Gehackt?

iYassin

Well-known member
Themenstarter
Registriert
15 Mai 2009
Beiträge
10.187
Ich habe ein ziemlich merkwürdiges Problem mit meinem Internetanschluss/WLAN. Zunächst mal: VDSL-Anschluss der Telekom mit IPv6, Router ist eine Fritzbox 7490 mit WPA2-gesichertem WLAN.

Heute Abend saß ich zuhause am Rechner und habe als erstes festgestellt, dass sich Onenote über ein Zertifikatsproblem bei der Synchronisierung beschwert. Habe das vorsichtshalber abgelehnt und erstmal ignoriert. Als ich dann später das TP-Forum aufgerufen habe, plötzlich das gleiche Problem - da wurde ich dann stutzig. Um die Internetverbindung zu testen, habe ich www.zeit.de aufgerufen, wurde auf www.zeit.de/index weitergeleitet und habe eine 404-Seite erhalten, angeblich von www.zeit.de selbst. Habe ich das "index" am Ende gelöscht, kam ich auf eine Seite, die so aussah wie der Login meiner Fritzbox - aber deutlich weniger schick als die normale Loginseite, nur ein blauer Balken oben mit "Fritz!Box 7490" und darunter ein Loginfenster. Das Problem bestand auf meinem PC sowie TP und auf den Rechnern meiner Mitbewohner. Nach einem Fritzbox-Neustart war das Problem erst weg, kam aber nach ca. einer Minute wieder.

OK, offenbar gab es ein Problem mit ein paar Websites. Also kurz einen Ping an die Seite gesendet - kommt zurück von 192.168.178.56... also mal google.de probiert, das ging einwandfrei, kam aber per IPv6 zurück. Also habe ich ein paar andere IPv4-Seiten probiert - zum Beispiel das TP-Forum, alle kamen von 192.168.178.56 zurück. Es waren nur noch IPv6-Adressen zu erreichen. Also mal ein Ping direkt an die Adresse - siehe da, kommt auch zurück. Mal sehen, was sich dahinter verbirgt - aha, die komische Fritzbox-Login-Seite. Ein Test mit dem Google-DNS am Rechner hat nichts gebracht, ins VPN konnte ich mich zwar erst einloggen, bin aber alle paar Sekunden wieder herausgeflogen. Also erstmal keine weitere Option, das Problem zu ignorieren.

Ein kurzer Anruf zuhause (ebenfalls Telekom + Fritzbox, wenn auch ADSL mit IPv4) brachte die Information, dass es kein allgemeines Telekom-Routing-Problem ist. Dann habe ich (auf normalem Weg, also über fritz.box) mich in die Fritzbox eingeloggt, um zu sehen, was die mir zu dem komischen Gerät erzählen kann. Es hieß "kali" und hatte unter anderem die MAC-Adressen "EA:56:4C:76:C3:CC" und "E8: DE:27:0C:9C:08", die beiden weiteren weiß ich nicht mehr. Ein Klick auf das Gerät mit der IP 192.168.178.56 (dessen MAC war EA:56:4C:76:C3:CC) brachte mich zur Login-Seite meines TP-Link WLAN-Repeaters.

Nun habe ich wohl einen Fehler gemacht: Ich dachte mir, dass das Problem wohl irgendwie im Netzwerk liegt. Das Gerät mit dem Namen "kali" ist mir zwar noch nie aufgefallen, aber da der Repeater gebraucht ist, wollte ich nicht ausschließen, dass irgendwo so ein Name in den Einstellungen herumhängt. Somit habe ich beschlossen, dem Gerät zu "vertrauen", habe die IP aufgerufen und das Passwort für die Fritzbox eingegeben, um zu schauen, ob ich dann auch auf die Fritzbox komme. Und es passierte... nichts, ich wurde zu "fritz.com" weitergeleitet und sah die gleiche Seite wieder.
Dann habe ich nochmal probiert, mich ins VPN einzuloggen. Nun ging es, wenn auch langsam - daher habe ich so erst einmal gearbeitet. Ein paar Minuten später habe ich am TP gesehen, dass auch das "normale" Internet wieder ging, also am Desktop wieder vom VPN abgemeldet.

In diesen Zeitraum fallen evtl. ein paar interessante Log-Einträge:
- 23:19: Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
- 23:21: Netzwerkgerät Name: kali, MAC: E8: DE:27:0C:9C:08 hat sich mit der FRITZ!Box verbunden.
- 23:26: Netzwerkgerät Name: kali, MAC: EA:56:4C:76:C3:CC hat sich mit der FRITZ!Box verbunden.
- 23:27: Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 192.168.178.70. (Anmerkung: Diese IP-Adresse existiert im Geräte-Log der Fritzbox nicht)

Wenig später habe ich eine Internetseite mit mehreren eingebundenen Bildern von abload.de und directupload.net aufgerufen, die allesamt nicht mehr funktionierten. Da mich das wunderte, habe ich "directupload.net" in den Browser eingegeben und kam auf eine schwarze Seite mit der Anonymous-Maske und dem Text "We are anonymous!" darunter. Kurzer Ping an die Adresse - kam von einer Adresse außerhalb des Netzwerks zurück. Das gleiche Spiel mit "abload.de".
Ein kurzer Anruf zuhause brachte Klarheit, dass directupload.net und abload.de dort einwandfrei funktionieren - also musste es tatsächlich irgendeine Art Hack auf Netzwerkseite sein. Wenige Minuten später waren die "Anonymous"-Seiten nicht mehr erreichbar, die richtigen Seiten luden aber immer noch nicht. Nun gab es wieder Zertifikatsprobleme im Forum.

Jetzt wurde es mir wirklich zu heikel und ich habe sämtliche Rechner vom Netz getrennt, Backups gestartet, um zur Not (Crypto-Trojaner oder sonst etwas?) Festplatten physikalisch abkoppeln zu können, und meinen Mac angeworfen, mit dem ich dann nochmal etwas sicherer fühle. Als der hochgefahren war, habe ich Firefox gestartet - und siehe da, alles ging wieder einwandfrei. Als nächstes habe ich mein TP wieder mit dem Internet verbunden - auch da war der Spuk vorbei. Ein kurzer Blick auf die Fritzbox-Seite zeigte dann, dass das Gerät "kali" nicht mehr verbunden war.

-------------

Erst da ist mir wirklich klar geworden, dass es sich wahrscheinlich um einen Hack von innerhalb des Netzwerks handelt. Um die "kali"-Hypothese zu prüfen, habe ich die MAC-Adressen überprüft - und siehe da, drei davon haben in keinem Vendor-Lookup etwas zu Tage gefördert. Die vierte Adresse ("E8-DE-...") zeigt im Vendor-Lookup auf TP-Link, ist aber nicht mit der MAC meines TP-Link-WLAN-Repeaters identisch. Diese Theorie würde zumindest mit der "komischen" Fritzbox-Seite Sinn machen, und der Tatsache, dass ich dort einmal das Passwort eingegeben habe. Ob das vor oder nach den Logeinträgen war, kann ich leider nicht mehr sagen...
Natürlich kann es auch sein, dass es sich um ein Problem auf Providerseite handelte, das jetzt gelöst ist. Das erklärt aber immer noch nicht das "kali"-Gerät, seine vier MAC-Adressen, von denen drei falsch sind und warum man nichts derartiges liest.

Meine erste Aktion war nun, die Fritzbox komplett zurückzusetzen und mit neuem Admin- und WLAN-Passwort neu einzurichten. Das sollte zumindest erst einmal verhindern, dass es weitere Probleme gibt. Nun bin ich aber auf Eure Hilfe angewiesen.

Was kann das gewesen sein? Ist es tatsächlich möglich, a) ein WPA2-Netzwerk mit vertretbarem Aufwand zu knacken, und b) dann einen Router derart zu beeinflussen, dass erst sämtliche IPv4-Websites Probleme machen und später zufällig und abwechselnd einzelne Websites mit dieser Anonymous-Seite zu überschrieben?

Was sollte ich nun tun? Wie gesagt, die Fritzbox ist neu aufgesetzt ud eingerichtet. Ein schneller Scan meiner beiden Rechner mit Windows Defender hat nichts zutage gefördert, ich werde wohl über Nacht einen vollständigen Scan laufen lassen. Bis jetzt verhalten sich beide Rechner auch normal, nur am X1 Yoga hat der letzte Neustart mehrere Minuten gedauert (ohne Updates) und seitdem ist mein Farbprofil weg - das wird aber vermutlich ein nicht zusammenhängendes Problem sein, denke ich mal :D
Was ist mit Passwörtern? Gibt es weitere Überprüfungen, die ich durchführen sollte?

Vielen Dank schonmal für Eure Hilfe!
 
Das nennt man einen In-House-Hack: Es klingt so, als hätte jemand über den Repeater auf die FritzBox gewollt. Entweder verwendet er ein baugleiches, DNS-manipuliertes Gerät mit dem Namen "kali", oder er ist in die Firmware deines Repeaters eingedrungen und hat den Namen und den DNS-Eintrag umgebogen. Die MAC-Adresse kann man nicht ändern, deswegen gibt es zwei Geräte namens "kali" in den FritzBox-Einträgen. Mit dem umgebogenen DNS-Eintrag leitet man alle Seiten auf eine fingierte Website, die das Passwort für die FritzBox abgreifen soll. Hat man das Passwort für die FritzBox, hat man freien Zugang zu deinem LAN.

Das Ganze lässt sich nur verhindern, in dem Du den Repeater hart per MAC-Adresse in der FritzBox anmeldest und festmachst, dann bleiben alle anderen Repeater und Geräte außen vor. Ich würde aufgrund der Situation alle Geräte zukünftig per MAC-Adresse anmelden. Und Du musst definitiv das Passwort der FritzBox ändern, denn das alte ist nun "erbeutet" und verloren...

Ein schwarze Seite mit der Anonymous-Maske und dem Text "We are anonymous!" kann jeder Volltrottel basteln, und das zeigt auch, dass die ganze Sache nicht so ernst gemeint war: Vielleicht belegt dein Repeater ja einen Kanal, den jemand im Haus gern für sich ganz allein hätte... ;)
 
Ja das sieht so aus, als wenn jemand in deinem WLAN war und den DNS manipulierte.
WPA kann man knacken, es kommt auf die Länge und Sicherheit des Passworts an. Je länger desto schwerer zu knacken, außerdem sollten z.B. Wörterbuchattacken ins Leere laufen.
MAC-Adressen kann man fälschen, das geht sogar sehr einfach, das bringen think_pads Tipps nahezu nichts.
Ja den Rechner/Router so zu manipulieren, dass sämtliche Websites "überschrieben" werden geht, in dem man den DNS-Server durch einen eigenen ersetzt.
FB neu aufsetzen mit neuem PW für Zugang und WLAN war schon mal sehr wichtig. Denke deine Rechner konnten so nicht infiziert werden, aber wenn du dich über die kompromittierte Verbindung irgendwo ohne https in einen Account eingeloggt hast, könnten die Zugangsdaten gestohlen worden sein.
 
Gehe davon aus, dass die aktuelle FW installiert ist.


Kannst du mal folgenden Check durchführen und ein Feedback geben, wie dieser ausfällt?

Android - RouterCheck

Neue Funktionen:
This version of RouterCheck has new functionality in the DNS Configuration testing. It now also tests to determine which DNS Servers are actually being used to resolve your DNS queries.This major new functionality helps to better determine whether your DNS settings have been tampered with. This is important because DNS is the router feature most at risk from hackers.
 
könnte der Hostname "kali" mit dem https://www.kali.org/ Kali Linux zusammenhängen ? dann ist die Wahrscheinlichkeit sehr gross das jemand seine ersten Gehversuche,bei deinem Router unternimmt
 
WPS sollte deaktiviert sein. Kann und wird gerne für einen Hack verwendet.
 
Vielen Dank für Eure Antworten!

Mittlerweile habe ich noch ein weiteres Problem ausgemacht: Der Repeater war mit den Zugangsdaten admin/admin konfiguriert :facepalm:

Und was ich mich noch gefragt habe: Ist es möglich, alleine mit dem Passwort und WLAN-Zugang den Telnet-Zugang der Fritzbox zu aktivieren? Und wenn ja, kann man dort Änderungen vornehmen, die einen Werksreset überstehen?

könnte der Hostname "kali" mit dem https://www.kali.org/ Kali Linux zusammenhängen ? dann ist die Wahrscheinlichkeit sehr gross das jemand seine ersten Gehversuche,bei deinem Router unternimmt
Absolut, das klingt ziemlich logisch. Super, dass mein Router dafür herhalten darf :D

WPS sollte deaktiviert sein. Kann und wird gerne für einen Hack verwendet.
Das war leider aktiviert (benutze es nie, aber habe schlichtweg nicht dran gedacht). Wird heute Abend direkt abgestellt!

Gehe davon aus, dass die aktuelle FW installiert ist.

Kannst du mal folgenden Check durchführen und ein Feedback geben, wie dieser ausfällt? Android - RouterCheck
Ja, aktuelle FW ist drauf. Den Routercheck mache ich später, wenn ich zuhause bin und melde mich mit dem Ergebnis!

Das Ganze lässt sich nur verhindern, in dem Du den Repeater hart per MAC-Adresse in der FritzBox anmeldest und festmachst, dann bleiben alle anderen Repeater und Geräte außen vor. Ich würde aufgrund der Situation alle Geräte zukünftig per MAC-Adresse anmelden. Und Du musst definitiv das Passwort der FritzBox ändern, denn das alte ist nun "erbeutet" und verloren...
Wie meinst du "hart anmelden"? Eine MAC-Adressensperre kommt für mich leider nicht in Frage, weil ich dazu zu oft neue Geräte ins WLAN hängen muss.

Ein schwarze Seite mit der Anonymous-Maske und dem Text "We are anonymous!" kann jeder Volltrottel basteln, und das zeigt auch, dass die ganze Sache nicht so ernst gemeint war: Vielleicht belegt dein Repeater ja einen Kanal, den jemand im Haus gern für sich ganz allein hätte... ;)
Im Haus wohl nicht, aber nebenan könnte sein :D

WPA kann man knacken, es kommt auf die Länge und Sicherheit des Passworts an. Je länger desto schwerer zu knacken, außerdem sollten z.B. Wörterbuchattacken ins Leere laufen.
OK... müsste man dann aber nicht entsprechende Logs in der Fritzbox sehen? Oder kann man Pakete "abfangen" und dann "offline" bearbeiten, bis man das Passwort hat?

MAC-Adressen kann man fälschen, das geht sogar sehr einfach
Klar, so macht das auch Sinn mit den verschiedenen Nonsense-Adressen von "kali".

Ja den Rechner/Router so zu manipulieren, dass sämtliche Websites "überschrieben" werden geht, in dem man den DNS-Server durch einen eigenen ersetzt.
OK - aber geht das selbst, bevor der Angreifer das Routerpasswort hatte? Oder muss das in diesem Fall über den Repeater gegangen sein? Letzteres halte ich fast für unwahrscheinlich, weil zumindest ein Gerät auch schon den ganzen Abend betroffen war, das definitiv an der Fritzbox hing.

FB neu aufsetzen mit neuem PW für Zugang und WLAN war schon mal sehr wichtig. Denke deine Rechner konnten so nicht infiziert werden, aber wenn du dich über die kompromittierte Verbindung irgendwo ohne https in einen Account eingeloggt hast, könnten die Zugangsdaten gestohlen worden sein.
Dann bin ich ja schon mal beruhigt. Auf meinem TP hat der Scan (mit Windows Defender) keine Ergebnisse gebracht, auf meinem PC hat er es heute Nacht auf etwa 5% geschafft - das ist, glaueb ich, wenig zielführend... eingeloggt habe ich mich in der Zeit eigentlich nirgends per Browser und definitiv nirgends ohne SSL, aber Mails wurden natürlich trotzdem abgerufen, über IMAP (mit SSL und TLS) bzw. Exchange. Da dürften die Passwörter sicherlich auch verschlüsselt übertragen werden, oder?
Sicherheitshalber habe ich mal das VPN-Passwort geändert.
 
Mittlerweile habe ich noch ein weiteres Problem ausgemacht: Der Repeater war mit den Zugangsdaten admin/admin konfiguriert :facepalm:
Das könnte dann ein weiteres (vielleicht sogar das) Einfallstor gewesen sein. Muss aber nicht. Vielleicht ist ihm das sogar gar nicht aufgefallen.

Und was ich mich noch gefragt habe: Ist es möglich, alleine mit dem Passwort und WLAN-Zugang den Telnet-Zugang der Fritzbox zu aktivieren? Und wenn ja, kann man dort Änderungen vornehmen, die einen Werksreset überstehen?
Wenn die Firmware-Version >= 6.51 war, dann ist Telnet nicht mehr aktivierbar, zumindest nicht mehr so einfach. Unsignierte Firmwares nimmt die Box auch nicht mehr an. Da also was persistentes hinterlegt zu haben ist sehr unwahrscheinlich.

Das war leider aktiviert (benutze es nie, aber habe schlichtweg nicht dran gedacht). Wird heute Abend direkt abgestellt!
Kannst du abstellen, wenn du es eh nicht benötigst, aber fairer Weise muss man noch zwischen den verschiedenen WPS-Modi unterscheiden. WPS-PIN ist blöd, ja, aber WPS über Push-Button Configuration (WPS-PBC) ist eigentlich immer noch sicher, sofern der Hersteller das vernünftig integriert hat. Bei den Fritz!Boxen hat es mit WPS-PBC bisher keine Lücken gegeben. Abschalten schadet natürlich nicht.

Wie meinst du "hart anmelden"? Eine MAC-Adressensperre kommt für mich leider nicht in Frage, weil ich dazu zu oft neue Geräte ins WLAN hängen muss.
Ja er meinte wohl eine MAC-Whitelist, aber wie gesagt, MAC-Adressen lassen sich sehr leicht "fälschen", daher bringt das gar nichts.

OK... müsste man dann aber nicht entsprechende Logs in der Fritzbox sehen? Oder kann man Pakete "abfangen" und dann "offline" bearbeiten, bis man das Passwort hat?
Kann man abfangen und in Ruhe offline bearbeiten. Alles andere würde ewig dauern, daher knackt man WPA genau genommen sogar nur so. Daher taucht in der Fritz!Box im Log nichts auf.

OK - aber geht das selbst, bevor der Angreifer das Routerpasswort hatte? Oder muss das in diesem Fall über den Repeater gegangen sein? Letzteres halte ich fast für unwahrscheinlich, weil zumindest ein Gerät auch schon den ganzen Abend betroffen war, das definitiv an der Fritzbox hing.
Hmm kommt immer drauf an, wie er vorgegangen ist. Den DNS in der Fritz!Box zu ändern geht nicht, ohne im Menü der Fritz!Box gewesen zu sein. Beim Repeater kommt es drauf an, ob der wirklich nur repeatet oder z.B. selbst per DHCP Dinge verteilt. Ich glaube ich an seiner Stelle hätte - wenn ich in deinem LAN/WLAN drin wäre - einfach einen eigenen DHCP-Server aufgemacht, der selbst die IPs vergibt und dabei natürlich auch den eigenen DNS übermittelt. Dafür muss man auf DHCP-Requests nur schneller reagieren als die Fritz!Box. Ein kleines bisschen Glücksspiel, ob es klappt, aber früher oder später fängt man so diverse Geräte ab, die dann ein anderes Gateway und andere DNS-Einträge bekommen (eben die vom Angreifer).


Mails wurden natürlich trotzdem abgerufen, über IMAP (mit SSL und TLS) bzw. Exchange. Da dürften die Passwörter sicherlich auch verschlüsselt übertragen werden, oder?
Sicherheitshalber habe ich mal das VPN-Passwort geändert.
AFAIK schon. PWs ändern ist natürlich nie verkehrt, aber ich glaube ich würde hier nicht zu viel Aufwand treiben, dafür dürfte der Angriff auf dich noch recht glimpflich abgegangen sein.
 
Wenn die Firmware-Version >= 6.51 war, dann ist Telnet nicht mehr aktivierbar, zumindest nicht mehr so einfach. Unsignierte Firmwares nimmt die Box auch nicht mehr an. Da also was persistentes hinterlegt zu haben ist sehr unwahrscheinlich.
OK, installiert ist 06.60, dann ist das ja auf jeden Fall sicher :thumbup:

Kannst du abstellen, wenn du es eh nicht benötigst, aber fairer Weise muss man noch zwischen den verschiedenen WPS-Modi unterscheiden. WPS-PIN ist blöd, ja, aber WPS über Push-Button Configuration (WPS-PBC) ist eigentlich immer noch sicher, sofern der Hersteller das vernünftig integriert hat. Bei den Fritz!Boxen hat es mit WPS-PBC bisher keine Lücken gegeben. Abschalten schadet natürlich nicht.
Ich habe gerade nachgeschaut, es ist nur WPS-PBC aktiv. Dann lasse ich das mal an - ich weiß ehrlich gesagt nicht, ob meine Mitbewohner das benutzen.

Kann man abfangen und in Ruhe offline bearbeiten. Alles andere würde ewig dauern, daher knackt man WPA genau genommen sogar nur so. Daher taucht in der Fritz!Box im Log nichts auf.
OK, das macht Sinn :D
Heute war jetzt laut dem Log gar nichts, nur ein paar fehlgeschlagene Logins im WLAN, die meisten aber wohl von unseren Geräten, die noch das alte Passwort haben. Eine MAC kann ich aber gar nicht zuordnen - Vendor-Prefix ist 00:08:22, das ist "InPro Comm". Bin mir nicht sicher, ob die da gestern auch schon beteiligt war...

Hmm kommt immer drauf an, wie er vorgegangen ist. Den DNS in der Fritz!Box zu ändern geht nicht, ohne im Menü der Fritz!Box gewesen zu sein. Beim Repeater kommt es drauf an, ob der wirklich nur repeatet oder z.B. selbst per DHCP Dinge verteilt. Ich glaube ich an seiner Stelle hätte - wenn ich in deinem LAN/WLAN drin wäre - einfach einen eigenen DHCP-Server aufgemacht, der selbst die IPs vergibt und dabei natürlich auch den eigenen DNS übermittelt. Dafür muss man auf DHCP-Requests nur schneller reagieren als die Fritz!Box. Ein kleines bisschen Glücksspiel, ob es klappt, aber früher oder später fängt man so diverse Geräte ab, die dann ein anderes Gateway und andere DNS-Einträge bekommen (eben die vom Angreifer).
Der Router repeatet nur, DHCP geht alles über die Fritzbox. Das würde dann aber definitiv damit Sinn machen, dass es ab und zu funktioniert hat und dann wieder nicht...

AFAIK schon. PWs ändern ist natürlich nie verkehrt, aber ich glaube ich würde hier nicht zu viel Aufwand treiben, dafür dürfte der Angriff auf dich noch recht glimpflich abgegangen sein.
Gut, dann beruhige ich mich da erst mal ;)
 
Ich hab den Thread mal nach Security verschoben, für WSNP ist da zu viel Sachkenntnis und Themenbezug drin :D
 
Da man nicht wissen kann was der Angreifer alles manipuliert haben kann würde ich dazu raten, alles auf Werkeinstellungen zurückzusetzen und die Firmware neu zu flashen.
 
iYassin möchtest du das alte WLAN Passwort hier mal posten? Würde mich interessieren... Hast es ja geändert...
Dann könnten wir mal nachschauen ob es in diversen Listen auftaucht.

Ansonsten: ein starkes Passwort mit Groß-, Kleinbuchstaben, Zahlen und am besten noch Sonderzeichen setzen!
Bitte keine Leetspeak oder so nen Kram sondern was aus einem Passwortgenerator, WPS ausschalten und gut..
 
Zuletzt bearbeitet:
Wie meinst du "hart anmelden"? Eine MAC-Adressensperre kommt für mich leider nicht in Frage, weil ich dazu zu oft neue Geräte ins WLAN hängen muss.

Das ist aber die Schwachstelle deines WLAN-Systems, deswegen bist du gehackt worden! Wer hindert dich, temporär einen Zweitrouter/AP per Kabel an den Hauptrouter anzustöpseln, wenn du zeitweise Geräte (ohne MAC-Eingabe) austesten/anmelden willst?

Ich meine, wenn du dein Auto nicht abschließt, darfst du dich auch nicht wundern, wenn morgens jemand mit einer billig nachgemachten Anonymus-Maske im Gesicht auf der Rückbank schläft...:D
 
Zuletzt bearbeitet:
Eine MAC-Whitelist mit einem Schloss zu vergleichen, ist Blödsinn. Um bei der Auto-Analogie, die auch in diesem Fall einmal mehr ziemlich hinkt, zu bleiben: Eine MAC-Whitelist zu nutzen, wäre dann maximal der Unterschied zwischen einer offen stehenden und einer geschlossenen (nicht abgeschlossenen) Tür, aber nicht mehr.

Im Grunde kann jeder, der eine Suchmaschine bedienen kann, innerhalb von wenigen Minuten eine MAC faken. Solche "Späße" haben wir schon vor 10 Jahren auf LAN-Partys getrieben. Das wäre für den Angreifer in diesem Fall sicherlich kein Hindernis gewesen.

Mir wäre der (vermeintliche) minimale "Sicherheitsgewinn" einer MAC-Whitelist den Komfortverlust jedenfalls bei Weitem nicht wert.
 
Um bei der Auto-Analogie, die auch in diesem Fall einmal mehr ziemlich hinkt, zu bleiben: Eine MAC-Whitelist zu nutzen, wäre dann maximal der Unterschied zwischen einer offen stehenden und einer geschlossenen (nicht abgeschlossenen) Tür, aber nicht mehr.

Dein Vergleich hinkt aber auch: Eine abgeschlossene Tür wäre erst mal nur zu öffnen, wenn der bekannt richtige und passende Schlüssel draußen am Türschloss hängt. :D

Im Grunde kann jeder, der eine Suchmaschine bedienen kann, innerhalb von wenigen Minuten eine MAC faken. Solche "Späße" haben wir schon vor 10 Jahren auf LAN-Partys getrieben. Das wäre für den Angreifer in diesem Fall sicherlich kein Hindernis gewesen.

Na gut, wenn man auf diesem Level arbeitet, dann müsste erstens ein Fritz-Repeater her, der die MAC-Adressensperre der FritzBox eins zu eins übernimmt.

Zum zweiten basiert die MAC-Adressensperre erst einmal grundsätzlich darauf, dass die MAC-Adressen nicht (!!!) bekannt sind. Der Fehler beginnt also dort, wo die MAC-Adressen bekannt werden, und wenn das nicht der Fall ist, hilft auch keine Suchmaschine mehr...

Zum dritten ist das Einfallstor der Repeater, und nicht der Router. Er ist die Schwachstelle, und nicht die Netz-Bekanntheit seiner MAC-Adresse.
 
Zuletzt bearbeitet:
Na gut, wenn man auf diesem Level arbeitet, dann müsste erstens ein Fritz-Repeater her, der die MAC-Adressensperre der FritzBox eins zu eins übernimmt.
Macht er nicht (habe WPS aus) und dann geht es nicht, ob es mit WPS geht, keinen Plan...

Zum zweiten basiert die MAC-Adressensperre erst einmal grundsätzlich darauf, dass die MAC-Adressen nicht (!!!) bekannt sind. Der Fehler beginnt also dort, wo die MAC-Adressen bekannt werden, und wenn das nicht der Fall ist, hilft auch keine Suchmaschine mehr...
Jeder kann ALLE deine MAC-Adressen mitlesen, da dein ThinkPad diese z.B. bei einer Anmeldung am WLAN mitsendet - sichtbar. Also erläutere uns doch bitte, wie du deine MAC-Adressen geheim hältst.
Der MAC-Adressfilter ist was für DAUs, denen z.B. jemand einfach so dein WLAN Passwort gibt, die aber nicht surfen sollen... Mehr aber auch nicht, die MAC ist innerhalb von ein paar Minuten gespooft...

https://de.wikipedia.org/wiki/MAC-Filter Zitat:
Ein MAC-Filter gilt aus verschiedenen Gründen als ein sicherheitstechnisch schwacher Zugangsschutz.
 
Wenn man WPA2 mit einem entsprechenden Key verwendet (und der Login nicht gerade via admin/admin möglich ist ;)), dann bringt einem eine MAC-Whitelist faktisch keine zusätzliche Sicherheit. Und wenn man sein WLAN offen (oder mit WEP oder mit einem schlechten Passwort) betreibt, dann hat man sowieso ganz andere Probleme, da macht eine MAC-Whitelist dann ohnehin keinen Unterschied mehr. Der "Sicherheitsgewinn" einer MAC-Whitelist ist ungefähr so hoch wie das Unterdrücken der SSID: Kann man machen, bringt im Zweifelsfall aber nix.


Zum zweiten basiert die MAC-Adressensperre erst einmal grundsätzlich darauf, dass die MAC-Adressen nicht (!!!) bekannt sind. Der Fehler beginnt also dort, wo die MAC-Adressen bekannt werden, und wenn das nicht der Fall ist, hilft auch keine Suchmaschine mehr...
Security by obscurity? Das ist natürlich das, was man haben möchte... :rolleyes:
Blöd nur, wenn deine Geräte die MAC ungefragt rausposaunen.


Zum dritten ist das Einfallstor der Repeater, und nicht der Router. Er ist die Schwachstelle, und nicht die Netz-Bekanntheit seiner MAC-Adresse.
Zumindest ist das zu vermuten, ja. Und da hätte eine MAC-Whitelist dann geholfen, weil... :confused:
 
Zuletzt bearbeitet:
Security by obscurity? Das ist natürlich das, was man haben möchte... :rolleyes:

Ist ein bisschen wie bei Einstein hier: Alle denken an die angeblich harten Fakten wie die dreidimensionale MAC-Adresse,
aber keiner denkt an die Relativität und die Zeit...

  1. Wenn man MAC-Adressen faken kann, darf ich das auch.
  2. Wenn man Router hacken kann, verwendet man ab und zu einen anderen.
  3. Wenn die Schwachstelle ein 24h-Router ist, ist die Schwachstelle die Präsenz der Daten: Der unbefristete Token.
 
Zuletzt bearbeitet:
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben