bjarne
Goto Top

Gehackter WLAN Router

Hi, ich habe gerade per IPconfig und arp festgestellt, dass sich eine fremde MAC-Adresse in mein Netz gehängt hat und seitdem munter Daten über meinen WLAN Router schleust. Meine Frage ist jetzt, wie kann ich von der MAC-Adresse auf die IP kommen und wie kann ich verhindern, dass das noch mal passiert.
Der Router (Gigaset SE515 DSL) ist über ein PW gesichert, die Datenübertragung ist 128 Bit verschlüsselt, die SSID ist (noch) sichtbar (das werd ich gleich aber ändern) und - was ich mal gar nicht verstehe - die Zugangskontrolle läuft über fest eingetragene MAC-Adressen und trotzdem kommt er rein.

Wäre für jede Hilfe oder Anregung dankbar. Hab nälich nur einen Volumentarif und langsam wird die Sache ziemlich kostspielig für mich. Allein letzten Monat hatte ich ~30? mehr auf der Rechnung als sonst.

Content-ID: 12795

Url: https://administrator.de/contentid/12795

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

TomS2
TomS2 06.07.2005 um 12:21:14 Uhr
Goto Top
Hallo Bjarne!

Ist bei deinem Router ein sog. "PnP-Modus" einstellbar? Ich hatte ein ähnliches Phänomen mal bei einem D-Link-Router. Dort war es nämlich bei einem aktivierten "PnP-Modus" möglich, daß sich verschiedene Applikationen bei Bedarf selber Ports freischalten konnten. Vielleicht ist dies ja hier ähnlich, nur halt mit zusätzlichen MAC-Adressen.

Gruß

Thomas
AdMac
AdMac 06.07.2005 um 12:22:42 Uhr
Goto Top
Hallo!

Einen Router, der noch kein WPA unterstützt, also nur WEP, sollte wenigstens so abgesichert werden:

-WEP 128 Bit (oder höher)
-SSID nicht sichtbar
-Zugang nur für berechtigte MAC-Adressen zulassen
-DHCP abschalten (falls doch nötig den Adressbereich so klein wie möglich halten, d.h. nur so viele Adressen vergeben wie maximale Anzahl an Clients)
-wenn nicht benötigt, Router abschalten

Gruß
mac
Zyrex
Zyrex 06.07.2005 um 12:37:20 Uhr
Goto Top
besorgt dir Ethereal, sniff mit, zeichne es auf! <- Beweis

er dringt wenn durch dein WLAN ein d.h. er muss in der nähe sein.
Locale Firewall ist im WLAN angebracht (Medium Luft)!
einfache TCP/IP Dienste deaktivieren .. standard freigaben der Laufwerke (siehe Net Share) löschen.
Wenn er mal nicht da ist (ist ein Mensch) Verschlüsslung ändern, SSID aufjedenfall verstecken .. was der macht ist nicht nur ein Einbruch (was ja reizen kann) sondern er schädigt dich und hat damit nicht den Namen Hacker nicht verdient!!!!!!!!!!!!!!!! (bin da konservativ)
die MAC (ich weiß leider nicht wie - wenn ihn hast soll er es uns verraten;) ) liegt irgendwo im RAM und kann einfach überschrieben werden.
Zugangskontrolliste verhindert vielleicht (??) nur den Zugriff auf die Routerkonfig. und nicht die Nutzung als Gateway, aber eigentlich hätte ich auch gedacht das sie auf OSI Schicht 2 filtert.

verwendest du DHCP Server .. alles unnötige (Datenverkehr) eliminieren!

was für OS hast du???

er könnte auch einen Daemon auf deinem System (ähnlich zu Trojaner) plaziert haben .. aktuelle AntiVirus Anwendung aktiv?
(evtl. über netstat - aktive Verbindungen zu entdecken)
ein Blick in die Routingtabelle netstat -r könnte auch nicht schaden face-smile
BartSimpson
BartSimpson 06.07.2005 um 12:59:07 Uhr
Goto Top
ich würde das WLAN immer in einem extra Netz betreiben mit VPN drüber.
Bjarne
Bjarne 06.07.2005 um 16:53:36 Uhr
Goto Top
Hey, das ging ja schnell. Danke für die ganzen Antworten. Hab sie soweit ich konnte umgesetzt.

SSID ist unsichtbar, der SSID Name ist geändert, PW für den Router und für die 128-Bit WEP Verschlüsselung auch.
Die Freigabe erfolgt eigentlich generell über eingetragene MAC-Adressen.
Der DHCP-Bereich ist beschränkt auf 3 IP-Adressen.

Meine Rechner habe ich mit Norton 05 und dem Housecall nach Viren überprüft, sind alle sauber. Das gleiche gilt für für Spyware. Alles negativ.

Trotzdem habe ich noch einen erheblichen Upload über meinen Router. Ich habe also meine Rechner hier alle vom Netz genommen und den Router angelassen und trotzdem kommt er in mein Netz. Das übertragene Datenvolumen wird vom Router protokolliert.
Vor allem ist der Upload 9 mal höher ist als der Download. Komisch komisch.

Hat irgend jemand eine Idee wie ich Ihn aus meinem Netz halten kann bzw. wie er reinkommt.
mascho
mascho 06.07.2005 um 17:27:58 Uhr
Goto Top
Hallo Bjarne,

ich hab mal gehört, dass mit bestimmten Linuxprogs innerhalb von wenigen Minuten eine WEP-Verschlüsselung geknackt werden kann. Ebenso gibt es Progs, die bestimmte MAC- Adressen emulieren können...
Nur WPA soll (noch)einen guten Schutz bieten. google mal nach wardriving, bringt sicher ein paar Infos zur vorgehensweise des Eindringlings.

Sonst sehe ich nur Wireless abschalten bei Nichtgebrauch, probieren die Sendeleistung zu verringern oder Router der WPA kann, einsetzen.

Gruss Martin
BartSimpson
BartSimpson 06.07.2005 um 18:20:43 Uhr
Goto Top
Die MAC brauchts nicht emulieren. Die kannste selbst unter Windows mit einem klick ändern.
Bjarne
Bjarne 06.07.2005 um 21:28:58 Uhr
Goto Top
Hi,
das ändern der MAC wird nicht so viel bringen, da u.a. die MAC-Adresse unverschlüsselt mit den Paketen zum Router geschickt werden und dadurch mit einem einfachen Traserprogramm ausgelesen werden können. Auch wenn der Rest der Daten verschlüsselt übertragen wird.
BartSimpson
BartSimpson 06.07.2005 um 21:37:41 Uhr
Goto Top
Am besten ist es immer noch WPS2 oder WPA mit Radius zu benutzte. Und das ganze durch ein VPN zu schützen. Nur leider ist der Aufwand ziemlich gross und nicht jeder WPA AP unterstützt Radius
Zyrex
Zyrex 07.07.2005 um 08:49:04 Uhr
Goto Top
@Bjarne: hast dir mal einen sniffer besorgt, log doch den Datenverkehr mal mit, dann weißt du immerhin was er macht. Somit kannste z.B. auch Trojaner (Backdoors) entdecken.

[zitat]
Upload 9 mal höher ist als der Download
[/zitat]

^das ist wirklich ein gewaltiger Unterschied (umgekehrt würds weniger wundern).
Besitzt du Webspace, pflegst eine o. mehrere HPs?
Stellst du Musik o. sonstige Files zum Download für andere Bereit .. ?

@Bart Simpson: wie geht das unter Windows? face-smile please tell me the secret