lordgurke
Goto Top

WPA2 doch nicht so sicher?

Hallo zusammen,

vor ein paar Tagen ist mir durch Zufall aufgefallen, dass obwohl alle Rechner ganz sicher ausgeschaltet waren, immer wieder längere Broadcasts ins Netz geschickt wurden - also so etwa 4-5 Sekunden lang war da ordentlich was los am Router.
Neugierig wie ich bin, habe ich mich dann über Kabel mit dem Router verbunden und mit Ethereal mal ein wenig reingehorcht.
Das war dann etwas, was dort während des Broadcasts so um die 50 Mal geschickt wurde (MAC zensiert):

IntelCor_65:b3:?? Broadcast XID Basic Format; Type 1 LLC (Class I LLC); Window Size 0

Ich bin mir ziemlich sicher, dass diese MAC-Adresse nicht zu meinem Netz gehört, das habe ich sofort geprüft, bleibt also noch das WLAN.
Dieses ist jedoch mit einem 63 Zeichen starken Schlüssel mit Groß- Kleinschreibung und Zahlen verschlüsselt, Verschlüsselungsverfahren ist/war diese Mischung aus WPA+WPA2, ergo AES+TKIP.
Ist das einfach eine ungünstige Konstellation, die evtl. anfällig für Angriffe ist? Hatte in den Tagen vorher ziemlich guten WLAN-Traffic, wenn da also jemand was gesnifft haben sollte, hatte er definitiv genug Pakete (Skype-Gespräche über WLAN).
Habe den Schlüssel sofort abgeändert und das Verschlüsselungsverfahren auf reines WPA mit TKIP umgestellt.
Was würdet ihr empfehlen?


Danke schonmal

Content-ID: 81695

Url: https://administrator.de/contentid/81695

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

thekingofqueens
thekingofqueens 26.02.2008 um 15:19:24 Uhr
Goto Top
Mal die Clients überprüft? WPA2, was will man denn noch mehr.
kaffeezombie
kaffeezombie 26.02.2008 um 15:28:12 Uhr
Goto Top
WPA2 aufmachen - ist doch schon ein wenig anstrengend

http://de.wikipedia.org/wiki/Wpa2
LordGurke
LordGurke 26.02.2008 um 15:37:15 Uhr
Goto Top
Meinst du wegen Trojanern?
Auf den Clients, die ins WLAN kommen, habe ich Kaspersky Antivirus drauf - und es war zu dem Zeitpunkt ganz sicher kein Client angemeldet, weil ich alleine zu Hause war und selbst gerade ins Bett wollte face-smile
aqui
aqui 26.02.2008 um 15:41:02 Uhr
Goto Top
Derzeit sind weltweit keine Angriffe auf WPA2 bekannt.
Kann also nur sein das du dein Passwort verraten hast face-smile

Was sind das denn für Packete ?? Bzw. wer sendet die ???
Da dein WLAN nur als Bridge zum Kabel LAN arbeitet müssen zwangsläufig diese Packete auch auf dem Kabel auftauchen, denn Broadcasts müssen geforwardet werden.
Zur Not ziehst du sukzessive alles der Reihe mal ab bis auf den Sniffer. Laut Mac Vendor Code ist es irgendwas mit Intel Hardware.

Vermutlich hast du dort einen Dienst der sich selber announced oder sowas (NAS Speicher, Media Streamer, etc. etc....) Ggf. der Router selber wenn er LLDP.
Mit an Sicherheit grenzender Wahrscheinlichkeit wird das ein UPnP Dienst sein den du irgendwo abschalten musst. Nicht aber ein Einbruch in dein WLAN....es sei denn jemand kennt noch dein PW.
LordGurke
LordGurke 26.02.2008 um 17:29:48 Uhr
Goto Top
Ich würde eher vermuten, dass jemand, der schonmal im Netz war, das Passwort erraten oder mit Keylogger abgefangen hat.
Normalerweise sage ich das nicht, ich gebe das selbst ein oder reiche ein Kabel, wenn jemand ins Netz will. (Allerdings kann ich mir niemanden vorstellen, der Nachts um halb zwei da reinwill...)
Bei mir habe ich 3 Rechner und 1 Notebook im Netz - und alles ist AMD-Hardware, daher kann ich auf jeden Fall sagen, dass es von den bekannten Clients keiner gewesen sein kann face-wink
Und das war auch der Grund, warum ich mich noch mehr über die Broadcasts gewundert habe.

Die Pakete habe ich übrigens per Kabel abgefangen, aber ich gehe davon aus, dass sie übers WLAN kamen, denn man hat deutlich eine geringe Verzögerung zwischen WLAN-Aktivität und der LAN-Aktivität gesehen (muss aber nichts heißen).
Nachdem ich das Passwort geändert habe, sind diese merkwürdigen Broadcasts auch nicht mehr aufgetaucht, habe sogar extra meinen Laptop an einigen Tagen und Nächten einfach mal sniffen lassen.
Aber außer dem eben genannten repräsentativen Paket (welches insgesamt gut 200 Mal ins Netz geschossen wurde) ist nichts gekommen - und außer der MAC-Adresse habe ich dazu keine weiteren Informationen.
Die Capture-Datei habe ich allerdings noch auf der Festplatte, wenn Interesse besteht, kann ich die mal hochladen.
firebird3000
firebird3000 26.02.2008 um 18:14:06 Uhr
Goto Top
Bei mir habe ich 3 Rechner und 1 Notebook im
Netz - und alles ist AMD-Hardware, daher kann
ich auf jeden Fall sagen, dass es von den
bekannten Clients keiner gewesen sein kann
face-wink

Können AMD Prozessoren keine Broadcats versenden?


Die Pakete habe ich übrigens per Kabel
abgefangen, aber ich gehe davon aus, dass sie
übers WLAN kamen, denn man hat deutlich
eine geringe Verzögerung zwischen
WLAN-Aktivität und der
LAN-Aktivität gesehen.

Wie bemerkt man eine Verzögerung der Aktivität?
Ist das nur über das Mac Vendor Code Programm zu erfahren und wenn ja wie?

Aber außer dem eben genannten
repräsentativen Paket (welches insgesamt
gut 200 Mal ins Netz geschossen wurde) ist
nichts gekommen - und außer der
MAC-Adresse habe ich dazu keine weiteren
Informationen.

Was sind das für Pakete, die ins Netz geschossen wurden?
Könnten so auch Telefongespräche gestartet werden, wenn das Telefon am Router hängt?

Die Capture-Datei habe ich allerdings noch
auf der Festplatte, wenn Interesse besteht,
kann ich die mal hochladen.

Ich hätte die mir gerne mal angesehen.
wiesi200
wiesi200 26.02.2008 um 19:52:28 Uhr
Goto Top
Kabel!
Auch wenn irgend eine Funkverschlüsselung momentan als sicher eingestuft wird ändert sich soetwas leider immer wieder sehr schnell.
LordGurke
LordGurke 26.02.2008 um 22:02:31 Uhr
Goto Top
Habe die Capture-Datei mal hochgeladen:
http://files.it-assistent.de/user/1/broadcast.zip
(Die ersten vier Pakete sind von mir bzw. dem Router)

@firebird3000:
Aber selbstverständlich können auch AMD-Prozessoren Broadcasts verschicken.
Die Broadcasts wurden allerdings von einem Intel-Netzwerkcontroller abgeschickt - ich möchte jetzt einfach mal bezweifeln, dass es viele Mainboards gibt, wo sowohl AMD-Prozessor als auch Intel-NIC gleichzeitig vorhanden sind - darauf wollte ich hinaus face-wink

Die Verzögerung habe ich ganz einfach über die Indikatoren des Routers festgestellt.
Bei genauem Hinsehen bemerkt man, dass beim Transport von Paketen zwischen LAN und WLAN eine kleine Verzögerung ist. Wenn ich zum Beispiel über WLAN einen Rechner am normalen LAN-Port anpinge, sieht man ganz Eindrucksvoll diese kleine Verzögerung.

Deine Frage mit dem Telefon verstehe ich nicht ganz, es handelt sich dabei um einen handelsüblichen Breitbandrouter mit 4-Port-Switch und einem WLAN-AP, nichts mit VoIP oder so.
firebird3000
firebird3000 26.02.2008 um 22:44:43 Uhr
Goto Top
Deine Frage mit dem Telefon verstehe ich
nicht ganz, es handelt sich dabei um einen
handelsüblichen Breitbandrouter mit
4-Port-Switch und einem WLAN-AP, nichts mit
VoIP oder so.

Kann derjenige, der sich mit dem Router verbindet, Telefongespräche aufbauen? Bisher ist kein VoIP eingerichtet. Kann er über Dialer oder sonstwie denn Telefongespräche für wenige Sekunden anfangen, dann beenden und dann wieder ein selbes neues Telefongespräch starten und wieder beenden usw.?
LordGurke
LordGurke 26.02.2008 um 23:19:01 Uhr
Goto Top
Kann derjenige, der sich mit dem Router
verbindet, Telefongespräche aufbauen?
Bisher ist kein VoIP eingerichtet. Kann er
über Dialer oder sonstwie denn
Telefongespräche für wenige
Sekunden anfangen, dann beenden und dann
wieder ein selbes neues Telefongespräch
starten und wieder beenden usw.?
Wie sollte er? Es ist keine Fritzbox oder ähnliches, wo DSL-Router und Telefonanlage etc... zusammen in einem Gerät vereint sind - es ist ein ganz normaler Router, der ist garnicht mit der Telefondose verbunden, weil es einfach nicht geht.
Es handelt sich um einen Belkin Wireless 54g-Router - nur Internet, kein Telefon face-wink
firebird3000
firebird3000 28.02.2008 um 01:05:27 Uhr
Goto Top
Wie kann ein Einbrecher denn eine MAC-Filterung umgehen und dann diese Rufnummerverbindungen aufbauen?
firebird3000
firebird3000 28.02.2008 um 01:06:42 Uhr
Goto Top
Wie kann ein Einbrecher denn eine MAC-Filterung umgehen und dann diese Rufnummerverbindungen aufbauen?
aqui
aqui 28.02.2008 um 09:56:35 Uhr
Goto Top
Indem er die Mac Adresse mitsniffert und sich selbst vergibt. Mac Adressen sind konfigurierbar...
firebird3000
firebird3000 29.02.2008 um 18:30:21 Uhr
Goto Top
Macht der das mit demselben Programm mit dem er auch die Verschlüsselung aussnifft?