Gehackt?

Warum habe ich (mal wieder) das Gefühl, dass du mehr am Trollen als an einem sinnvollen Austausch interessiert bist?

Ich bezweifle nicht, dass du irgendein krudes theoretisches Szenario entwerfen kannst, in dem eine MAC-Whitelist möglicherweise einen Sicherheitsgewinn bieten kann, aber in der (Alltags-)Realität ist das einfach nicht so.


/Edit: Davon abgesehen scheinst du schon wieder ganz woanders zu sein. Deine Beiträge hier wirken auf mich jedenfalls nicht "ein bisschen wie bei Einstein", sondern eher "ein bisschen wie bei Kinski".
 
Zuletzt bearbeitet:
cyberjonny schrieb:
Warum habe ich (mal wieder) das Gefühl, dass du mehr am Trollen als an einem sinnvollen Austausch interessiert bist?
Zum Vergrößern anklicken....

Weil Du nicht weiter denkst...

cyberjonny schrieb:
Ich streite nicht ab, dass du irgendein krudes theoretisches Szenario entwerfen kannst, in dem eine MAC-Whitelist möglicherweise einen Sicherheitsgewinn bieten kann, aber in der (Alltags-)Realität ist das einfach nicht so.
Zum Vergrößern anklicken....

Die Alltagsrealität sind 900.000 gehackte Router, die in Alltags-Wohnungen bei Alltags-Familien in irgendwelchen Zimmern stehen, und dann noch durch Repeater "verlängert" werden, so dass der mittelmäßig begabte Nachbar das ach so sichere Router-Passwort abgreifen kann.

Wenn der General-Schlüssel für alle Türen des Hauses in falsche Hände gelangt ist, muss man die Schlösser austauschen.
Das ist eine zeitabhängige Lösung, und keine Frage der Logik des Türschlosses.

cyberjonny schrieb:
Deine Beiträge hier wirken auf mich jedenfalls nicht "ein bisschen wie bei Einstein", sondern eher "ein bisschen wie bei Kinski".
Zum Vergrößern anklicken....

Einstein war Physiker, Kinski war ein Schauspieler.
 
Zuletzt bearbeitet:
think_pad schrieb:
Weil Du nicht weiter denkst...
Zum Vergrößern anklicken....
Jup, ich habe auch das Gefühl, dass mein Verstand für deine Ausführungen einfach bei Weitem zu begrenzt ist.


Die Alltagsrealität sind 900.000 gehackte Router, die in Alltags-Wohnungen bei Alltags-Familien in irgendwelchen Zimmern stehen, und dann noch durch Repeater "verlängert" werden, so dass der mittelmäßig begabte Nachbar das ach so sichere Router-Passwort abgreifen kann.

Wenn der General-Schlüssel für alle Türen des Hauses in falsche Hände gelangt ist, muss man die Schlösser austauschen.
Das ist eine zeitabhängige Lösung, und keine Frage der Logik des Türschlosses.
Zum Vergrößern anklicken....
Reden wir noch von MAC-Filtern?


Einstein war Physiker, Kinski war ein Schauspieler.
Zum Vergrößern anklicken....
Du sagst es! :D
 
cyberjonny schrieb:
Reden wir noch von MAC-Filtern?
Zum Vergrößern anklicken....

Ja, wir reden über MAC-Adressen und ihre Filterung an Routern. Kann man die MAC-Adressen fälschen, und damit den Router überlisten, sind sie als Sicherheitsmerkmal nicht nur wertlos, sondern eine Gefahr.

Kann ein Router die "falsche MAC-Adresse" eines Repeaters nicht ausschließen, wird der Repeater zum Einfallstor für Hacks auf den Router.

  • Also muss ich selbst die MAC-Adresse ändern dürfen, um die Sicherheit wieder herstellen zu können. (ereignisabhängig)
  • Oder ich muss dafür sorgen, dass der Repeater mit der "richtigen" MAC-Adresse nicht 24 Stunden am Tag Einfallstor für Hacks wird. (zeitabhängig)
  • Oder ich muss dafür sorgen, dass "der eine" hackbare Router/Repeater nicht die ganze Zeit in Betrieb sind, sie quasi per Hardware oder Software/Firmware "wechseln". (existenzabhängig)

Es ist nicht so, dass Dinge falsch sind, nur weil man sie nicht sofort versteht....
 
Zuletzt bearbeitet:
Mit jedem Paket das ein Wlan Gerät versendet verrät es seine Mac Adresse:
https://en.wikipedia.org/wiki/IEEE_802.11#Layer_2_.E2.80.93_Datagrams
An 802.11 frame can have up to four address fields. Each field can carry a MAC address. Address 1 is the receiver, Address 2 is the transmitter, Address 3 is used for filtering purposes by the receiver.
Zum Vergrößern anklicken....

Somit hilft die Whitelist nichts gegen einen ernsthaften Angreifer.

Ähnlich ist es mit der versteckten SSID.
Ein AccessPoint posaunt die immer raus. Die Einstellung signalisiert nur dem enduser tool, dass sie nicht angezeigt werden soll. Übertragen ist sie jedoch.
 
Und die DTAG Router wurden nicht gehackt - Himmel noch eins, die sind einfach ausgestiegen, weil Sie die Hacking-Versuche irgendwann damit unterbunden haben, dass Sie komplett keinen Traffic mehr durchgelassen haben...
Achja und mit dem eigentlichen Problem hat das hier Alles überhaupt nichts mehr zu tun...
 
think_pad schrieb:
Kann man die MAC-Adressen fälschen, und damit den Router überlisten, sind sie als Sicherheitsmerkmal nicht nur wertlos,
Zum Vergrößern anklicken....
Keiner hier hat etwas anderes behauptet.

sondern eine Gefahr.
Zum Vergrößern anklicken....
Aber nur, wenn das System nicht hinreichend (ge)sicher(t) ist.


Kann ein Router die "falsche MAC-Adresse" eines Repeaters nicht ausschließen, wird der Repeater zum Einfallstor für Hacks auf den Router.
Zum Vergrößern anklicken....
Aber nur, wenn das System nicht hinreichend (ge)sicher(t) ist.

  • Also muss ich selbst die MAC-Adresse ändern dürfen, um die Sicherheit wieder herstellen zu können. (ereignisabhängig)
  • Oder ich muss dafür sorgen, dass der Repeater mit der "richtigen" MAC-Adresse nicht 24 Stunden am Tag Einfallstor für Hacks wird. (zeitabhängig)
  • Oder ich muss dafür sorgen, dass "der eine" hackbare Router/Repeater nicht die ganze Zeit in Betrieb sind, sie quasi per Hardware oder Software "wechseln". (existenzabhängig)
Zum Vergrößern anklicken....
Kannst du alles machen, aber wäre es nicht einfacher, eine sichere Verschlüsselung in Verbindung mit einem sicheren Key und einem sicheren Login zu verwenden? :huh:
Und wenn ein System inhärent unsicher ist, hast du sowieso ein anderes Problem. Aber das ist einfach eine ganz andere Baustelle und hat nichts mehr mit der Sache hier zu tun.


Es ist nicht so, dass Dinge falsch sind, nur weil man sie nicht sofort versteht....
Zum Vergrößern anklicken....
Ja, mein Sensei.
 
cyberjonny schrieb:
Kannst du alles machen, aber wäre es nicht einfacher, eine sichere Verschlüsselung in Verbindung mit einem sicheren Key und einem sicheren Login zu verwenden? :huh: ... Ja, mein Sensei.
Zum Vergrößern anklicken....

Theoretisch ja, hat aber beim TE nicht funktioniert: Der "Nachbar" kam über den Repeater mit einer falschen, und damit wertlosen MAC-Adresse auf den Router und hat über eine gefakte Website das Passwort des Hauptrouters abgegriffen. Und der große Routerhack kam über ein Fernwartungsprotokoll auf das Gerät, da hilft eine "eine sichere Verschlüsselung in Verbindung mit einem sicheren Key und einem sicheren Login" leider gar nichts!

Ja, auch mein Sensei... ;)
 
think_pad schrieb:
Theoretisch ja, hat aber beim TE nicht funktioniert: Der "Nachbar" kam über den Repeater mit einer falschen, und damit wertlosen MAC-Adresse auf den Router und hat über eine gefakte Website das Passwort des Hauptrouters abgegriffen. Und der große Routerhack kam über ein Fernwartungsprotokoll auf das Gerät, da hilft eine "eine sichere Verschlüsselung in Verbindung mit einem sicheren Key und einem sicheren Login" leider gar nichts!
Zum Vergrößern anklicken....
Ja, aber das macht den MAC-Filter trotzdem nicht sicher(er). Wie gesagt: andere Baustelle. Ich bin raus. :)
 
cyberjonny schrieb:
Ja, aber das macht den MAC-Filter trotzdem nicht sicher(er). Wie gesagt: andere Baustelle. Ich bin raus. :)
Zum Vergrößern anklicken....
Wir haben das Problem ja auch gelöst! Und die Probleme, die wir nicht lösen konnten, sind nun klar benannt und harren der Lösung:
Erfolg hat viele Gesichter... ;)
 
Immer wieder spannend sowas zu lesen...

Noch eine Überlegung, wie der Angreifer ins Netz gekommen sein könnte:
Es gibt WPS, das immer offen ist (sehr unsicher) und WPS, bei dem zuerst am Router ein Hardwareknopf gedrückt werden muss.
Wenn du zweiteres hast, dann dürfte der Angreifer nicht über WPS reingekommen sein sondern über einen anderen Weg.

Nur als Überlegung für andere Sicherheitslücken.
 
OP hat schon geschrieben, dass NUR WPS-Push-Button aktiv war, WPS-PIN nicht. (geht bei Fritzen in Standardkonfig ohnehin nur eines zur Zeit)
Insofern wurde das Einfallstor schon ausgeschlossen. :)

apropos Einfallstor/einfältiger Tor... An welchen penetranten Poster erinnert mich das bloß? Hmmm, tabulator war es nicht. cyberjonny auch nicht. [insert gruebelsmiley]
 
Mitsch87 schrieb:
iYassin möchtest du das alte WLAN Passwort hier mal posten? Würde mich interessieren... Hast es ja geändert...
Dann könnten wir mal nachschauen ob es in diversen Listen auftaucht.

Ansonsten: ein starkes Passwort mit Groß-, Kleinbuchstaben, Zahlen und am besten noch Sonderzeichen setzen!
Bitte keine Leetspeak oder so nen Kram sondern was aus einem Passwortgenerator, WPS ausschalten und gut..
Zum Vergrößern anklicken....
Das alte Passwort war "BioPhysik2014!". Ergebnis von Einfallslosigkeit und Faulheit der versammelten WG. :D Das neue ist aber auch nicht aus einem Passwortgenerator. Ihr habt Recht, ich sollte das jetzt einfach zum Anlass nehmen, genau das umzusetzen - dann muss man in Zukunft eben doch einen Zettel in der Wohnung deponieren (klar, auch nicht optimal, aber für eine WG gibt es wohl nichts praktikables sichereres).

think_pad schrieb:
Theoretisch ja, hat aber beim TE nicht funktioniert: Der "Nachbar" kam über den Repeater mit einer falschen, und damit wertlosen MAC-Adresse auf den Router und hat über eine gefakte Website das Passwort des Hauptrouters abgegriffen.
Zum Vergrößern anklicken....
Was mir aber immer noch nicht klar ist, ist, wie der Repeater geholfen hat, auf den Router zu kommen. Denn der hat ja prinzipiell die gleichen Sicherheitseinstellungen wie die Fritzbox. Und das WLAN-Signal der Fritzbox reicht auch ohne den Repeater bis zu den Nachbarn - in die Richtung, wo ich den "Besucher" vermute, dürfte das Signal ohnehin nur von der Fritzbox aus kommen. Eigentlich brauche ich auch die Repeater-Funktion gar nicht, nur lässt sie sich nicht abschalten und das Teil war deutlich günstiger als jeder Access-Point, mit dem ich meinen Gbit-Switch in meinem Zimmer als "Bridge" an den Hauptrouter hätte hängen können.

Also klar, nach dem Knacken des WLAN-Passworts war der Repeater durch admin/admin zugänglich - aber was hatte das dann für Konsequenzen, so lange niemand im Repeater den DNS-Server geändert hat?

Apropos: Vielleicht sollte ich mal noch die Einstellungen des Repeaters überprüfen, ob dort etwas geändert wurde, das habe ich völlig vergessen...
 
Wenn ich das "gar nicht mal so schreckliche" Passwort sehe würde ich mal fast darauf tippen, dass es irgendein Scherzkeks bei euch in der WG war, bzw. ein Besucher - kein Plan ob ihr das WLAN-Passwort auch an diese rausrückt.
Für Besucher würde ich den Gastzugang der Fritzbox oder noch besser: einen Freifunk-Router empfehlen! ;)

Ansonsten nochmal:
per Passwort-Generator (schau dir vielleicht mal KeePass an) generiertes Passwort fürs WLAN, auch die Fritzbox und den Repeater..

EDIT: der Repeater wird es nicht gewesen sein, kann man zwar nicht ausschließen, aber würde ich erst mal als "unwahrscheinlich" deklarieren.
 
Zuletzt bearbeitet:
Wie du am unwissen zum Thema MAC adresse sehen kannst hat think_pad keine echte Ahnung von was er labert.
Somit sind auch seine restlichen Spinnereien großteils an den Haaren herbeigezogen bzw schlicht Bullshit.

Wieviele Personen kannten das alte Wlan-Passwort? Wird es an Gäste rausgegeben?
Evtl hat sich ja ein ehemaliger Gast einen spass erlaubt...
 
Mitsch87 schrieb:
Wenn ich das "gar nicht mal so schreckliche" Passwort sehe würde ich mal fast darauf tippen, dass es irgendein Scherzkeks bei euch in der WG war, bzw. ein Besucher - kein Plan ob ihr das WLAN-Passwort auch an diese rausrückt.
Für Besucher würde ich den Gastzugang der Fritzbox oder noch besser: einen Freifunk-Router empfehlen! ;)

Ansonsten nochmal:
per Passwort-Generator (schau dir vielleicht mal KeePass an) generiertes Passwort fürs WLAN, auch die Fritzbox und den Repeater..
Zum Vergrößern anklicken....
Der einzige Mitbewohner, der das technisch wohl könnte, war auch von dem Problem betroffen... also entweder kann er sehr gut schauspielern oder er wars nicht ;)

Das mit dem Gastzugang ist eine super Idee! Dann wäre auch ein völlig zufälliges Passwort eigentlich egal. Das werde ich heute Abend wohl direkt mal umsetzen. Ich selbst benutze sogar Keypass, nur wäre das natürlich nicht praktikabel, wenn mal einer meiner Mitbewohner das Passwort braucht ;)

vlooe schrieb:
Wieviele Personen kannten das alte Wlan-Passwort? Wird es an Gäste rausgegeben?
Evtl hat sich ja ein ehemaliger Gast einen spass erlaubt...
Zum Vergrößern anklicken....
Ja, die Gäste bekommen das auch. Ich hab da leider keinen Überblick, da ich ja nicht weiß, wie meine Mitbewohner das weitergeben, aber wenn ich schätzen müsste, haben das mittlerweile sicher 30-40 Leute... da müsste dann aber schon jemand bei Minusgraden ein paar Stunden vor der Tür gesessen haben, von den Nachbarn in WLAN-Reichweite hat das Passwort eigentlich nämlich keiner :D
 
iYassin schrieb:
Ja, die Gäste bekommen das auch. Ich hab da leider keinen Überblick, da ich ja nicht weiß, wie meine Mitbewohner das weitergeben, aber wenn ich schätzen müsste, haben das mittlerweile sicher 30-40 Leute... da müsste dann aber schon jemand bei Minusgraden ein paar Stunden vor der Tür gesessen haben, von den Nachbarn in WLAN-Reichweite hat das Passwort eigentlich nämlich keiner :D
Zum Vergrößern anklicken....

Dann würde ich hierfür auf jeden Fall einen Freifunk-Router vorziehen oder wie oben schon erwähnt den Gastzugang. Das kryptische Passwort würde ich für das "private" LAN trotzdem setzen... ;) beim Gastzugang kannst du ja dann ein MatheBioPhysik13! oder sowas nehmen, um es schnell weiter zu geben.

Beim Freifunk Router wäre es halt noch eleganter, Vorteile:
1. unverschlüsseltes WLAN - du musst niemandem ein Passwort geben
2. nicht deine Exit-IP - wenn damit Besuch illegales treibt kümmert es dich nicht
3. gar nicht teuer - Hardware gibt es bei Amazon (neu) für 16€!
 
Bei der Fritzbox kann man sich eine mail für Konfigurationsänderungen senden lassen.
Vllt. kann der Repeater das ja auch.
Dann würdest Du zumindest direkt erfahren, wenn jemand etwas ändert.

Ansonsten bleibt wohl nur die Möglichkeit, potentiell sichere und unsichere Benutzer zu separieren:
Nur Gastzugang für die einen falls es reicht oder auf 2 unterschiedliche WLANS(vllt. 2,4 und 5 GHz) aufzuteilen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben