Anmeldung an Router trotz Verschlüsselung möglich?



  • RTFT

    das hatten wir doch schon.. oh man!!
    Er will nicht wissen das er auf ein Kabel umsteigen soll.
    Er wollte wissen wie er auf die schnelle seine NAchbarn aus deinem WLAN schmeisst.
    So also MAC Adressen Filter und / oder feste IP vergabe.

    @cd9000: das mein ich doch. naja und wenn sein Rechner (angenommen er hat nur einen im w-Lan max 2) jetzt aber durchlaufen?

    Für eine firma sicher keine massnahme sowas als schutz zu nehmen, aber um sein nachbarn auszusperren!? das sollte genügen denk ich.

    (problem ist, ich sperre mich abundzu selber aus, wenn ich mal wieder an der router konfig gefummelt habe :D)



  • C-O-M-M-A-N-D-E-R schrieb:

    das mein ich doch. naja und wenn sein Rechner (angenommen er hat nur einen im w-Lan max 2) jetzt aber durchlaufen?

    Wenn die Rechner 24/7 laufen, sind die MAC-Adressen nie verfügbar. IMHO sollte ein Angreifer dann keine gültige MAC-Adresse übernehmen können.

    Aber:
    In welchem privaten Haushalt laufen _alle_ Rechner non-stop?
    Außerdem bin ich mir nicht sicher, was eigentlich passiert, wenn zwei Rechner dieselbe MAC haben. Wenn der Angreifer es geschickt anstellt, könnte das vielleicht sogar funktionieren.

    Fiktives Szenario:
    "home" ist einziger Rechner im Netz. Der Rechner schickt und empfängt nur gelegentlich Daten, ist aber immer an.
    Jetzt kommt ein Angreifer und konfiguriert seinen WLAN-Adapter auf dieselbe MAC und IP wie "home". Da Angreifer noch kein Datenpaket gesendet hat, bekommt weder Router noch "home" etwas vom neuen Rechner mit.
    Der Angreifer schickt nun ein Datenpaket an den Router, z.B. eine HTTP-Get-Anfrage auf das Router-Menü. "home" bekommt davon nichts mit. Der Router nimmt nun an, dass das Paket von "home" kommt (Zuordnung über IP und MAC-Adresse) und antwortet mit dem Router-Menü. Die Antwortpakete werden von beiden Rechnern empfangen, "home" und dem Angreifer.
    Der Angreifer wertet sie aus und sieht so sensible Daten. "home" verwirft diese Pakete aber, da sie zu keiner Verbindung gehören und damit als ungültig erkannt werden.

    Ganz so einfach ist es sicher nicht, weil z.B. jedes Paket eine fortlaufende Sequence Number hat. Die müsste der Angreifer erstmal durch Mithören herausfinden. Sobald er seine Pakete gesendet hat, kann aber "home" keine Pakete mehr senden, weil die Sequence number nicht mehr stimmt, der router würde die Pakete also abweisen.

    p.s.: Alles AFAIK.



  • cd9000 schrieb:

    Wenn die Rechner 24/7 laufen, sind die MAC-Adressen nie verfügbar. IMHO sollte ein Angreifer dann keine gültige MAC-Adresse übernehmen können.

    Aber:
    In welchem privaten Haushalt laufen _alle_ Rechner non-stop?

    Könnte zb. in Studenten-WGs mit hohem Informatiker-Anteil so sein. Also zumindest
    meine MAC-Adresse bekommt der Nachbar nur nach einem Stromausfall den ich nicht
    mitbekommen habe 🙂

    MFK schrieb:

    Was du unter "DHCP Client Log" siehst, sind nicht die aktuell verbundenen Clients, sondern die DCHP-Leases.

    Will heissen die verfügen über einige "unserer" IPs?
    Was heisst das nun konkret? Anpingen kann ich diese IPs z.B. nicht (mehr).

    Danke im Voraus,
    Khadgar



  • ok mal ernsthaft ich bin fachinformatiker und weiß auf anhieb net wie ich ne MAC adresse setze das muss ich erst nachlesen ich denke nicht das so ein großes Problem is aber wenn ich erst nachlesen muss was macht dann ottonormalDau der zufällig bei seinem nachbarn mitsurft? Er guckt in die Röhre oder ruft meine Firma an und ich sage ihm dann das er ja gar keinen Router hat er wundert sich und behauptet mit seinem neuen aldi notebook sei er schon immer ins Netz gekommen (das hat er ja mitbezahlt) da hätter er noch nie sowas wie nen Provider oder nen Router gebraucht und ich bin ja sowieso doof da soll doch bitte n Kollege der sich auskennt kommen 😃



  • Wenn du weißt wer es ist, dann werf bei den Leuten ein Brief in den Briefkasten in dem du mit Strafanzeige drohst, falls sie weiterhin dein WLAN benutzen.
    Wenn du nicht genau weißt wer es ist häng halt einen Zettel an den Hauseingang wo in jeder lesen kann. Sollte wirken. Wenn die Leute wissen das du es gemerkt hast, werden sie es wohl sein lassen.



  • problematisch wird erst dann wenn sie nicht wissen das sie dein LAN benutzen was z.b. wenn einer sein eigenen Router hat und der net funktioniert das merkt der unter umständen garnet weil der eben einfach "ausgewichen" is sperr die Leute zuerst aus dann kann sich auch niemand rausreden ich hab von nix gewust denn wer erst seine MAC-adresse fälschen muss um in dein Netz zu kommen der handelt vorsätzlich. Ich hab keine Ahnung is das eigentlich erlaubt das ich bei meinem Nachbarn mitsurfe wenn der sein Netz nicht gesichert hat? Es is ja z.B. auch nicht strafbar auf Daten zuzugreifen die nicht gesichert sind strafbar wirds doch erst wenn ich eine sicherung aushebel (siehe Peter Huth und Kundendaten *muuuahahahaha*)

    MFG eiskalt



  • eiskalt schrieb:

    Ich hab keine Ahnung is das eigentlich erlaubt das ich bei meinem Nachbarn mitsurfe wenn der sein Netz nicht gesichert hat?

    Das verbieten schon Moral und Anstand.



  • Khadgar schrieb:

    MFK schrieb:

    Was du unter "DHCP Client Log" siehst, sind nicht die aktuell verbundenen Clients, sondern die DCHP-Leases.

    Will heissen die verfügen über einige "unserer" IPs?
    Was heisst das nun konkret? Anpingen kann ich diese IPs z.B. nicht (mehr).

    Der DCHP-Server in deinem Router vergibt IP-Adressen. Dabei merkt er sich, welche IP er an welche MAC-Adresse verteilt hat, damit er dieser MAC-Adresse, wenn der Rechner sich trennt und später wieder verbindet, dieselbe IP geben kann. Das nennt man einen Lease. Die IP-Adresse wird also für eine gewisse Zeit an diese MAC-Adresse "ausgeliehen". Wie lange dieser Lease gültig ist, hängt vom Router ab. Man misst diese Zeit aber in Tagen, Wochen oder Monaten, manchmal auch dauerhaft, je nachdem, wie begrenzt der IP-Adresspool ist.
    Ein Rechner, der in der Lease-Liste steht, kann also durchaus schon seit Wochen nicht mehr mit dem Router verbunden gewesen sein.



  • kenn ich schon schrieb:

    Das verbieten schon Moral und Anstand.

    abgesehen davon



  • WEP ist zwar knackbar, aber wer das schonmal selbst probiert hat, dem wird das für ein Heimnetz voll reichen...
    Naja gut, in 'ner Studibude vielleicht nicht. Da bleibt auch WPA nicht, da auch nicht sicher. Also nur was über SecureSockets oder so.
    Fazit: Mach' 'nen VPN-Server, der das einzige Gateway zum Netz ist.



  • Hmm. Das scheint nun alles zu laufen.
    Vielen Dank an alle die sich beteiligt haben 🙂


Anmelden zum Antworten