweder von Apple oder Google.
Mehr gibts nächste Woche.
. Nächste Woche werde ich mich mit dem Thema wieder beschäftigen und dann auch ein Update der Situation bringen und ein paar Screenshots, wenn möglich.Danke schonmal für die Antworten.
Hier noch ein paar schnelle Antworten auf bisherige Beiträge :
- Die Geräte wurden schrittweise getrennt um die Herkunft zu lokalisieren
- Das Passwort wurde nicht weitergegeben, da nur 2 Leute das Passwort kannten zum Zeitpunkt der letzten DNS-Flut
- Bei den Geräten handelt es tatsächlich um RE500X, also dumme Repeater, die auch kein Radius unterstützen.
- Es handelt sich hier um ein privat finanziertes Netz, daher gibts auch keine teuren Komponenten
- Wie das mit den MAC-Adressen läuft versteh ich beim besten willen nicht, aber es wurden MAC aus der Whitelist "immitiert"
- WPA 2 wurde am Anfang verwendet, als der ganze Zirkus losging, wird also nix mit der Verschlüsselung selbst zu tun haben
- Zzt gehe ich davon aus, dass ein oder mehrere Geräte einen Defekt haben und die Anfragen von den Geräten selbst kommen
- Die Adressen, die meistens angefragt wurden waren entweder von Apple oder Google.
Mehr gibts nächste Woche.
Beim Wort "Repeater" in einem Firmen- oder zumindestens in einem produktiven WLAN in einem professionellen Umfeld kann man oben getrost aufgehören zu lesen!
Fakt ist das mit einem WPA3 Passwort, sofern dies nicht ein Banalpasswort ist was mit einer Wörterbuchattacke knackbar ist, keiner Zugriff bekommt. Es sei denn derjenige der es erstellt hat gibt es weiter?!
Die Mac Adresse sowie das Verstecken des WLANs ist eher Spielkram, denn jeder beliebige WLAN Scanner wie z.B. WiFiInfoView oder die WiFi Analyzer Apps aus dem Android Store zeigen diese SSIDs sofort an.
Das SSID Beaconing abzuschalten ist auch eher kontraproduktiv für die Kanal Autodetection und ist nicht besonders intelligent das zu aktivieren.
Mac Adress Filter ist ebenso keine große Hürde aber bei einem Passwort was an zig User offen weitergeben wird dann schon wichtig. Allerdings sind die Mac Adressen sehr leicht fakebar und somit auch keine wirkliche Hürde für einen Angreifer.
Wenn du es wirklich sicher und wasserdicht haben willst dann schmeisst du den Repeater Schrott raus und machst eine saubere Authentisierung mit WPA-Enterprise. Alles andere ist Spielkram und wird niemals sicher und vor allem rechtssicher zu betreiben sein. Man stelle sich nur vor wenn über das Security Loch strafbewehrte Inhalte über dieses WLAN hochgeladen werden. Dann hast du noch ganz andere Probleme.
So ein quasi offenes WLAN mit solch dilettantischer Hardware zu betreiben ist schlicht fahrlässig und damit ist es auch letzlich egal ob Geräte defekt sind oder nicht weil die Infrastruktur selber schon laienhaft betrieben wird. Harte Worte aber so ist ja nun mal die Situation.
Wenn es Budget abhängig ist hätte man sich für 20 Euro refurbished Premium APs beschafft mit denen man sowas wasserdicht betreibt. Wohlgemerkt APs und keine Billo Repeater für Heimnetze.
Fakt ist das mit einem WPA3 Passwort, sofern dies nicht ein Banalpasswort ist was mit einer Wörterbuchattacke knackbar ist, keiner Zugriff bekommt. Es sei denn derjenige der es erstellt hat gibt es weiter?!
Die Mac Adresse sowie das Verstecken des WLANs ist eher Spielkram, denn jeder beliebige WLAN Scanner wie z.B. WiFiInfoView oder die WiFi Analyzer Apps aus dem Android Store zeigen diese SSIDs sofort an.
Das SSID Beaconing abzuschalten ist auch eher kontraproduktiv für die Kanal Autodetection und ist nicht besonders intelligent das zu aktivieren.
Mac Adress Filter ist ebenso keine große Hürde aber bei einem Passwort was an zig User offen weitergeben wird dann schon wichtig. Allerdings sind die Mac Adressen sehr leicht fakebar und somit auch keine wirkliche Hürde für einen Angreifer.
Wenn du es wirklich sicher und wasserdicht haben willst dann schmeisst du den Repeater Schrott raus und machst eine saubere Authentisierung mit WPA-Enterprise. Alles andere ist Spielkram und wird niemals sicher und vor allem rechtssicher zu betreiben sein. Man stelle sich nur vor wenn über das Security Loch strafbewehrte Inhalte über dieses WLAN hochgeladen werden. Dann hast du noch ganz andere Probleme.
So ein quasi offenes WLAN mit solch dilettantischer Hardware zu betreiben ist schlicht fahrlässig und damit ist es auch letzlich egal ob Geräte defekt sind oder nicht weil die Infrastruktur selber schon laienhaft betrieben wird. Harte Worte aber so ist ja nun mal die Situation.
Wenn es Budget abhängig ist hätte man sich für 20 Euro refurbished Premium APs beschafft mit denen man sowas wasserdicht betreibt. Wohlgemerkt APs und keine Billo Repeater für Heimnetze.
Ausgangssituation:
Der Internetzugang kommt von einer standard-DSL-Verbindung über eine FritzBox und wird von dort über einen 8port Cisco aufs Patchpanel übertragen, das in einige büros leitet. Dort sind AP, als LAN-Brücke, die das Wlan aufspannen. Jeder AP spannt ein eigenes Netz auf, mit der gleichen SSID und Passwörtern, damit man überall im Gebäude das gleiche WLAN nutzen kann. Es sind 4AP und es läuft "eigentlich" perfekt. Verschlüsselung ist wpa3, ssid ist versteckt, Passwort ist komplex, WLAN an der Fritzbox direkt ist deaktiviert, es gibt keine Schnittstellen mit dem Produktivnetz. DHCP läuft über die FritzBox, Mac-Filter ist auf jedem AP aktiviert und Konfiguriert. Die AP sind einfache tp-link RX500.
Wir sind in einer internationalen Umgebung, die Nationen sind aber in verschiedenen Gebäuden untergebracht und ähnliche Konfigurationen finden sich in allen Gebäuden, die WLAN überschneiden sich aber nicht im Bezug auf Empfangsreichweite und Kanal. Es gibt ca. 40 registrierte Nutzer im WLAN, von denen meist jedoch nur 10-15 gleichzeitig im Netz sind.
Der Internetzugang kommt von einer standard-DSL-Verbindung über eine FritzBox und wird von dort über einen 8port Cisco aufs Patchpanel übertragen, das in einige büros leitet. Dort sind AP, als LAN-Brücke, die das Wlan aufspannen. Jeder AP spannt ein eigenes Netz auf, mit der gleichen SSID und Passwörtern, damit man überall im Gebäude das gleiche WLAN nutzen kann. Es sind 4AP und es läuft "eigentlich" perfekt. Verschlüsselung ist wpa3, ssid ist versteckt, Passwort ist komplex, WLAN an der Fritzbox direkt ist deaktiviert, es gibt keine Schnittstellen mit dem Produktivnetz. DHCP läuft über die FritzBox, Mac-Filter ist auf jedem AP aktiviert und Konfiguriert. Die AP sind einfache tp-link RX500.
Wir sind in einer internationalen Umgebung, die Nationen sind aber in verschiedenen Gebäuden untergebracht und ähnliche Konfigurationen finden sich in allen Gebäuden, die WLAN überschneiden sich aber nicht im Bezug auf Empfangsreichweite und Kanal. Es gibt ca. 40 registrierte Nutzer im WLAN, von denen meist jedoch nur 10-15 gleichzeitig im Netz sind.
Wie sollen Repeater denn AP'S / LAN-Brücke spielen?
Wäre ich dort der CIO/CISO .... ich würd die Dinger verbannen.
1
Jupp, das gebrückte Funknetz ist schon sehr komisch.
Aber beim eigentlichen Problem bin ich da auch dabei, dass es ein defektes Gerät im Wlan ist, das freidreht.
Theoretisch reicht es, das Passwort zu ändern und die User dann nach und nach ins Wlan zu lassen.
Schwieriger wirds, wenn das defekte Teil nicht sofort rumwütet sondern erst nach einer Zeit oder wenn da was damit gemacht wird. Dann heißts evtl. rumlaufen und die Geräte manuell rausschmeißen, bis man das richtge gefunden hat.
Aber beim eigentlichen Problem bin ich da auch dabei, dass es ein defektes Gerät im Wlan ist, das freidreht.
Theoretisch reicht es, das Passwort zu ändern und die User dann nach und nach ins Wlan zu lassen.
Schwieriger wirds, wenn das defekte Teil nicht sofort rumwütet sondern erst nach einer Zeit oder wenn da was damit gemacht wird. Dann heißts evtl. rumlaufen und die Geräte manuell rausschmeißen, bis man das richtge gefunden hat.
dass es ein defektes Gerät im Wlan ist, das freidreht.
Das der Defekt dann aber dazu führt das dieses "Gerät" sich Mac Adressen einer geschlossenen Liste aneignet und gleichzeitig dazu auch noch ein geheimes WPA3 Passwort wäre dann aber schon ein sehr außergewöhnlicher "Defekt". 🤔
Wenn das nun die Lösung ist bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Die Lösung war am Ende so unspektakulär wie unerwartet.
Der Cisco war im Eimer und hat angefangen loops zu bauen, weil er die Konfiguration über den Haufen geworfen hat und stp nicht mehr gelaufen ist. Neukonfiguration war auch nicht möglich. Haben das Gerät letzte Woche ausgetauscht gegen ein baugleiches und seit dem gibts keine Probleme mehr.
Der Cisco war im Eimer und hat angefangen loops zu bauen, weil er die Konfiguration über den Haufen geworfen hat und stp nicht mehr gelaufen ist. Neukonfiguration war auch nicht möglich. Haben das Gerät letzte Woche ausgetauscht gegen ein baugleiches und seit dem gibts keine Probleme mehr.
Fragen über Fragen:
Wie kann ein 8 Port Switch an dem nur AP' ran hängen ein Loop bauen und STP brauchen?
Wie können WLAN Repeater WLAN Bridge spielen
Nicht das die "AP's" alle einen Uplink haben und Mesh machen und der arme Cisco vor lauter Loop bekämpfen den Dienst eingestellt hat.
@Aldritch: Magst du uns einmal erleuchten was da genau verbaut war und warum der Cisco stp machen muss ?
Wie kann ein 8 Port Switch an dem nur AP' ran hängen ein Loop bauen und STP brauchen?
Wie können WLAN Repeater WLAN Bridge spielen
Nicht das die "AP's" alle einen Uplink haben und Mesh machen und der arme Cisco vor lauter Loop bekämpfen den Dienst eingestellt hat.
@Aldritch: Magst du uns einmal erleuchten was da genau verbaut war und warum der Cisco stp machen muss ?
und hat angefangen loops zu bauen
Vermutlich wohl eher ein PEBKAC Problem, denn das macht auch ein defekter Cisco nicht.und warum der Cisco stp machen muss ?
Generell sollte ein L2 Switch immer Spanning Tree aktiv haben allein schon zur Sicherheit. (Loop Prevention)Was bei Cisco oft übersehen wird, sofern Catalyst Switches zum Einsatz kommen, ist das die PVSTP+ als Spanning Tree Default verwenden. Ein Cisco proprietäres Spanning Tree Protokoll mit proprietären BPDU Mac Adressen was NICHT zu Single Span Designs mit klassischen STP oder RSTP kompatibel ist. Dann kommt es zwangsweise zu Loop Effekten.
Wer dies in einem gemischten Design nicht beachtet und einen Catalysten in so einem Umfeld betreibt muss sich nicht groß wundern.
Den Catalysten muss man in dem Fall zwingend auf den MSTP Standard umstellen damit dieser halbwegs kompatibel ist mit Fremdherstellern. Ein Umstand der von Laien häufig aus Unkenntnis übersehen wird.
Aber egal...wenn das Frickeldesign nun rennt ist ja alles gut. Case closed!
Du hast vollkommen recht.
Aber wie will man hier einen Loop bekommen?
Fritzbox <--> CISCO < 8 x --> AP
Da hat uns doch TO elementare Hinweise / Geräte vorenthalten....
Aber wie will man hier einen Loop bekommen?
Fritzbox <--> CISCO < 8 x --> AP
Da hat uns doch TO elementare Hinweise / Geräte vorenthalten....
