Ich war schon ziemlich überrascht als ich heute Morgen feststellten mustte, dass zur MAC meines neuen Fernsehers - gleich 2 IPs in Benutzung waren :lach:
Anfangs dachte ich noch, der Fernseher benötige die 2 IPs um z.B. Internet, Streaming usw.. gleichzeitig bedienen zu können. Aber .. selbst nachdem ich den Fernseher komplett abgeschaltet- und den Router neu gebootet habe, hat sich die IP mit der MAC vom SmartTV immer wieder neu verbunden. Tja, die Schwachstelle wird wohl der neue Xiaomi SmartTV mit Android 9 gewesen sein. Da bin ich bezüglich ARP-Spoofing ziemlich nachlässig gewesen, schon weil ich überhaupt nicht mit gerechnet habe. Corona sorgt dafür, dass meine Nachbarn ziemlich viel Zeit haben -Blödsinn zu machen. :auro:

Ich war schon ziemlich überrascht als ich heute Morgen feststellten mustte, dass zur MAC meines neuen Fernsehers - gleich 2 IPs in Benutzung waren :lach:
Anfangs dachte ich noch, der Fernseher benötige die 2 IPs um z.B. Internet, Streaming usw.. gleichzeitig bedienen zu können. Aber .. selbst nachdem ich den Fernseher komplett abgeschaltet- und den Router neu gebootet habe, hat sich die IP mit der MAC vom SmartTV immer wieder neu verbunden. Tja, die Schwachstelle wird wohl der neue Xiaomi SmartTV mit Android 9 gewesen sein. Da bin ich bezüglich ARP-Spoofing ziemlich nachlässig gewesen, schon weil ich überhaupt nicht mit gerechnet habe. Corona sorgt dafür, dass meine Nachbarn ziemlich viel Zeit haben -Blödsinn zu machen. :auro:

Wie bist du überhaupt darauf gekommen? Ich schaue mir in regelmässigen Abständen die Resulltate meines NMAP scans an. Hattest du dort einen doppelten Eintrag, oder wie ist dir das aufgefallen? Vielleicht sollte ich es selbst um einen Nping ARP scan erweitern? Aber nein, meine Nachbarn sind zu weit weg. Was hast du denn für Nachbarn, und wie wird dein Gegenschlag aussehen? :D

Ich war schon ziemlich überrascht als ich heute Morgen feststellten mustte, dass zur MAC meines neuen Fernsehers - gleich 2 IPs in Benutzung waren :lach:
Anfangs dachte ich noch, der Fernseher benötige die 2 IPs um z.B. Internet, Streaming usw.. gleichzeitig bedienen zu können. Aber .. selbst nachdem ich den Fernseher komplett abgeschaltet- und den Router neu gebootet habe, hat sich die IP mit der MAC vom SmartTV immer wieder neu verbunden. Tja, die Schwachstelle wird wohl der neue Xiaomi SmartTV mit Android 9 gewesen sein. Da bin ich bezüglich ARP-Spoofing ziemlich nachlässig gewesen, schon weil ich überhaupt nicht mit gerechnet habe. Corona sorgt dafür, dass meine Nachbarn ziemlich viel Zeit haben -Blödsinn zu machen. :auro:

Ich frage mich gerade, wieso beziehen Deine Nachbarn eine IP von Dir? Gemeinschaftsnetzwerk?

Ich frage mich gerade, wieso beziehen Deine Nachbarn eine IP von Dir? Gemeinschaftsnetzwerk?

Taten sie nicht. Sie haben ARP-Spoofing betrieben, d.h. sie haben eines ihrer Geräte als eines seines Netzwerkes ausgegeben. Dadurch bekam es eben auch eine IP, und zwar die des korrekten Gerätes.

Ich war schon ziemlich überrascht als ich heute Morgen feststellten mustte, dass zur MAC meines neuen Fernsehers - gleich 2 IPs in Benutzung waren :lach:
Anfangs dachte ich noch, der Fernseher benötige die 2 IPs um z.B. Internet, Streaming usw.. gleichzeitig bedienen zu können. Aber .. selbst nachdem ich den Fernseher komplett abgeschaltet- und den Router neu gebootet habe, hat sich die IP mit der MAC vom SmartTV immer wieder neu verbunden. Tja, die Schwachstelle wird wohl der neue Xiaomi SmartTV mit Android 9 gewesen sein. Da bin ich bezüglich ARP-Spoofing ziemlich nachlässig gewesen, schon weil ich überhaupt nicht mit gerechnet habe. Corona sorgt dafür, dass meine Nachbarn ziemlich viel Zeit haben -Blödsinn zu machen. :auro:
Sowas würde ich überhaupt nicht bemerken....

Das ist mit großer Wahrscheinlichkeit absoluter Quatsch...
Ich nehme doch mal an, du hast ein sicheres WLAN-PW ? Mit WPA 2?
Dann ist das sehr unwahrscheinlich.

Sowas würde ich überhaupt nicht bemerken....
Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

Wie bist du überhaupt darauf gekommen? Ich schaue mir in regelmässigen Abständen die Resulltate meines NMAP scans an. Hattest du dort einen doppelten Eintrag, oder wie ist dir das aufgefallen? Vielleicht sollte ich es selbst um einen Nping ARP scan erweitern? Aber nein, meine Nachbarn sind zu weit weg. Was hast du denn für Nachbarn, und wie wird dein Gegenschlag aussehen? :D

Der letzten Frage möchte ich mich anschließen und eine Idee hätte ich auch schon. :P

Es ist jedoch in der BRiD so, daß seit der Einführung des sogen. Hacker-Paragraphen die alltäglichen Aufgaben von Netzwerkadmins und Sicherheitsexperten erschwert wurden, von Privatanwendern ganz zu schweigen.

Insofern erst mal die Anfrage, inwieweit man hierzustrang ausführlicher werden könnte, um die Problematik zu beleuchten. Gerade das Thema MITM fände ich ohnehin erörterungswert.

Wie bist du überhaupt darauf gekommen? Ich schaue mir in regelmässigen Abständen die Resulltate meines NMAP scans an. Hattest du dort einen doppelten Eintrag, oder wie ist dir das aufgefallen? Vielleicht sollte ich es selbst um einen Nping ARP scan erweitern? Aber nein, meine Nachbarn sind zu weit weg. Was hast du denn für Nachbarn, und wie wird dein Gegenschlag aussehen? :D

Den Hinweis bekam ich über "arpalert" . Allerdings hatte ich das Tool anfangs nur auf die schnelle eingerichtet, so dass es keine Logs von sich gab sondern nur über Zustand selbst (systemd status). Schon seit gut 10 Stunden bin ich jetzt dran, die Lücken zu schließen. WPA-PSK ganz besonders ipv4 sind nun mal angreifbar . Folgendes habe ich bisher gemacht ...

- ARP im Kernel deaktiviert und anschließend statisch eingerichtet.
- Clients isoliert
- Von WPA-PSK auf WPA-EAP (802.1X) umgestellt. Teils mit Key (TLS). Der Fernseher kann nur PEAP ohne Zertifikat.
- Ein Script geschrieben das die Verbindung blockt. Dafür verwende ich IPtables. Später soll nur die entsprechende MAC angesprochen werden. Macchanger könnte ich auch nehmen, allerdings geht es dann statisch nicht mehr und dnsmasq könnte dann auch nicht mehr die IPs zuordnen.

.Arpalert ist jetzt erst einmal so eingerichtet das Ganze ein wenig zu loggen. Fernseher mit Android 9, letzte Aktualisierung -Juni 2020- :auro:. Tja ..

Taten sie nicht. Sie haben ARP-Spoofing betrieben, d.h. sie haben eines ihrer Geräte als eines seines Netzwerkes ausgegeben. Dadurch bekam es eben auch eine IP, und zwar die des korrekten Gerätes.

Richtig und die Schwachstelle ist/war? der Fernseher den ich jetzt auf WPA-EAP umgestellt habe. Dazu benötigt man die Passphrase und eine ID. Somit wäre spoofing kaum noch möglich. Aber, ich weiß nicht was für Lücken in Android 9 so sind. Ich werde es weiter beobachten. Ist ein Xiaomi SmartTV

Hattest du dort einen doppelten Eintrag, oder wie ist dir das aufgefallen?

Zwei IPs vom internen Netzwerk mit der selben MAC. Nachdem der Fernseher ausgeschaltet wurde, hat sich die FAKE-MAC + IP selbst nach einem Neustart des Server/Routers -sofort wieder verbunden.

Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

Erübrigt sich für mich, dieser Hickhack. Wlan ist standartmäßig ausgeschaltet, läuft alles über Kabel.
Da hackt sich, zumindest über Funk, niemand rein, da auf diesem Wege schlicht unmöglich.

Erübrigt sich für mich, dieser Hickhack. Wlan ist standartmäßig ausgeschaltet, läuft alles über Kabel.
Da hackt sich, zumindest über Funk, niemand rein, da auf diesem Wege schlicht unmöglich.

Jep die paar Euro für die Kabel und ein wenig Mühe sind mir das ganze Wert. Hab dadurch sogar minimal bessere Pings auch wenn mir immer wieder welche verklickern daß das nicht sein kann...

Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.
Das weiss ich, Du Nase. Nur muss ich das bisher über den Rechner ansteuern, was ich nur tue, wenn irgendwelche Dinge nicht funktionieren. Wenn ich es richtig verstehe, dann hat der User eine App, was das ganze erklärt.

Das ist mit großer Wahrscheinlichkeit absoluter Quatsch...
Ich nehme doch mal an, du hast ein sicheres WLAN-PW ? Mit WPA 2?
Dann ist das sehr unwahrscheinlich.


Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

Das hat nichts mit einem Gastzugang zu tun. Prinzipiell ist alles was übers WLAN versendet wird, für alle Geräte einsehbar. Verschlüsselung hilft bei dem Inhalt der Daten, aber nicht der Regelung des Datenverkehrs selbst, dem Address Resolution Protocol (ARP). Dieses Protokoll sagt aus, welches Gerät mit welchem anderen Gerät kommuniziert, und man kann eben erst nach dem Empfang bestimmen, ob die Nachricht auch an ein bestimmtes Gerät gerichtet war. Nur leider kann man das auch eben mit einem anderen Gerät simulieren, denn die Informationen zum Routing sind frei empfangbar. Für den Router sieht es dann so aus wie das ursprüngliche Gerärt, dass auch zugelassen wurde, denn die MAC Adressen unterscheiden sich nicht.

Damit verlagern sich viele Sicherheitsaspekte auf die nächst höhere Ebene, d.h. was für eine Art von Datenverkehr zugelassen wird, und wie sicher das Protokoll ist. Deshalb änderte Mandarine auch seine Verschlüsselung. Zudem weiss ich, dass er wirklich nur die notwendigsten Ports offen hat.

Das hat nichts mit einem Gastzugang zu tun. Prinzipiell ist alles was übers WLAN versendet wird, für alle Geräte einsehbar. Verschlüsselung hilft bei dem Inhalt der Daten, aber nicht der Regelung des Datenverkehrs selbst, dem Address Resolution Protocol (ARP). Dieses Protokoll sagt aus, welches Gerät mit welchem anderen Gerät kommuniziert, und man kann eben erst nach dem Empfang bestimmen, ob die Nachricht auch an ein bestimmtes Gerät gerichtet war. Nur leider kann man das auch eben mit einem anderen Gerät simulieren, denn die Informationen zum Routing sind frei empfangbar. Für den Router sieht es dann so aus wie das ursprüngliche Gerärt, dass auch zugelassen wurde, denn die MAC Adressen unterscheiden sich nicht.

Damit verlagern sich viele Sicherheitsaspekte auf die nächst höhere Ebene, d.h. was für eine Art von Datenverkehr zugelassen wird, und wie sicher das Protokoll ist. Deshalb änderte Mandarine auch seine Verschlüsselung. Zudem weiss ich, dass er wirklich nur die notwendigsten Ports offen hat.
AHA! Woher weisst Du das? Hast Dich wohl eingehackt, oder was?! :D

Das hat nichts mit einem Gastzugang zu tun. Prinzipiell ist alles was übers WLAN versendet wird, für alle Geräte einsehbar. Verschlüsselung hilft bei dem Inhalt der Daten, aber nicht der Regelung des Datenverkehrs selbst, dem Address Resolution Protocol (ARP). Dieses Protokoll sagt aus, welches Gerät mit welchem anderen Gerät kommuniziert, und man kann eben erst nach dem Empfang bestimmen, ob die Nachricht auch an ein bestimmtes Gerät gerichtet war. Nur leider kann man das auch eben mit einem anderen Gerät simulieren, denn die Informationen zum Routing sind frei empfangbar. Für den Router sieht es dann so aus wie das ursprüngliche Gerärt, dass auch zugelassen wurde, denn die MAC Adressen unterscheiden sich nicht.

Damit verlagern sich viele Sicherheitsaspekte auf die nächst höhere Ebene, d.h. was für eine Art von Datenverkehr zugelassen wird, und wie sicher das Protokoll ist. Deshalb änderte Mandarine auch seine Verschlüsselung. Zudem weiss ich, dass er wirklich nur die notwendigsten Ports offen hat.

Man kann die MAC-Adresse eines Geräts simulieren, das ist mir bekannt.
Aber man kann sich mit dem Gerät doch trotzdem nur dann im WLAN anmelden, wenn man das PW hat?

Oder habe ich das falsch verstanden?
Das wäre ja sonst verheerend...

Bei mir kann sich sowieso jedes Gerät anmelden, das eben das WLAN-PW hat.
Soll das etwa heißen, wenn ich die MAC-Adresse eines angemeldeten Geräts kenne, kann ich mich ohne PW ins WLAN schalten ???

Ich glaube in diesem Fall, dass der Fernseher einfach 2 IPs benutzt...

Taten sie nicht. Sie haben ARP-Spoofing betrieben, d.h. sie haben eines ihrer Geräte als eines seines Netzwerkes ausgegeben. Dadurch bekam es eben auch eine IP, und zwar die des korrekten Gerätes.

Mir ist schon klar wie ARP Spoofing funktioniert - mach ich ja selbst auch, damit ich beim Wechsel der Firewall die fixe IP Adresse nicht verliere (wird auf die MAC gefixt seitens Provider)

Aber, um ARP Spoofing überhaupt betreiben zu können musst Du schon im Netz sein und von der IP reden wir mal gar nicht (DHCP Request).

Sprich, die müssen in einem verkabelten Netz einen Port benutzen oder aber im Wireless zumindest über den Schlüssel verfügen, da auch da der DHCP Request erst nach der Auth kommt. Es sei denn, sein Wireless Netz ist nur per MAC Filter geschützt was ich mir jetzt aber bei Mandarine nicht vorstellen kann.

Bleibt mir immer noch die Frage, wie zum Geier können die überhaupt in sein internes Netz DHCP Request's (mit gefälschter MAC) absetzen?

Man kann die MAC-Adresse eines Geräts simulieren, das ist mir bekannt.
Aber man kann sich mit dem Gerät doch trotzdem nur dann im WLAN anmelden, wenn man das PW hat?

Oder habe ich das falsch verstanden?
Das wäre ja sonst verheerend...

Bei mir kann sich sowieso jedes Gerät anmelden, das eben das WLAN-PW hat.
Soll das etwa heißen, wenn ich die MAC-Adresse eines angemeldeten Geräts kenne, kann ich mich ohne PW ins WLAN schalten ???

Ich glaube in diesem Fall, dass der Fernseher einfach 2 IPs benutzt...

Fettung durch mich

Nein, hast Du nicht - wäre dem wirklich so wäre es ja noch einfacher in solch ein Netz zu kommen als zu WEP Zeiten als man einfach ein paar Pakete aufzeichnen musste und dann den Schlüssel errechnen konnte (aircrack).

Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

Ich wüsste nicht das die FritzBox ARP-Binding beherrscht. Wie also möchtest Du deiner Box sagen, dass es Pakete an die festgelegte IP mit der dazu eingetragene MAC sendet und nicht an ein anderes Netwerk das ARP-Spoofing nutzt ? Meine dinamische ARP Tabelle sagte mir, dass alles in Ordnung wäre. Sicherheitsmechanismen bemerkten zwar einige Anomalien, allerdings waren keine Hinweise über ARP-Spoofing erkennbar. Erst mit nmap mit den entsprechen Datenbanken "nmap-vulners und scipag-vulscan" konnte ich weiterhin 2 IPs mit derselben MAC finden. Das Problem habe ich inzwischen gelöst. Jetzt heißt es, Passwörter, Schlüssel, Zertifikate zu prüfen auch wenn ich sicher sein kann, dass der Router nichts abbekommen hat. Meine Daten blieben wohl auch Dank DNS Verschlüsselung geschützt. Vorsichtshalber habe ich aber u.a. meine Zugangsdaten für Banking, Depot usw.. aktualisiert. Man weiß ja nie ;)

In Rot markiert sind die 2 IPs mit derselben MAC



nmap -sV --script vulscan/nmap-vulners 154.121.X.X/24 > /var/log/vulscan.log
---------------------------------------------------------------------------------------
Starting Nmap 7.70 ( https://nmap.org ) at 2021-02-07 10:19 CET
Nmap scan report for fireblade.debian (154.121.X.30)
Host is up (0.0035s latency).
MAC Address: EF:XX:XX:XX:XX:41 (Unknown)
Nmap scan report for thinkpad.debian (154.121.X.XX)
Host is up (0.0024s latency).
MAC Address: 81:XX:XX:XX:XX:62 (Intel Corporate)
Nmap scan report for lifebook.debian (154.121.X.XX)
Host is up (0.0040s latency).
MAC Address: 54:XX:XX:XX:XX:25 (Unknown)
Nmap scan report for surfbook.debian (154.121.X.XX)
Host is up (0.0024s latency).
MAC Address: 41:XX:XX:XX:XX:A9 (Shenzhen Four Seas Global Link Network Technology)
Nmap scan report for mis4tv.debian (154.121.X.42)
Host is up (-0.14s latency).
MAC Address: EF:XX:XX:XX:XX:41 (Unknown)
....

Ich wüsste nicht das die FritzBox ARP-Binding beherrscht. Wie also möchtest Du deiner Box sagen, dass es Pakete an die festgelegte IP mit der dazu eingetragene MAC sendet und nicht an ein anderes Netwerk das ARP-Spoofing nutzt ? Meine dinamische ARP Tabelle sagte mir, dass alles in Ordnung wäre. Sicherheitsmechanismen bemerkten zwar einige Anomalien, allerdings waren keine Hinweise über ARP-Spoofing erkennbar. Erst mit nmap mit den entsprechen Datenbanken "nmap-vulners und scipag-vulscan" konnte ich weiterhin 2 IPs mit derselben MAC finden. Das Problem habe ich inzwischen gelöst. Jetzt heißt es, Passwörter, Schlüssel, Zertifikate zu prüfen auch wenn ich sicher sein kann, dass der Router nichts abbekommen hat. Meine Daten blieben wohl auch Dank DNS Verschlüsselung geschützt. Vorsichtshalber habe ich aber u.a. meine Zugangsdaten für Banking, Depot usw.. aktualisiert. Man weiß ja nie ;)

In Rot markiert sind die 2 IPs mit derselben MAC

154.121.x.x - was zum Geier hast Du für ein internes Netz? Das ist ja der Range von Algeire Telecom ( 154.121.0.0 - 154.121.255.255 ) -> https://search.arin.net/rdap/?query=154.121.100.42

154.121.x.x - was zum Geier hast Du für ein internes Netz? Das ist ja der Range von Algeire Telecom ( 154.121.0.0 - 154.121.255.255 ) -> https://search.arin.net/rdap/?query=154.121.100.42

Ist die interne IP-Range, nur leicht verändert. Wollen ja nicht alles preisgeben. :))

Ist die interne IP-Range, nur leicht verändert. Wollen ja nicht alles preisgeben. :))

Du meinst Du änderst auch noch die vorderen Bereiche aus Sicherheitsbedenken? Statt 192.168.x.x machst du dann halt 154.121 was nicht mal eine interne IP ist? Hört sich alles ein bisschen suspekt an.

Ich frage mich nach wie vor, wie man ein Netz per WLAN mit ARP Poisoning beeinflussen will, wenn doch WLAN Verschlüsselung im Layer 2 abläuft und die ganze TCP/IP/ARP Geschichte im Layer 3?

AHA! Woher weisst Du das? Hast Dich wohl eingehackt, oder was?! :D

Ich benutze in Hotels immer VPN, egal was ich mache. :D


Man kann die MAC-Adresse eines Geräts simulieren, das ist mir bekannt.
Aber man kann sich mit dem Gerät doch trotzdem nur dann im WLAN anmelden, wenn man das PW hat?

Oder habe ich das falsch verstanden?

Für den Router bist du bereits angemeldet, d.h. mit einem korrekt angemeldeten Gerät identisch. Dies konkret ausnützen zu können ist jedoch nicht so einfach. Es ist eine Frage, wieviele Datenpakete erbeutet werden können, z.T. auch wie der Router konfiguriert ist, und welche Verschlüsselung er unterstützt.



Das wäre ja sonst verheerend...

Nich ganz. Das Signal muss prinzpiell stärker sein als das des eigentlich angemeldeten Gerätes. Und das ist nicht so einfach, zumindest in einem Einfamilienhaus. Weitaus problematischer wird es in Wifi-Netzwerken, die nicht selbt von einem betrieben werden. (Dementsprechend auch mein Hinweis mit dem VPN.)



Bei mir kann sich sowieso jedes Gerät anmelden, das eben das WLAN-PW hat.
Soll das etwa heißen, wenn ich die MAC-Adresse eines angemeldeten Geräts kenne, kann ich mich ohne PW ins WLAN schalten ???

Du kannst zumindest Datenpakete versenden, ja. Ob die Protokolle zum eigentlichen Datenaustausch dies mitmachen, ist dann wieder eine andere Frage. Für den Router bist du weitgehend mit dem korrekt angemeldeten Gerät identisch. Er hat wirklich nur die MAC Adresse, um das Gerät zu identifizieren, wenn es um das rein Senden und Empfangen von Datenpaketen geht.



Ich glaube in diesem Fall, dass der Fernseher einfach 2 IPs benutzt...

Es meldete sich laut Mandarine etwas mit der MAC Adresse des Fernsehers an, selbst als dieser abgeschaltet war.


Mir ist schon klar wie ARP Spoofing funktioniert - mach ich ja selbst auch, damit ich beim Wechsel der Firewall die fixe IP Adresse nicht verliere (wird auf die MAC gefixt seitens Provider)

Aber, um ARP Spoofing überhaupt betreiben zu können musst Du schon im Netz sein und von der IP reden wir mal gar nicht (DHCP Request).

Nein, Wifi-Datenpakete sind frei lesbar, der Inhalt ist wahrscheinlich verschlüsselt, die Routing-Informationen sind es nicht. Sendest du etwas mit der gleichen Macadresse eines angemeldeten Gerätes, so geht der Router erst einmal davon aus, dass es sich um das Gerät handelt. Wenn man seine WiFi-Karte schon einmal in den Monitor-Modus geschaltet hat, kann man problemlos nachverfolgen, welche MAC Adressen auf einem Wifi-Netzwerk Daten austauschen.



Sprich, die müssen in einem verkabelten Netz einen Port benutzen oder aber im Wireless zumindest über den Schlüssel verfügen, da auch da der DHCP Request erst nach der Auth kommt. Es sei denn, sein Wireless Netz ist nur per MAC Filter geschützt was ich mir jetzt aber bei Mandarine nicht vorstellen kann.

Nein. Die (z.B.) WPA-Verschlüsselung bleibt bestehen. Das ist mehr oder weniger der Schutz, basierend auf dem geringsten Standard, den ein Gerät im Netzwerk unterstützt.



Bleibt mir immer noch die Frage, wie zum Geier können die überhaupt in sein internes Netz DHCP Request's (mit gefälschter MAC) absetzen?

Er braucht keinen DHCP Request. Diese Zuordnung von MAC Adresse zu IP besteht bereits für das angemeldete Gerät. Man kann prinzipiell Daten mit beliebigen MAC Adressen versenden. Ob man damit über den Link Layer hinauskommt, ist dann wieder ein andere Frage. Bei neueren Routern ist das nicht so einfach, bleibt aber letztendlich eine Frage des Aufwands.

Den Hinweis bekam ich über "arpalert" . [...]

Habe ich jetzt mal auf meiner PI eingerichtet. Mal sehen, ob das was passiert. ;)

Du meinst Du änderst auch noch die vorderen Bereiche aus Sicherheitsbedenken? Statt 192.168.x.x machst du dann halt 154.121 was nicht mal eine interne IP ist? Hört sich alles ein bisschen suspekt an.


Du bist heute schon der Zweite der das anspricht. :auro:

Habe ich jetzt mal auf meiner PI eingerichtet. Mal sehen, ob das was passiert. ;)

Du könntest damit z.B. ein Script ausführen lassen. Wenn-MAC-nicht-zur-IP-gehört-dann-blocken. Oder blacklisten ...

Nein, Wifi-Datenpakete sind frei lesbar, der Inhalt ist wahrscheinlich verschlüsselt, die Routing-Informationen sind es nicht. Sendest du etwas mit der gleichen Macadresse eines angemeldeten Gerätes, so geht der Router erst einmal davon aus, dass es sich um das Gerät handelt. Wenn man seine WiFi-Karte schon einmal in den Monitor-Modus geschaltet hat, kann man problemlos nachverfolgen, welche MAC Adressen auf einem Wifi-Netzwerk Daten austauschen.

Auch an Dich die Frage - wo ist IP/ARP im OSI Layer und wo die Verschlüsselung des WLANs? Layer 2 / Layer 3 - wie willst Du jetzt also den AP dazu bewegen, Deine Pakete anzunehmen und zu entschlüsseln, und somit die ARP Poisoning Attacke erst möglich zu machen (weil eben Layer3)?



Nein. Die (z.B.) WPA-Verschlüsselung bleibt bestehen. Das ist mehr oder weniger der Schutz, basierend auf dem geringsten Standard, den ein Gerät im Netzwerk unterstützt.

Das ist klar - und dennoch reden wir immer noch von Layer2 / Layer 3. Sprich damit die ARP Attacke überhaupt gefahren werden kann, muss Dein Paket richtig verschlüsselt sein, so dass der AP und letztendlich der DHCP (ob auf dem Router oder dem AP selbst ist unerheblich) den ARP Poisoning kriegen kann. Oder bist Du wirklich der Meinung, dass jedes WLAN es zulässt, dass Du Dir ne interne IP schnallst ohne das Netzwerk ordnungsgemäss betrittst?




Er braucht keinen DHCP Request. Diese Zuordnung von MAC Adresse zu IP besteht bereits für das angemeldete Gerät. Man kann prinzipiell Daten mit beliebigen MAC Adressen versenden. Ob man damit über den Link Layer hinauskommt, ist dann wieder ein andere Frage.

Fettung durch mich

Was meinst Du genau mit dem "angemeldeten Gerät"? Bei einer Verbindung ins WLAN stellst Du zuerst eine 802.11 AA A(Authentication und Association) Verbindung her, die hat aber noch nichts mit IP/ARP zu tun. Erst wenn dieser Schritt vollzogen ist, geht es los mit ARP/IP und sicher nicht davor. Wäre ja ein ziemlich grobfahrlässiges Design.

Es meldete sich laut Mandarine etwas mit der MAC Adresse des Fernsehers an, selbst als dieser abgeschaltet war.



Die Schwachstelle ist/war der Fernseher. Stand - Sicherheitsupdates: 06/2020. Da wird wohl auch nichts mehr kommen so das ich mir überlegt habe, einen neunen zu kaufen. Man kann kaum was einstellen bzw. unnütze Dienste ausschalten. Das ganze Google Zeug lässt sich nicht deinstallieren oder deaktivieren. https://www.techsaaz.com/how-to/hack-wifi-password-on-android/

ps.. So, Fernsehen nur noch ohne WLAN. deaktiviert.

Die Schwachstelle ist/war der Fernseher. Stand - Sicherheitsupdates: 06/2020. Da wird wohl auch nichts mehr kommen so das ich mir überlegt habe, einen neunen zu kaufen. Man kann kaum was einstellen bzw. unnütze Dienste ausschalten. Das ganze Google Zeug lässt sich nicht deinstallieren oder deaktivieren. https://www.techsaaz.com/how-to/hack-wifi-password-on-android/

ps.. So, Fernsehen nur noch ohne WLAN. deaktiviert.

Die Schwachstelle ist/war der Fernseher. Stand - Sicherheitsupdates: 06/2020.
Das ist doch schön, so eine einfache Problemlösung, ist es nicht?
Wenn es für dieses IoT-Gedöns keine Updates mehr gibt, ergeben sich Probleme. Noch mehr, als ohnehin.
So bedarf es hierzustrang wohl keiner weitergehenden Infos mehr, made from the command line with vim.

Das ist doch schön, so eine einfache Problemlösung, ist es nicht?
Wenn es für dieses IoT-Gedöns keine Updates mehr gibt, ergeben sich Probleme. Noch mehr, als ohnehin.
So bedarf es hierzustrang wohl keiner weitergehenden Infos mehr, made from the command line with vim.
Aufgeschreckt durch diesen Strang habe ich noch mal neu gescannt. Der Samsung Fernseher kann nur empfangen, hatte ich aber schon beim Installieren so eingerichtet.
Und gerade eine halbe Stunde ein unbekanntes Gerät gesucht. War ein FireTV - Stick, der gar nicht angeschlossen ist, aber noch unter Strom stand

Das ist doch schön, so eine einfache Problemlösung, ist es nicht?
Wenn es für dieses IoT-Gedöns keine Updates mehr gibt, ergeben sich Probleme. Noch mehr, als ohnehin.
So bedarf es hierzustrang wohl keiner weitergehenden Infos mehr, made from the command line with vim.

So schaut`s aus. Ich betreibe den Fernseher zwar jetzt ohne Internet, das WLAN lässt sich aber nicht deaktivieren.
Außerdem bekomme ich jetzt auf N-TV die Info "Lade Daten .." nur weg, wenn ich kurz einmal auf einen anderen Kanal umschalte. Kann mich nicht daran erinnern ob es auch vorher schon so war :hmm:

Vielleicht kaufe ich mir ja den hier https://www.computerbild.de/artikel/cb-Tests-Monitore-Philips-Momentum-558M1-Vergleich-Fernseher-55-Zoll-27764503.html schließe Linux dran und bin immer up-to-date :D

So schaut`s aus. Ich betreibe den Fernseher zwar jetzt ohne Internet, das WLAN lässt sich aber nicht deaktivieren.
Außerdem bekomme ich jetzt auf N-TV die Info "Lade Daten .." nur weg, wenn ich kurz einmal auf einen anderen Kanal umschalte. Kann mich nicht daran erinnern ob es auch vorher schon so war :hmm:

Vielleicht kaufen mir ja den hier https://www.computerbild.de/artikel/cb-Tests-Monitore-Philips-Momentum-558M1-Vergleich-Fernseher-55-Zoll-27764503.html schließe Linux dran und bin immer up-to-date :D

Besten Dank für diese Schnittstelle zur Realität. Habe dieses Gedöns selber nicht und kann von daher nur sehr begrenzt mitreden.
IoT hat jede Menge Tücken, was sich rein theoretisch schon ergibt.
Speziell das mit den fehlenden Updates wäre ein Punkt, darüber nachzudenken m.E.
Wobei mich speziell das Thema MITM interessiert, welches ja da auch zum Tragen kommt.
Da ich nicht weiß, inwieweit man hierzuforum dieses Thema en detail diskutieren kann, belasse ich es bei diesen Anspielungen.

Du könntest damit z.B. ein Script ausführen lassen. Wenn-MAC-nicht-zur-IP-gehört-dann-blocken. Oder blacklisten ...

Ich habe Für alle mir bekannten Geräte eine Whitelist eingerichtet. Mal sehen, ob ich irgendetwas im log finde. Bisher freilich nicht.


Auch an Dich die Frage - wo ist IP/ARP im OSI Layer und wo die Verschlüsselung des WLANs? Layer 2 / Layer 3 - wie willst Du jetzt also den AP dazu bewegen, Deine Pakete anzunehmen und zu entschlüsseln, und somit die ARP Poisoning Attacke erst möglich zu machen (weil eben Layer3)?

Eine komplette Attacke ist das nicht. Sowoh ARP und WPA sind meines Wissens im Data Link Layer, also Layer 2. WPA verschlüsselt aber nicht den gesamten Frame, sondern nur die Payload. Die Pakete kann über Wifi wirklich jeder annehmen.



Das ist klar - und dennoch reden wir immer noch von Layer2 / Layer 3. Sprich damit die ARP Attacke überhaupt gefahren werden kann, muss Dein Paket richtig verschlüsselt sein, so dass der AP und letztendlich der DHCP (ob auf dem Router oder dem AP selbst ist unerheblich) den ARP Poisoning kriegen kann. Oder bist Du wirklich der Meinung, dass jedes WLAN es zulässt, dass Du Dir ne interne IP schnallst ohne das Netzwerk ordnungsgemäss betrittst?


Man schnallt sich keine IP, sondern eine MAC Adresse. Aber jede AP kann aber auch alle verschlüsselten Pakete auch so empfangen, dazu bedarf es keines ARP Spoofing. Es fällt nur deutlich weniger auf, wenn man sich dann an der Entschlüsselung versucht, und dieser Angriff mit einer bereits bestehenden MAC Adresse erfolgt. (Neben DDOS-Geschichten und anderen Spässen.)



Fettung durch mich

Was meinst Du genau mit dem "angemeldeten Gerät"? Bei einer Verbindung ins WLAN stellst Du zuerst eine 802.11 AA A(Authentication und Association) Verbindung her, die hat aber noch nichts mit IP/ARP zu tun. Erst wenn dieser Schritt vollzogen ist, geht es los mit ARP/IP und sicher nicht davor. Wäre ja ein ziemlich grobfahrlässiges Design.

Es geht hier nicht einmal um eine Verbindung. Auf dem Level von ARP ist die wirklich nur ein Austausch zwischen MAC Adressen. Und ja, ARP ist veraltet und hat selbst kein AA.

Besten Dank für diese Schnittstelle zur Realität. Habe dieses Gedöns selber nicht und kann von daher nur sehr begrenzt mitreden.
IoT hat jede Menge Tücken, was sich rein theoretisch schon ergibt.
Speziell das mit den fehlenden Updates wäre ein Punkt, darüber nachzudenken m.E.
Wobei mich speziell das Thema MITM interessiert, welches ja da auch zum Tragen kommt.
Da ich nicht weiß, inwieweit man hierzuforum dieses Thema en detail diskutieren kann, belasse ich es bei diesen Anspielungen.

Abgesehen davon, dass ein nicht aktualisiertes BS auch keine Zertifikate mehr bekommt. Gut, ein Fernseher ist jetzt nicht so wild, wer surft denn schon großartig viel mit der Fernbedienung :lach:. Ab dem 21.September wird es von Let`s Encrypt für ältere Androids > 7.1.2 kein SSL-Zertifikat mehr geben.

Erübrigt sich für mich, dieser Hickhack. Wlan ist standartmäßig ausgeschaltet, läuft alles über Kabel.
Da hackt sich, zumindest über Funk, niemand rein, da auf diesem Wege schlicht unmöglich.
Das ist sicher optimal, aber mir ist meine Bequemlichkeit wichtiger als der letzte Rest Sicherheit.

Ich wüsste nicht das die FritzBox ARP-Binding beherrscht. Wie also möchtest Du deiner Box sagen, dass es Pakete an die festgelegte IP mit der dazu eingetragene MAC sendet und nicht an ein anderes Netwerk das ARP-Spoofing nutzt ? Meine dinamische ARP Tabelle sagte mir, dass alles in Ordnung wäre. Sicherheitsmechanismen bemerkten zwar einige Anomalien, allerdings waren keine Hinweise über ARP-Spoofing erkennbar. Erst mit nmap mit den entsprechen Datenbanken "nmap-vulners und scipag-vulscan" konnte ich weiterhin 2 IPs mit derselben MAC finden. Das Problem habe ich inzwischen gelöst. Jetzt heißt es, Passwörter, Schlüssel, Zertifikate zu prüfen auch wenn ich sicher sein kann, dass der Router nichts abbekommen hat. Meine Daten blieben wohl auch Dank DNS Verschlüsselung geschützt. Vorsichtshalber habe ich aber u.a. meine Zugangsdaten für Banking, Depot usw.. aktualisiert. Man weiß ja nie ;)

In Rot markiert sind die 2 IPs mit derselben MAC
Ok, das ist mir zu hoch. AVM hat mir versichert, das es nicht nur hoher krimineller Energie sondern auch einer spezialisierten Technik bedarf, den WPS2 Schlüssel zu knacken. Das ist schon eine Frage von Aufwand und Nutzen, ich bin ja auch nicht das Weiße Haus. Ganz egal, was wer wohin leitet, ohne die Verschlüsselung zu lösen hat er nichts von seinen Experimenten. An Verfolgungswahn scheinst du nicht zu leiden. Ich würds abhaken.

Ok, das ist mir zu hoch. AVM hat mir versichert, das es nicht nur hoher krimineller Energie sondern auch einer spezialisierten Technik bedarf, den WPS2 Schlüssel zu knacken. Das ist schon eine Frage von Aufwand und Nutzen, ich bin ja auch nicht das Weiße Haus. Ganz egal, was wer wohin leitet, ohne die Verschlüsselung zu lösen hat er nichts von seinen Experimenten. An Verfolgungswahn scheinst du nicht zu leiden. Ich würds abhaken.

Man knackt ja nicht wirklich, sondern schnüffelt so lange bis man die erforderlichen Informationen hat. Cisco erklärt es ganz gut. Gegen Layer 3 Angriffe braucht man allerdings mehr als nur ein paar Scripte als Gegenmaßnahme. Ehrlich gesagt, einen richtigen Schutz gegen Spoofing gibt es nicht wirklich. Mit Tools wie u.a. Ettercap ist man eh immer mittendrin.

https://www.cisco.com/c/de_de/support/docs/switches/catalyst-3750-series-switches/72846-layer2-secftrs-catl3fixed.html

Auf jeden Fall sollte man sich nicht verrückt machen lassen. Weil, schützen kann man sich kaum. Sollten sich die Hacker genauso zusammentun wie die Masse mit der GameStop Aktie, dann wird man ganz schlecht was gegen so viel Power tun können.

Ich habe Für alle mir bekannten Geräte eine Whitelist eingerichtet. Mal sehen, ob ich irgendetwas im log finde. Bisher freilich nicht.



Davon hatte ich ein paar mehr :))

Feb 7 11:20:09 arpalert: seq=5880, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.44, reference=192.168.6.30, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:36:03 arpalert: seq=8667, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.30, reference=192.168.6.44, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:36:49 arpalert: seq=8872, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.44, reference=192.168.6.30, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:37:51 arpalert: seq=8942, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.30, reference=192.168.6.44, type=ip_change, dev=wlx2xxxxxxxx626

Ich habe ein Script von einem Slackware User bekommen, dass die Signalstärke in dBm misst. Jetzt möchte ich es gerne so ändern, dass Geräte mit schwacher Signalstärke durch IPtables geblockt werden. Heißt, in meiner Wohnung bewegt sich die Signalqualität zwischen -35dBm -- -65dBm. Ein Angreifer aus Haus 22 mit einer schlechten Signalqualität von z.B. -100dBm würde somit geblockt werden. Aaaaaber, was ist wenn der Angreifer einen Signalverstärker nutzt ? Damit kenne ich mich überhaupt nicht aus. :hmm:

Davon hatte ich ein paar mehr :))

Feb 7 11:20:09 arpalert: seq=5880, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.44, reference=192.168.6.30, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:36:03 arpalert: seq=8667, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.30, reference=192.168.6.44, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:36:49 arpalert: seq=8872, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.44, reference=192.168.6.30, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:37:51 arpalert: seq=8942, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.30, reference=192.168.6.44, type=ip_change, dev=wlx2xxxxxxxx626

Ich habe ein Script von einem Slackware User bekommen, dass die Signalstärke in dBm misst. Jetzt möchte ich es gerne so ändern, dass Geräte mit schwacher Signalstärke durch IPtables geblockt werden. Heißt, in meiner Wohnung bewegt sich die Signalqualität zwischen -35dBm -- -65dBm. Ein Angreifer aus Haus 22 mit einer schlechten Signalqualität von z.B. -100dBm würde somit geblockt werden. Aaaaaber, was ist wenn der Angreifer einen Signalverstärker nutzt ? Damit kenne ich mich überhaupt nicht aus. :hmm:

Bei mir war nichts los, nur die altbekannten Geräte. (Bin jetzt eben kurz noch mit dem Smartphone auf die PI um nachzusehen.) Das mit der Signalstärke ist trickreich. Was ist, wenn du mit deinem Android dich der Wohnung näherst, und die Signalstärke in dem Moment gering ist, in dem er auf dein Netzwerk wechselt? Und ja, gute Antennen und Signalverstärker machen wirklich etwas aus. Im Prinzip muss man bei einer schlechten Signalqualität auch kaum blocken, denn für alle praktischen Anwendungen ist das eh zu wenig.

Bei mir war nichts los, nur die altbekannten Geräte. (Bin jetzt eben kurz noch mit dem Smartphone auf die PI um nachzusehen.) Das mit der Signalstärke ist trickreich. Was ist, wenn du mit deinem Android dich der Wohnung näherst, und die Signalstärke in dem Moment gering ist, in dem er auf dein Netzwerk wechselt? Und ja, gute Antennen und Signalverstärker machen wirklich etwas aus. Im Prinzip muss man bei einer schlechten Signalqualität auch kaum blocken, denn für alle praktischen Anwendungen ist das eh zu wenig.

Ich war heute noch ganz früh in einem anderen Forum, da hatte ein User ebenfalls das Problem mit den 2 IPs und der selben MAC bemerkt. In der Tat könnte es auch sein -wie @Schlummifix es schon angedeutet hat-, dass beide IPs je nach Konfiguration für den Fernseher reserviert werden (welche Konfiguration ?). Nur, wieso wird aber nachdem ich den Fernseher ausgeschaltet habe -Noch eine IP samt derselben MAC angezeigt ? Erklärt hat man mir es so .. Eine IP für das WLAN und eine IP reserviert für das Ethernet, auch wenn diese nicht genutzt wird, ist es doch immer aktiv. ARP erkennt es und listet es mit auf wie es für eine dynamische ARP-Tabelle so ist. Die statische IP Einstellung per DHCP mit DNSmasq wo zu jeder IP eine MAC zugeordnet ist incl. dnsmasq.leases, spielt dabei keine Rolle. Auch die Einstellung der hostapd.access spielt ebenfalls keine Rolle.

Heißt letztendlich, -die IP .....30 war nie wirklich verbunden, weil hostapd es ja sonst angezeigt hätte. Ich habe die Stationen mit iw gedumpt und es ist tatsächlich nur die erste IP vom Fernseher zu sehen. Die zweite IP wird also nur von nmap aufgelistet, auch wenn diese gar nicht von DNSmasq per DHCP zugewiesen wurde, liest es doch den noch gespeicherten ARP-Cache aus was dann von mir falsch verstanden wurde. Den ARP-Cache sollte man also hinterher leeren, SmartTV für z.B. eine Woche ausgeschaltet lassen und dann noch einmal scannen und schauen, ob die ...30 IP wieder auftaucht. So hätte ich vorgehen müssen. Inzwischen ist die ARP-Tabelle statisch und einen Cache gibt es auch nicht mehr.

Bleiben noch einige Fragen die ich gerne gelöst haben möchte.

- Wer hat die IP-Zuweisung von IP....30 veranlasst wenn DNSmasq die IP für eine völlig andere MAC bereithält ? ARP könnte also nur die IP des internen Range anzeigen, wenn die IP entweder von DNSmasq zugewiesen wurde, oder wenn der Fernseher eine statische IP bekommen hat woran ich mich nicht erinnern kann es jemals getan zu haben. Ich habe den Fernseher inzwischen komplett zurückgesetzt. Gekauft wurde der bei Amazon und kam auch als Neugerät hier an. Spuren das es schon mal genutzt wurde, habe ich keine gesehen. Allerdings finde ich auch nirgends eine Einstellung für eine statische Konfiguration. Wlan ja, Ethernet finde ich nicht.

Im Netz liest man kaum was darüber ... :auro:

Eine komplette Attacke ist das nicht. Sowoh ARP und WPA sind meines Wissens im Data Link Layer, also Layer 2. WPA verschlüsselt aber nicht den gesamten Frame, sondern nur die Payload. Die Pakete kann über Wifi wirklich jeder annehmen.

Ja, Pakete kann jeder annehmen, aber sie sind im Layer2 verschlüsselt - der ARP/IP Teil ist aber im Layer3 (also im Payload). Wenn Du das nicht glaubst lies es nach. Es wäre äusserst grobfahrlässig, wenn das nicht so wäre, weil Du ja so weder den Schlüssel noch sonst was kennen musst.

Ansonsten lies mal hier, wie ein Wireless genau funktioniert vom Aufbau her -> https://netbeez.net/blog/how-wifi-connection-works/ damit auch Dir klar wird, dass das reine spoofen der MAC dazu nicht ausreicht.



Man schnallt sich keine IP, sondern eine MAC Adresse. Aber jede AP kann aber auch alle verschlüsselten Pakete auch so empfangen, dazu bedarf es keines ARP Spoofing. Es fällt nur deutlich weniger auf, wenn man sich dann an der Entschlüsselung versucht, und dieser Angriff mit einer bereits bestehenden MAC Adresse erfolgt. (Neben DDOS-Geschichten und anderen Spässen.)

Du vermischst nach wie vor zwei Layer - und natürlich schnallt man sich eine IP, es ist der Abstraktionslayer für die MAC - weil Du machst ja deine Verbindungen immer zu einer IP und nicht zu einer MAC. Letzten Endes kommuniziert das LAN natürlich nur mit ARP (whohas IP -> kriegt die MAC -> Verbindung). Und ja, du kannst alle Pakete empfangen die in einem Wireless gesendet werden nur was Du damit anfangen willst ist eine andere Geschichte, weil ja der Payload (wie Du ja selbst auch schon gesagt hast) verschlüsselt ist.




Es geht hier nicht einmal um eine Verbindung. Auf dem Level von ARP ist die wirklich nur ein Austausch zwischen MAC Adressen. Und ja, ARP ist veraltet und hat selbst kein AA.
Natürlich gehts um eine Verbindung - um eine IP zu kriegen (hat Mandarine ja gezeigt, dieselbe Mac zwei IP's) brauchst Du erst mal eine Verbindung ins Netz und bei einem WLAN (verschlüsselt) benötigst Du den Schlüssel um überhaupt IP/ARP Pakete in das Netz reinzubringen. Wenn es wirklich so einfach wäre, sich einfach ein bisschen die MAC zu spoofen könnte man in jedes Wireless in Sekundenbruchteilen einbrechen. :auro:

Ansonsten lies doch mal das hier ab Punkt 2.4 -> https://scholarworks.sjsu.edu/cgi/viewcontent.cgi?article=1130&context=etd_projects

====
The ARP cache poisoning attack can be performed even if the wirelessclients are in a wireless network enabled with security features like WiredEquivalent Privacy (WEP) or Wi-Fi Protected Access (WPA). WEP and WPAencrypt the Layer 2 packets. ARP, being in the same layer as IP, is a Layer 3protocol. Hence the poisoned ARP packets sent in a wireless network are sentwithin a WEP or WPA encrypted frame. The wireless clients that are doing theARP cache poisoning attack have already joined the network and hence allpackets sent from these wireless clients are encrypted. The Access Point willaccept and forward these packets to the destination wireless machine becausethey are WEP or WPA encrypted with the initially assigned key. When the packetreaches the destination machine the frame is decrypted and the spoofedmapping is read from the ARP frame. The ARP cache is updated with thespoofed mapping, thus poisoning the ARP cache.
====

Nachtrag und bevor Du jetzt kommst von wegen "even" - da ist nur gemeint, dass auch die Verschlüsselung das nicht verhindern kann, wenn Du im Netz drin stehst (also den Schlüssel hast - Stichwort "already joined the network").

Besten Dank für diese Schnittstelle zur Realität. Habe dieses Gedöns selber nicht und kann von daher nur sehr begrenzt mitreden.
IoT hat jede Menge Tücken, was sich rein theoretisch schon ergibt.
Speziell das mit den fehlenden Updates wäre ein Punkt, darüber nachzudenken m.E.
Wobei mich speziell das Thema MITM interessiert, welches ja da auch zum Tragen kommt.
Da ich nicht weiß, inwieweit man hierzuforum dieses Thema en detail diskutieren kann, belasse ich es bei diesen Anspielungen.

MITM ist das Stichwort bei (verschlüsstelten) Wireless ( AUTH Handshake aufzeichnen, erzwingen der erneuten AUTH mit DEAUTH ) um überhaupt mal in die Nähe der Befürchtung zu kommen, die Mandarine hatte (Nachbarn). Da reden wir aber nicht von trivialen Angriffen, dazu braucht es schon ein bisschen Wissen. Gibt zwar auch gute Tools dazu ( Stichwort Kali Nethunter als Beispiel ) aber auch um die zu bedienen brauchst Du ein bisschen Know How oder zumindest genügend Zeit Dich über Artikel und Videos da einzuarbeiten.

Bezüglich en detail - Du kannst darüber reden (meines Erachtens), Du kannst auch eine detailierte Anleitung geben - findet man ja auch zu Hauf im Netz unter der TLD .de. Nur die Tools besitzen darfst Du nicht. Zumindest wurde mir das seinerzeit gesagt, als ich zum CEH zertifiziert wurde. Es stellt sich natürlich auch die Frage, warum man dann noch Anleitungen schreiben darf, denn um diese zu schreiben und Bildausschnitte zu erstellen, muss man die Tools besitzen. Entsprechend wäre es zum Beispiel auch interessant, warum der Security-Insider.de solche Anleitungen überhaupt ins Netz stellen darf.

MITM ist das Stichwort bei (verschlüsstelten) Wireless ( AUTH Handshake aufzeichnen, erzwingen der erneuten AUTH mit DEAUTH ) um überhaupt mal in die Nähe der Befürchtung zu kommen, die Mandarine hatte (Nachbarn). Da reden wir aber nicht von trivialen Angriffen, dazu braucht es schon ein bisschen Wissen. Gibt zwar auch gute Tools dazu ( Stichwort Kali Nethunter als Beispiel ) aber auch um die zu bedienen brauchst Du ein bisschen Know How oder zumindest genügend Zeit Dich über Artikel und Videos da einzuarbeiten.

Bezüglich en detail - Du kannst darüber reden (meines Erachtens), Du kannst auch eine detailierte Anleitung geben - findet man ja auch zu Hauf im Netz unter der TLD .de. Nur die Tools besitzen darfst Du nicht. Zumindest wurde mir das seinerzeit gesagt, als ich zum CEH zertifiziert wurde. Es stellt sich natürlich auch die Frage, warum man dann noch Anleitungen schreiben darf, denn um diese zu schreiben und Bildausschnitte zu erstellen, muss man die Tools besitzen. Entsprechend wäre es zum Beispiel auch interessant, warum der Security-Insider.de solche Anleitungen überhaupt ins Netz stellen darf.
Irgendwo las ich mal, daß man die wohl besitzen als auch benutzen darf, aber nur für das eigene Netzwerk. Zur Sicherheitsüberprüfung.

Naja, wie soll das kontrolliert werden?

Irgendwo las ich mal, daß man die wohl besitzen als auch benutzen darf, aber nur für das eigene Netzwerk. Zur Sicherheitsüberprüfung.

Naja, wie soll das kontrolliert werden?

Wie gesagt, mein letzter Stand bzw. das woran ich mich noch erinnern kann - mich hat das eh nie gross interessiert, da ich ja in Deutschland keine Überprüfungen machte, sondern nur hier in der Schweiz wo dieses Gesetz so formuliert ist, dass Du alles besitzen darfst und auch einsetzen, sofern Du entweder der Besitzer/Betreiber eines Netzwerkes bist oder aber den Auftrag dazu hast vom Besitzer/Betreiber eines Netzwerkes.

Und ja, kontrollieren kann man das nicht - wie auch. Höchstens durch Zufallsfund oder eben wenn sich einer dazu auf seiner Seite äussert.

Das Gesetz, wie es zu Beginn formuliert war (Todesstrafe für den Besitz (spitz formuliert)) wäre ja ein brutaler Rückschritt gewesen, weil so ja weder der Betreiber noch einer im Auftrag des Betreibers das Netz je auf Lücken hin hätte untersuchen dürfen bzw. auch aktiv anzugreifen.

Wie gesagt, mein letzter Stand bzw. das woran ich mich noch erinnern kann - mich hat das eh nie gross interessiert, da ich ja in Deutschland keine Überprüfungen machte, sondern nur hier in der Schweiz wo dieses Gesetz so formuliert ist, dass Du alles besitzen darfst und auch einsetzen, sofern Du entweder der Besitzer/Betreiber eines Netzwerkes bist oder aber den Auftrag dazu hast vom Besitzer/Betreiber eines Netzwerkes.

Und ja, kontrollieren kann man das nicht - wie auch. Höchstens durch Zufallsfund oder eben wenn sich einer dazu auf seiner Seite äussert.

Das Gesetz, wie es zu Beginn formuliert war (Todesstrafe für den Besitz (spitz formuliert)) wäre ja ein brutaler Rückschritt gewesen, weil so ja weder der Betreiber noch einer im Auftrag des Betreibers das Netz je auf Lücken hin hätte untersuchen dürfen bzw. auch aktiv anzugreifen.
Ups. Kann sein, daß ich das auf einer schweizer Seite gelesen habe

Hier wird gerade verdammt viel durcheinander geworfen. :auro:
Selbst teure Cisco Switches auf Layer 3 Ebene können nicht verhindern, dass der gesamte Broadcast Raum mit Anfragen geflutet wird. Bitte auch Mal auf die Cisco Website gehen und selbst lesen, anstatt auf Websites zu verweisen was absolut nichts mit der Sache zu tun hat. Im öffentlichen Raum ist es leider ein Problem womit man mit teuren Switches versucht, Anfragen zu reduzieren. Privat ist es mit Standard Router überhaupt nicht möglich, sich gegen Spoofing & Poisoning zu schützen. Eine effektive Möglichkeit stellen Linux-Boxen mit hostapd als IEEE 802.11 AP/IEEE 802.1X Authenticator da. Gestern habe ich die Einstellung der AP Isolation zum ersten Mal aktiviert. Vorteil, man ist gegen Poisoning und teils gegen Spoofing geschützt. Hostapd leitet somit keinerlei Daten von User zu User weiter. Will Rechner A was von Rechner B, muss es ohne Umwege an die WLAN Schnittstelle geleitet werden. Allerdings wird dir der AP eher den Stinkefinger zeigen anstatt Daten weiterzuleiten, ohne das der Admin es entsprechend eingerichtet hat. Das wäre wohl für viele ein Nachteil. Auch die Möglichkeit direkt über CUPS auf die Druckerschnittstelle zuzugreifen, ist somit nicht mehr möglich. Heißt, hier können die User zwar auch weiterhin drucken, allerdings hat ab sofort der AP ein Wörtchen mitzureden. Reichte vorher nur der CUPS-Server bzw. die Konfiguration um auf die Schnittstelle zuzugreifen, entscheidet ab sofort auch der AP wie zugegriffen werden soll. Mit anderen Worten .. Nicht der User druckt mit CUPS, sondern der AP tut es ab sofort. Dafür benötigt jeder Rechner im Netz nur eine kleine Konfigurationsdatei in /home/user. Für Paranoiden gibt es noch weit striktere Lösungen z.B. eine virtuelle Schnittstelle die ich am PPP am laufen habe. War mir damals wichtiger als das interne Netz. Auch WPS wird nicht mehr funktionieren auch wenn manch einer es gerne so hätte. Wie man Spoofing Herr wird schrieb ich ja gestern schon. Durch das deaktivieren von ARP im Kernel und das anlegen von statische ARP Einträge wird Spoofing nichts mehr bringen. Auch schon deswegen weil ARP seinen Cache nicht mehr befüllen wird. Um auch Spoofing auf WPA zu minimieren bzw. ganz abzustellen, nutzt man entweder das neue WPA3 mit PMF Funktion, oder man stellt gleich auf Enterprise um. Meine Notebooks, Rechner laufen alle mit der höchsten Sicherheitsstufe EAP-TLS. Alles andere läuft nur mit PEAP incl Passphrase & geheime ID. Den Fernseher habe ich wieder angeschlossen und bin echt gespannt.

Wahnsinn, wie wenig ich vorgestern noch über ARP & .. wusste. :lach:

Die zweite IP wird also nur von nmap aufgelistet, auch wenn diese gar nicht von DNSmasq per DHCP zugewiesen wurde, liest es doch den noch gespeicherten ARP-Cache aus was dann von mir falsch verstanden wurde. Den ARP-Cache sollte man also hinterher leeren,

Ich zitiere mich mal selbst, da ich die Antwort gefunden habe.
Der ARP-Cache löscht sich erst nach 15min automatisch und die Zeit verlängert sich auch von selbst wenn es sein muss z.B. im Netzverkehr. Das habe ich ehrlich gesagt nicht gewusst. :kahn:

Hier wird gerade verdammt viel durcheinander geworfen. :auro:
Selbst teure Cisco Switches auf Layer 3 Ebene können nicht verhindern, dass der gesamte Broadcast Raum mit Anfragen geflutet wird. Bitte auch Mal auf die Cisco Website gehen und selbst lesen, anstatt auf Websites zu verweisen was absolut nichts mit der Sache zu tun hat. Im öffentlichen Raum ist es leider ein Problem womit man mit teuren Switches versucht, Anfragen zu reduzieren. Privat ist es mit Standard Router überhaupt nicht möglich, sich gegen Spoofing & Poisoning zu schützen. Eine effektive Möglichkeit stellen Linux-Boxen mit hostapd als IEEE 802.11 AP/IEEE 802.1X Authenticator da. Gestern habe ich die Einstellung der AP Isolation zum ersten Mal aktiviert. Vorteil, man ist gegen Poisoning und teils gegen Spoofing geschützt. Hostapd leitet somit keinerlei Daten von User zu User weiter. Will Rechner A was von Rechner B, muss es ohne Umwege an die WLAN Schnittstelle geleitet werden. Allerdings wird dir der AP eher den Stinkefinger zeigen anstatt Daten weiterzuleiten, ohne das der Admin es entsprechend eingerichtet hat. Das wäre wohl für viele ein Nachteil. Auch die Möglichkeit direkt über CUPS auf die Druckerschnittstelle zuzugreifen, ist somit nicht mehr möglich. Heißt, hier können die User zwar auch weiterhin drucken, allerdings hat ab sofort der AP ein Wörtchen mitzureden. Reichte vorher nur der CUPS-Server bzw. die Konfiguration um auf die Schnittstelle zuzugreifen, entscheidet ab sofort auch der AP wie zugegriffen werden soll. Mit anderen Worten .. Nicht der User druckt mit CUPS, sondern der AP tut es ab sofort. Dafür benötigt jeder Rechner im Netz nur eine kleine Konfigurationsdatei in /home/user. Für Paranoiden gibt es noch weit striktere Lösungen z.B. eine virtuelle Schnittstelle die ich am PPP am laufen habe. War mir damals wichtiger als das interne Netz. Auch WPS wird nicht mehr funktionieren auch wenn manch einer es gerne so hätte. Wie man Spoofing Herr wird schrieb ich ja gestern schon. Durch das deaktivieren von ARP im Kernel und das anlegen von statische ARP Einträge wird Spoofing nichts mehr bringen. Auch schon deswegen weil ARP seinen Cache nicht mehr befüllen wird. Um auch Spoofing auf WPA zu minimieren bzw. ganz abzustellen, nutzt man entweder das neue WPA3 mit PMF Funktion, oder man stellt gleich auf Enterprise um. Meine Notebooks, Rechner laufen alle mit der höchsten Sicherheitsstufe EAP-TLS. Alles andere läuft nur mit PEAP incl Passphrase & geheime ID. Den Fernseher habe ich wieder angeschlossen und bin echt gespannt.

Wahnsinn, wie wenig ich vorgestern noch über ARP & .. wusste. :lach:

Noch einmal - für ARP Spoofing musst Du eine Verbindung ins Netz haben und wenn wir von Wireless sprechen eben die 802.11 AA - ohne das wird der AP jegliche Pakete verwerfen, weil der Schlüssel für das Paket falsch ist und somit gelangen KEINE IP/ARP Pakete ins Netz! Deine eigene Aussage, auf die ich reagierte, war, dass Deine Nachbarn zu viel Zeit hätten wegen Corona und somit impliziertest Du die Annahme, dass jemand in Dein Netz eingebrochen ist und in Deinem Netz eine ARP Poisoning Attacke gefahren hätte.

Dein Hinweis auf PMF ist nur die Gegenmassnahme für das, was ich an Ansuz schrieb ( AUTH/DEAUTH - Auth Handshake aufzeichnen und dann gegen Passwortliste/Hashliste prüfen um den Schlüssel zu eruieren ). PMF dient lediglich dazu, diese DEAUTH Pakete zu verhindern zu unterbinden.

Was aber in diesem Zusammenhang noch gesagt werden muss ist, dass natürlich (ähnlich wie bei TLS ) ein Herunterstufen verhindert werden muss - sprich, man darf dann wirklich nur noch WPA3 zulassen, so dass nicht ein Client einfach behauptet, sorry AP, aber ich kann nur WPA(2).

Noch einmal - für ARP Spoofing musst Du eine Verbindung ins Netz haben und wenn wir von Wireless sprechen eben die 802.11 AA - ohne das wird der AP jegliche Pakete verwerfen, weil der Schlüssel für das Paket falsch ist und somit gelangen KEINE IP/ARP Pakete ins Netz! Deine eigene Aussage, auf die ich reagierte, war, dass Deine Nachbarn zu viel Zeit hätten wegen Corona und somit impliziertest Du die Annahme, dass jemand in Dein Netz eingebrochen ist und in Deinem Netz eine ARP Poisoning Attacke gefahren hätte.



Ich kann dich sehr schwer verstehen. Was genau versuchst Du zu vermitteln, dass Spoofing gar nicht möglich ist ?
Du machst einen Denkfehler. Du gehst davon aus, dass ein Einbruch ins interne Netz nicht möglich ist.Du weiß doch gar nicht, was für Bugs im wpa_supplicant des SmartTV vorhanden sind. Der normale User kann auch nur max. 1 Passwort für alle Geräte vergeben und somit wäre das ganze Netz kompromittiert. Sorry, aber soviel Blödsinn auf einmal habe ich noch nie gehört. Komm endlich mit Fakten!



Was aber in diesem Zusammenhang noch gesagt werden muss ist, dass natürlich (ähnlich wie bei TLS ) ein Herunterstufen verhindert werden muss - sprich, man darf dann wirklich nur noch WPA3 zulassen, so dass nicht ein Client einfach behauptet, sorry AP, aber ich kann nur WPA(2).

WPA2 oder WPA3 im Enterprise Mode, wo siehst Du da einen Unterschied ? Aber Vorsicht, die 256bit Schlüssel erstelle ich selbst. Also denke nach bevor Du antwortest.

Ich kann dich sehr schwer verstehen. Was genau versuchst Du zu vermitteln, dass Spoofing gar nicht möglich ist ?
Du machst einen Denkfehler. Du gehst davon aus, dass ein Einbruch ins interne Netz nicht möglich ist. Das ist soweit möglich, wenn nur ein einziges Gerät kompromittiert wurde um richtigen Schaden anzurichten z.B. der Fernseher. Denn Du weiß doch gar nicht, was für Bugs im wpa_supplicant des SmartTV vorhanden sind. Der normale User kann auch nur max. 1 Passwort für alle Geräte vergeben und somit wäre das ganze Netz kompromittiert. Sorry, aber soviel Blödsinn auf einmal habe ich noch nie gehört. Komm endlich mit Fakten!


Du liest nicht richtig - ich sagte, ARP Poisoning ist in einem WLAN nur dann möglich, wenn Du die 802.11 AA abgeschlossen hast, weil erst dann IP/ARP Pakete ins Netz gelangen (da sie im Payload stehen und damit erst nach der Entschlüsselung verarbeitet / weitergeleitet werden).

Wie bricht man in ein WPA(2) gesichertes Netzwerk ein? In dem Du einen bereits authentifizierten Client dazu bringst, sich zu deauthen woraufhin er sich per 802.11 AA wieder authentifziert. Dieses Authentication Paket zeichnest Du auf (airmon-ng) und prüfst dann gegen eine Passwortliste um den Schlüssel zu eruieren. (Am Rande, bei WEP musste man nur genug IV's aufzeichnen um das Passowort zu berechnen, was ein Kinderspiel war, weil es auch Tools gibt um zu "replayen")

Sprich in Deinem Fall wäre das nur möglich, wenn ich den Fernseher dazu zwinge, weil er halt nur WPA/WPA2 kann und kein WPA3 mit PMF, sich zu Deauthentifizieren um dann bei einem erneuten Authentifizieren eben genau dieses Paket aufzuzeichnen um dann diese Aufzeichnung lokal gegen eine Passwortliste/Hashliste zu prüfen. Hab ich den Schlüssel kann ich die 802.11 AA durchziehen, stehe im Netz und kann dann IP/ARP Attacken fahren um alle Pakete aller Clients (auch die der verkabelten) über mich laufen zu lassen (MITM) als Beispiel.

Daran führt kein Weg vorbei - wer was anderes behauptet hat noch nie selbst ein Wireless geknackt - und ich hab schon mehrfach WEP/WPA/WPA2 (mit PSK) geknackt in meiner beruflichen Laufbahn, wie ich auch schon ARP Poisoning Attacken gefahren habe in Wireless und auch verkabelten Netzwerken.



WPA2 oder WPA3 im Enterprise Mode, wo siehst Du da einen Unterschied ? Aber Vorsicht, die 256bit Schlüssel erstelle ich selbst. Also denke nach bevor Du antwortest.

Der einzige Unterschied zwischen WPA2 PSK und Enterprise ist, dass es a) mehrere Accesstoken (User/Pass/Zertifikate) gibt und damit die Kompromittierung weniger Schaden anrichtet (weil man nicht alle Geräte neu konfigurieren muss wie beim PSK) und b) das knacken der AUTH Pakete viel länger dauert. Es macht die Sache also nur ungemein schwerer aber nicht unmöglich.

Ich war heute noch ganz früh in einem anderen Forum, da hatte ein User ebenfalls das Problem mit den 2 IPs und der selben MAC bemerkt. In der Tat könnte es auch sein -wie @Schlummifix es schon angedeutet hat-, dass beide IPs je nach Konfiguration für den Fernseher reserviert werden (welche Konfiguration ?). Nur, wieso wird aber nachdem ich den Fernseher ausgeschaltet habe -Noch eine IP samt derselben MAC angezeigt ? Erklärt hat man mir es so .. Eine IP für das WLAN und eine IP reserviert für das Ethernet, auch wenn diese nicht genutzt wird, ist es doch immer aktiv. ARP erkennt es und listet es mit auf wie es für eine dynamische ARP-Tabelle so ist. Die statische IP Einstellung per DHCP mit DNSmasq wo zu jeder IP eine MAC zugeordnet ist incl. dnsmasq.leases, spielt dabei keine Rolle. Auch die Einstellung der hostapd.access spielt ebenfalls keine Rolle.

Heißt letztendlich, -die IP .....30 war nie wirklich verbunden, weil hostapd es ja sonst angezeigt hätte. Ich habe die Stationen mit iw gedumpt und es ist tatsächlich nur die erste IP vom Fernseher zu sehen. Die zweite IP wird also nur von nmap aufgelistet, auch wenn diese gar nicht von DNSmasq per DHCP zugewiesen wurde, liest es doch den noch gespeicherten ARP-Cache aus was dann von mir falsch verstanden wurde. Den ARP-Cache sollte man also hinterher leeren, SmartTV für z.B. eine Woche ausgeschaltet lassen und dann noch einmal scannen und schauen, ob die ...30 IP wieder auftaucht. So hätte ich vorgehen müssen. Inzwischen ist die ARP-Tabelle statisch und einen Cache gibt es auch nicht mehr.

Bleiben noch einige Fragen die ich gerne gelöst haben möchte.

- Wer hat die IP-Zuweisung von IP....30 veranlasst wenn DNSmasq die IP für eine völlig andere MAC bereithält ? ARP könnte also nur die IP des internen Range anzeigen, wenn die IP entweder von DNSmasq zugewiesen wurde, oder wenn der Fernseher eine statische IP bekommen hat woran ich mich nicht erinnern kann es jemals getan zu haben. Ich habe den Fernseher inzwischen komplett zurückgesetzt. Gekauft wurde der bei Amazon und kam auch als Neugerät hier an. Spuren das es schon mal genutzt wurde, habe ich keine gesehen. Allerdings finde ich auch nirgends eine Einstellung für eine statische Konfiguration. Wlan ja, Ethernet finde ich nicht.

Im Netz liest man kaum was darüber ... :auro:

Ich verstehe in dem Szenario auch nicht, wie eine IP für das Ethernet des Fernsehers reserviert werden sollte, wenn das Eithernet niemals verbunden war, und niemals explizit eine statische IP zugewiesen wurde. Ich habe auch mehrere Geräte, die sowohl per Ethernet und Wi-FI am lokalen Netz waren, und es gibt kein Problem, die Ethernet und Wifi-Verbindungen als getrennte IP Adressen zu verwalten, da eben separate MAC Adressen bestanden. Aber der Unterschied ist eben, dass sie auch irgendwal mal per Ethernet verbunden waren.

Dementsprechend halte ich auch deine Frage für berechtigt: Woher hat die IP der Ethernetverbindung des Fernsehers eine IP-Adresse, wenn diese bereits einer anderen MAC zugeordnet wurde? Selbst wenn der Fernseher mit der gleichen MAC Adresse auch die Ethernet-Verbindung betreiben würde, so spielte dies immer noch keine Rolle, da niemals eine Ethernet-Verbindung bestand.

Jedoch ist der Foreneintrag mit einem ähnlich gelagerten Problem des Fernsehers ein ziemlich gutes Indiz, dass es wirklich an diesem Gerät liegen kann. Es bleibt also spannend.

Sorry, aber soviel Blödsinn auf einmal habe ich noch nie gehört. Komm endlich mit Fakten!


Dem komme ich jetzt noch nach

Wenn Du eine WLAN Verbindung machst und das dann prüfst via tcpdump, wirst Du feststellen, was ich schon sagte, zuerst kommt der 802.11 Handshake und erst danach alles andere - schlägt der 802.11 Handshake fehl (falsches Passwort) dann bleibst Du da stehen und es erfolgt keine weitere Kommunikation.

BEFEHL für TCPDUMP
tcpdump -nvvi <wlaninterface auf dem router>

PASSWORT FALSCH EINGEGBEN

13:50:52.707895 EAPOL key (3) v1, len 117
13:50:53.708792 EAPOL key (3) v1, len 117
13:50:54.710283 EAPOL key (3) v1, len 117
13:50:55.712247 EAPOL key (3) v1, len 117

PASSWORT RICHTIG ANGEGEBEN

13:51:10.668409 EAPOL key (3) v1, len 117
13:51:10.680052 EAPOL key (3) v1, len 95

ERST NACH 802.11 AA KOMMT DER GANZE REST HINTERHER (DHCP Request, ARP Einträge, etc. etc. etc.)

13:51:10.836793 IP (tos 0x10, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 324)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 48:2c:a0:73:xx:xx, length 296, xid 0xxxxxxx, Flags [none] (0x0000)
Client-Ethernet-Address 48:2c:a0:73:xx:xx
Vendor-rfc1048 Extensions
Magic Cookie xxxxxx
DHCP-Message Option 53, length 1: Discover
Client-ID Option 61, length 7: ether 48:2c:a0:73:xx:xx
MSZ Option 57, length 2: 1500
Vendor-Class Option 60, length 15: "android-dhcp-10"
Hostname Option 12, length 7: "MI8-MI8"
Parameter-Request Option 55, length 10:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
MTU, BR, Lease-Time, RN
RB, Vendor-Option

13:51:10.836973 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.247.112 tell 192.168.247.1, length 28
13:51:11.835760 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.247.112 tell 192.168.247.1, length 28

13:51:11.838080 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328)
192.168.247.1.67 > 192.168.247.112.68: [udp sum ok] BOOTP/DHCP, Reply, length 300, xid 0xxxxxx, Flags [none] (0x0000)
Your-IP 192.168.247.112
Client-Ethernet-Address 48:2c:a0:73:xx:xx
Vendor-rfc1048 Extensions
Magic Cookie xxxxx
DHCP-Message Option 53, length 1: Offer
Server-ID Option 54, length 4: 192.168.247.1
Lease-Time Option 51, length 4: 86400
Subnet-Mask Option 1, length 4: 255.255.255.0
Default-Gateway Option 3, length 4: 192.168.247.1
Domain-Name-Server Option 6, length 4: 192.168.247.1
BR Option 28, length 4: 192.168.247.255




Du kannst es sonst auch so prüfen - mach einen Auth Request an Dein WLAN mit falschen Passwort und prüfe dann Dein Lease Table des DHCP - Du wirst feststellen, dass keine IP vergeben wurde (das ist zwar eher für Haspelbein aber egal)


Und genau aus diesem Grund ist ARP Poisoning ohne den Schlüssel zu kennen unmöglich (vom Sinn befreit) in einem WLAN - du kannst zwar alle Pakete aufzeichnen die im Wireless geschickt werden, kannst sie aber weder komplett lesen noch (mit Effekt) manipulieren beim einspielen. Und ein Angreifer, der solch eine Attacke fahren würde, würde sicherlich nicht Deinen TV angreifen mit einem ARP Angriff, sondern er würde einen PC oder ein Mobiltelefon dafür nehmen, denn mit sehr grosser Wahrscheinlichkeit würdest Du über den TV eh nur uninteressante Sachen machen wie Netflix und der ähnlichen. Es gibt meines Erachtens nicht wirklich einen guten Grund, einen ARP Poisoning Angriff auf ein TV Gerät (also den Verkehr des TV Gerätes über mich zu leiten) zu machen.

Du liest nicht richtig - ich sagte, ARP Poisoning ist in einem WLAN nur dann möglich, wenn Du die 802.11 AA abgeschlossen hast, weil erst dann IP/ARP Pakete ins Netz gelangen (da sie im Payload stehen und damit erst nach der Entschlüsselung verarbeitet / weitergeleitet werden).


Richtig. Das mit der Client Isolation habe ich ja schon erklärt.



Wie bricht man in ein WPA(2) gesichertes Netzwerk ein? In dem Du einen bereits authentifizierten Client dazu bringst, sich zu deauthen woraufhin er sich per 802.11 AA wieder authentifziert. Dieses Authentication Paket zeichnest Du auf (airmon-ng) und prüfst dann gegen eine Passwortliste um den Schlüssel zu eruieren. (Am Rande, bei WEP musste man nur genug IV's aufzeichnen um das Passowort zu berechnen, was ein Kinderspiel war, weil es auch Tools gibt um zu "replayen")


Auch hierbei hilft die Client Isolation. Wie ich schon schrieb, immer ohne Umwege zum AP und keine Kommunikation mit anderen. Es sei denn, der wpa_supplicant hat einen entsprechenden Bug. Bei Linux kann ich Mal eben patchen und neu übersetzen. Aber wie macht man es mit Android oder SmartTVs ? .. hier ganz frisch ..

https://w1.fi/security/2020-2/wpa_supplicant-p2p-group-info-processing-vulnerability.txt

Wie gravierend der Bug für Android ist, wird sich noch herausstellen. Und vor allem, wann und ob der Hersteller die Hardware patcht.



Sprich in Deinem Fall wäre das nur möglich, wenn ich den Fernseher dazu zwinge, weil er halt nur WPA/WPA2 kann und kein WPA3 mit PMF, sich zu Deauthentifizieren um dann bei einem erneuten Authentifizieren eben genau dieses Paket aufzuzeichnen um dann diese Aufzeichnung lokal gegen eine Passwortliste/Hashliste zu prüfen. Hab ich den Schlüssel kann ich die 802.11 AA durchziehen, stehe im Netz und kann dann IP/ARP Attacken fahren um alle Pakete aller Clients (auch die der verkabelten) über mich laufen zu lassen (MITM) als Beispiel.


Naja gut, im Normalfall schon. Der Fernseher verbindet sich jetzt über die Enterprise PEAP Verschlüsselung und eine erneute Authentifizierung bzgl. Key Erneuerung ist abgeschaltet. Der Radius Server ist intern (hostapd).




Daran führt kein Weg vorbei - wer was anderes behauptet hat noch nie selbst ein Wireless geknackt - und ich hab schon mehrfach WEP/WPA/WPA2 (mit PSK) geknackt in meiner beruflichen Laufbahn, wie ich auch schon ARP Poisoning Attacken gefahren habe in Wireless und auch verkabelten Netzwerken.


:schnatt:



Der einzige Unterschied zwischen WPA2 PSK und Enterprise ist, dass es a) mehrere Accesstoken (User/Pass/Zertifikate) gibt und damit die Kompromittierung weniger Schaden anrichtet (weil man nicht alle Geräte neu konfigurieren muss wie beim PSK) und b) das knacken der AUTH Pakete viel länger dauert. Es macht die Sache also nur ungemein schwerer aber nicht unmöglich.

Auch mit WPA2 müsste man nicht unbedingt alles neu einrichten. Auch wenn Du die Zugangsdaten vom Fernseher hättest, dann hättest Du nur die Zugangsdaten vom Fernseher. Alle Geräte haben nämlich unterschiedliche Zugangsdaten. Bei der EAP-TLS Authentifizierung hast Du NULL Chance da was zu machen (Unüberwindbar) Selbst eine MITM-Attacke würde dich nicht weiterbringen. Bei PEAP sieht es schon anders aus.

Richtig. Das mit der Client Isolation habe ich ja schon erklärt. [...]

Im Prinzip wurde das hier schon alles erklärt, und die Diskussion dreht sich nur im Kreis.

Du kannst es sonst auch so prüfen - mach einen Auth Request an Dein WLAN mit falschen Passwort und prüfe dann Dein Lease Table des DHCP - Du wirst feststellen, dass keine IP vergeben wurde (das ist zwar eher für Haspelbein aber egal)


Ist statisch. Nur die richtige Kombination von IP & MAC & PASS bekommt eine IP zugewiesen.



Und genau aus diesem Grund ist ARP Poisoning ohne den Schlüssel zu kennen unmöglich (vom Sinn befreit) in einem WLAN - du kannst zwar alle Pakete aufzeichnen die im Wireless geschickt werden, kannst sie aber weder komplett lesen noch (mit Effekt) manipulieren beim einspielen. Und ein Angreifer, der solch eine Attacke fahren würde, würde sicherlich nicht Deinen TV angreifen mit einem ARP Angriff, sondern er würde einen PC oder ein Mobiltelefon dafür nehmen, denn mit sehr grosser Wahrscheinlichkeit würdest Du über den TV eh nur uninteressante Sachen machen wie Netflix und der ähnlichen. Es gibt meines Erachtens nicht wirklich einen guten Grund, einen ARP Poisoning Angriff auf ein TV Gerät (also den Verkehr des TV Gerätes über mich zu leiten) zu machen.

Wie soll ein Angreifer von vornherein wissen, wie die Geräte verschlüsselt sind ? :hmm:

Im Prinzip wurde das hier schon alles erklärt, und die Diskussion dreht sich nur im Kreis.

Ich muss mich jetzt eh um meine Aktien kümmern :))

ps .. Arpalert läuft sauber ohne einen Hinweis auf spoofing. Allerdings hatte ich den Fernseher resettet. Die Möglichkeit das der Fernseher kurz bei jemand anderen lief, ist mit Amazon immer möglich. Geräte werden bei nichtgefallen nicht gleich entsorgt. Der Dummkopf der den erwischt hat war Mal wieder ich :auro:

Richtig. Das mit der Client Isolation habe ich ja schon erklärt.
Client Isolation ist zwar sicherlich ein kleines Hilfsmittel nach dem Handshake - weil die Client Isolation auch danach geschaltet wird und nicht davor.



Auch hierbei hilft die Client Isolation. Wie ich schon schrieb, immer ohne Umwege zum AP und keine Kommunikation mit anderen. Es sei denn, der wpa_supplicant hat einen entsprechenden Bug. Bei Linux kann ich Mal eben patchen und neu übersetzen. Aber wie macht man es mit Android oder SmartTVs ? .. hier ganz frisch ..

https://w1.fi/security/2020-2/wpa_supplicant-p2p-group-info-processing-vulnerability.txt

Betreffend Client Isolation -> natürlich hilfts dagegen, das war nicht die Aussage von mir (wie verhindert man es) sondern was sind die Schritte um in ein WLAN einzubrechen.

Betreffend Deinem Link - P2P Schwachstelle (Direct Connect), sprich das Gerät selbst spielt "AP". Das ist wohl bei versierten Benutzern, worunter ich Dich auch zähle, sicherlich nicht eingeschaltet ansonsten müsste man da dann schon Fragen stellen.

Betreffend Android/Smart TV's - das ist natürlich ein Problem, da der Updatezyklus bzw. das bereitstellen von Fixes weniger lang gemacht wird und das ist ja auch immer der Kritikpunkt an den IOT Geräten im Allgemeinen.



Wie gravierend der Bug für Android ist, wird sich noch herausstellen. Und vor allem, wann und ob der Hersteller die Hardware patcht.

Fettung durch mich - Ganz genau, eben was ich gerade oben gesagt hatte.



Naja gut, im Normalfall schon. Der Fernseher verbindet sich jetzt über die Enterprise PEAP Verschlüsselung und eine erneute Authentifizierung bzgl. Key Erneuerung ist abgeschaltet. Der Radius Server ist intern (hostapd).

Dann verstehe ich Dich erst recht nicht, warum Du überhaupt auf die Idee kamst, dass Deine Nachbarn in Deinem Netzwerk rumfuhrwerken - oder meinst Du mit jetzt seit diesem Vorfall?



:schnatt:

Das war klar und ich verstehe das auch - behaupten kann ja jeder.



Auch mit WPA2 müsste man nicht unbedingt alles neu einrichten. Auch wenn Du die Zugangsdaten vom Fernseher hättest, dann hättest Du nur die Zugangsdaten vom Fernseher. Alle Geräte haben nämlich unterschiedliche Zugangsdaten. Bei der EAP-TLS Authentifizierung hast Du NULL Chance da was zu machen (Unüberwindbar) Selbst eine MITM-Attacke würde dich nicht weiterbringen. Bei PEAP sieht es schon anders aus.

Natürlich auch unter WPA nicht, wenn man Radius und so weiter verwendet. Die Aussage war auf Personal ausgerichtet, wo Du einen Key hast für alle ohne weitere Mechnismen.

Und bezüglich NULL - das würde ich verneinen. Denn ein Fehler von denjenigem der das konfiguriert hat und schon ist es dahin. Und sonst wäre da noch die Sache mit den Rogue AP's. Aber da bewegen wir uns schon in einem Umfeld wo ich dann fragen müsste, kennst Du Deine Nachbarn und was sind die von Beruf. Solche Angriffe kommen dann sicherlich nicht von Leuten, die ein bisschen IT Verständnis haben sondern da reden wir von (absoluten) Cracks.

Ist statisch. Nur die richtige Kombination von IP & MAC & PASS bekommt eine IP zugewiesen.
Ok, ja dann funktioniert das für Dich nicht - eben war ja mehr für Haspelbeins Einwurf, dass schon beim Auth eine IP zugewiesen wird, was aber nicht nachzuvollziehen ist im tcpdump.

Wie soll ein Angreifer von vornherein wissen, wie die Geräte verschlüsselt sind ? :hmm:
Wir reden ja vom ARP Angriff , das heisst die Verschlüsselung wurde da schon überwunden - weil sonst kann er ja den ARP Cache gar nicht beeinflussen, wie auch, wenn der AP jedes Paket ablehnt, da der Schlüssel falsch ist? In Bezug auf P2P ist das natürlich anders, aber wer hat schon P2P noch aktiv, wenn er so viel Ahnung hat wie Du?

Ich muss mich jetzt eh um meine Aktien kümmern :))

Ist wahrscheinlich auch wichtiger.




ps .. Arpalert läuft sauber ohne einen Hinweis auf spoofing. Allerdings hatte ich den Fernseher resettet. Die Möglichkeit das der Fernseher kurz bei jemand anderen lief, ist mit Amazon immer möglich. Geräte werden bei nichtgefallen nicht gleich entsorgt. Der Dummkopf der den erwischt hat war Mal wieder ich :auro:

Läuft bei mir auch sauber, aber bei mir ist ja auch nichts los. Ich sehe nur, wie DHCP leases für MAC Adressen auf der Whitelist erneuert werden. Viel Glück mit dem Fernseher.

Ok, ja dann funktioniert das für Dich nicht - eben war ja mehr für Haspelbeins Einwurf, dass schon beim Auth eine IP zugewiesen wird, was aber nicht nachzuvollziehen ist im tcpdump.[...]

Wenn du mich schon zitierst, dann auch bitte richtig.

Taten sie nicht. Sie haben ARP-Spoofing betrieben, d.h. sie haben eines ihrer Geräte als eines seines Netzwerkes ausgegeben. Dadurch bekam es eben auch eine IP, und zwar die des korrekten Gerätes.


Wenn du mich schon zitierst, dann auch bitte richtig.

Darum hab ich Dich explizit nochmals gefragt (glaub auf Seite 3) was Du unter "einem angemeldeten Gerät" verstehst in Bezug auf WLAN - vor oder nach der 802.11 AA? Das hast Du nicht beantwortet, aus welchen Gründen auch immer.

Danach ohne Frage, weil dann stehst Du ja eh im Netz bzw. kannst die Pakete adäquat manipulieren - davor aber nicht - wäre ja unheimlich schön, wenn man einfach seine IP/MAC ändert und dann in einem WLAN stehen würde ohne jemals den Schlüssel gekannt/eruiert zu haben bzw. in der Lage zu sein, da dann ARP Cache zu beeinflussen.

Client Isolation ist zwar sicherlich ein kleines Hilfsmittel nach dem Handshake - weil die Client Isolation auch danach geschaltet wird und nicht davor.


Das ist so nicht ganz richtig. Ja doch, Du hast teils recht. Also der Handshake (nur WPA2-Personal gesehen) kommt erst Zustande, wenn das interne Netz schon steht. Erst zuletzt werden die einzelnen Clients durch DNSmasq mit IPs versorgt.

Inzwischen ist die ARP-Table statisch. Heißt, nur wer auf dieser Liste steht bekommt zwar immer noch eine IP, aber der Zugang zum Netz ist gesperrt.. Eine MAC mir irgendeiner IP, ist jetzt nicht mehr möglich, auch wenn es eine interne IP ist.



Dann verstehe ich Dich erst recht nicht, warum Du überhaupt auf die Idee kamst, dass Deine Nachbarn in Deinem Netzwerk rumfuhrwerken - oder meinst Du mit jetzt seit diesem Vorfall?


Gestern hatte ich geschrieben, dass ich es auf PEAP umstelle bzw. umgestellt habe. Vorher war also nur das normale WPA2-PSK. Inzwischen sind alle Geräte (außer der Drucker) auf Enterprise umgestellt. Teils EAP-TLS und teils EAP-PEAP.



Das war klar und ich verstehe das auch - behaupten kann ja jeder.


:lach: Ich glaub dir schon, Du hast schließlich das Wissen um es auszuführen. Ich habe zwar hin und wieder mit Ettercap gespielt, mich aber nie wirklich damit beschäftigt.



Natürlich auch unter WPA nicht, wenn man Radius und so weiter verwendet. Die Aussage war auf Personal ausgerichtet, wo Du einen Key hast für alle ohne weitere Mechnismen.


So war es auch gemeint. Auch mit WPA2-Personal geht es. Es liegt ja nicht an WPA2-PSK selbst, sondern wie die Routerhersteller hostapd implementieren. Wenn man es wollte, hätte man es so einrichten können, dass jedes Gerät ein eigenes Passwort bekommt.



Und bezüglich NULL - das wäre ich verneinen. Denn ein Fehler von denjenigem der das konfiguriert hat und schon ist es dahin. Und sonst wäre da noch die Sache mit den Rogue AP's. Aber da bewegen wir uns schon in einem Umfeld wo ich dann fragen müsste, kennst Du Deine Nachbarn und was sind die von Beruf. Solche Angriffe kommen dann sicherlich nicht von Leuten, die ein bisschen IT Verständnis haben sondern da reden wir von (absoluten) Cracks.

Ich empfange hier 45 AP, 2 davon sind sogar stärker als meiner. Die sitzen wohl oben und unter mir. Wenn dann noch ein, zwei Angreifer mit Spezialwerkzeug kommen, wird es wohl 1-2 Router mehr sein.

Konfigurationsfehler beim erstellen der Schlüssel ist nicht möglich, die werden mit openSSL erstellt, signiert und beglaubigt. Die Gefahr das ein Client kompromittiert wird ist selbstverständlich vorhanden. Aber, nur die beiden Zertifikate reicht nicht aus. Dazu kommt noch die Passphrase und eine geheime ID. Sollte der Angreifer wirklich alles in die Hand bekommen, ist nur der Client nicht der Server betroffen. Vorsichthalber kann man bei der Zertifikaterstellung ein Ablaufdatum mitgeben so wie mit GPG-Keys auch.

ps .. das mit ca. 40-45 AP kommt daher, dass 2 Hochhäuser in der Nähe stehen.

Darum hab ich Dich explizit nochmals gefragt (glaub auf Seite 3) was Du unter "einem angemeldeten Gerät" verstehst in Bezug auf WLAN - vor oder nach der 802.11 AA? Das hast Du nicht beantwortet, aus welchen Gründen auch immer.

Danach ohne Frage, weil dann stehst Du ja eh im Netz bzw. kannst die Pakete adäquat manipulieren - davor aber nicht - wäre ja unheimlich schön, wenn man einfach seine IP/MAC ändert und dann in einem WLAN stehen würde ohne jemals den Schlüssel gekannt/eruiert zu haben bzw. in der Lage zu sein, da dann ARP Cache zu beeinflussen.

Das kaue ich jetzt nicht nochmals durch, denn meine Antworten wären prinzpiell auch nicht anders, als das, was du mit Mandarine in der Zwischenzeit bereits besprochen hast. Und ich will das nicht wieder von vorn aufrollen. Aus dem Grunde habe ich nicht weiter geantwortet. Und dabei belasse es bitte auch.

..................und kann ich nun endlich Fernsehgucken? :basta:

..................und kann ich nun endlich Fernsehgucken? :basta:
Nur ohne Internet

Gestern hatte ich geschrieben, dass ich es auf PEAP umstelle bzw. umgestellt habe. Vorher war also nur das normale WPA2-PSK. Inzwischen sind alle Geräte (außer der Drucker) auf Enterprise umgestellt. Teils EAP-TLS und teils EAP-PEAP.

Ok - ja dann hab ich das da falsch gedeutet. Darf ich fragen, wie lang war denn Dein Passwort im WPA2-PSK? Und hattest Du die Client Isolation davor auch schon aktiv für Deine Geräte?




:lach: Ich glaub dir schon, Du hast schließlich das Wissen um es auszuführen. Ich habe zwar hin und wieder mit Ettercap gespielt, mich aber nie wirklich damit beschäftigt.

Schon gut - wie gesagt, ich kann das verstehen - im Internet kann jeder von sich behaupten was er will.



So war es auch gemeint. Auch mit WPA2-Personal geht es. Es liegt ja nicht an WPA2-PSK selbst, sondern wie die Routerhersteller hostapd implementieren. Wenn man es wollte, hätte man es so einrichten können, dass jedes Gerät ein eigenes Passwort bekommt.

Ja, tut mir leid, natürlich - dachte jetzt mehr so an "Land und Wiesen" PSK Implementationen - dort ist es meist ein Schlüssel für alle - hab zwar schon 3P APs gesehen, wo man mehrere Schlüssel konfigurieren konnte, aber auf Geräteebene eigentlich noch nie.



Ich empfange hier 45 AP, 2 davon sind sogar stärker als meiner. Die sitzen wohl oben und unter mir. Wenn dann noch ein, zwei Angreifer mit Spezialwerkzeug kommen, wird es wohl 1-2 Router mehr sein.
ps .. das mit ca. 40-45 AP kommt daher, dass 2 Hochhäuser in der Nähe stehen.

Das dachte ich mir - 45 APs ist ja der Hammer - da wäre es ja mal interessant ..... :D



Konfigurationsfehler beim erstellen der Schlüssel ist nicht möglich, die werden mit openSSL erstellt, signiert und beglaubigt. Die Gefahr das ein Client kompromittiert wird ist selbstverständlich vorhanden. Aber, nur die beiden Zertifikate reicht nicht aus. Dazu kommt noch die Passphrase und eine geheime ID. Sollte der Angreifer wirklich alles in die Hand bekommen, ist nur der Client nicht der Server betroffen. Vorsichthalber kann man bei der Zertifikaterstellung ein Ablaufdatum mitgeben so wie mit GPG-Keys auch.


Ja ich hab ja nicht gesagt, es sei einfach - aber NULL eben auch nicht, aber stimme zu bei gegen NULL :D

Das mit der Konfiguration war eher clientseitig gemeint, weil es auch eine Rolle spielt, wie Dein Client mit Zertifikaten bzw. der Zertifizierungskette umgeht. Gibt da Schwachstellen in Bezug auf die Zertifikatekette.

..................und kann ich nun endlich Fernsehgucken? :basta:
Über Madarines oder Haspels Fernsehen?! :D

Ok - ja dann hab ich das da falsch gedeutet. Darf ich fragen, wie lang war denn Dein Passwort im WPA2-PSK? Und hattest Du die Client Isolation davor auch schon aktiv für Deine Geräte?


Nein, ich hatte die Benutzer Isolation vorher nicht aktiviert. Das Authentifizierungsverfahren war auch noch WPA2-PSK was eigentlich immer noch sehr sehr sicher ist. Und die Passwörter waren zwischen 10-32 Zeichen lang, also nichts paranoisches. Und die ARP-Tabelle war dynamisch. Also seit Gestern Morgen hat sich so einiges geändert. 2 Tage hat mir das Ganze gekostet. Gut, manchmal sind solche Ereignisse gar nicht Mal so schlecht. Man stellt sein System endlich Mal wieder auf den Kopf und prüft wirklich alles durch. Mechanismen, Sicherheitseinstellungen, Logs, liest über Schwachstellen und schaut ob die installierte Version eventuell betroffen ist.



Das dachte ich mir - 45 APs ist ja der Hammer - da wäre es ja al interessant ..... :D


Das war ein Scherz, wollte nur schauen was ihr so dazu sagt :lach:
Es sind jetzt laut Wifi-Radar genau 21 AP zu sehen.




Ja ich hab ja nicht gesagt, es sei einfach - aber NULL eben auch nicht, aber stimme zu bei gegen NULL :D

Das mit der Konfiguration war eher clientseitig gemeint, weil es auch eine Rolle spielt, wie Dein Client mit Zertifikaten bzw. der Zertifizierungskette umgeht. Gibt da Schwachstellen in Bezug auf die Zertifikatekette.

War das eine Frage ?
Also, eigentlich ist es nur ein CA-Zertifikat das signiert, validiert und in das System integriert wird. Damit werden nun für Server und Benutzer jeweils öffentliche und private Zertifikate erstellt (nach RFC1421-1424) und die Schlüssel. Den Schlüssel wenn man nicht gerade auf die Idee kommt es per Email zu versenden (davon kenne ich einen) :D sind sehr sicher, nicht zu brechen. Ich erstelle die Schlüssel mit AES und sind 256-Bit stark. Das reicht für GNU/Linux völlig aus. Smartphones z.B. möchten noch zusätzlich das ROOT-Zertifikat bzw. Stammzertifikat haben damit EAP-TLS als Authentifizierungverfahren akzeptiert wird.

Über Madarines oder Haspels Fernsehen?! :D

Nicht lustig. :bäh:

Nicht lustig. :bäh:
Hrhrhhrr, wer den Schaden hat spottet jeder Beschreibung.... oder wie das heisst....

(...)Aber da bewegen wir uns schon in einem Umfeld wo ich dann fragen müsste, kennst Du Deine Nachbarn und was sind die von Beruf. Solche Angriffe kommen dann sicherlich nicht von Leuten, die ein bisschen IT Verständnis haben sondern da reden wir von (absoluten) Cracks.
In diese Richtung dachte ich auch, darum meine Nachfrage, inwieweit hierzuforum Berichte über tiefergehende Inspektionen gestattet wären.

War das eine Frage ?
Also, eigentlich ist es nur ein CA-Zertifikat das signiert, validiert und in das System integriert wird. Damit werden nun für Server und Benutzer jeweils öffentliche und private Zertifikate erstellt (nach RFC1421-1424) und die Schlüssel. Den Schlüssel wenn man nicht gerade auf die Idee kommt es per Email zu versenden (davon kenne ich einen) :D sind sehr sicher, nicht zu brechen. Ich erstelle die Schlüssel mit AES und sind 256-Bit stark. Das reicht für GNU/Linux völlig aus. Smartphones z.B. möchten noch zusätzlich das ROOT-Zertifikat bzw. Stammzertifikat haben damit EAP-TLS als Authentifizierungverfahren akzeptiert wird.


Fettung durch mich

Nein, war keine Frage, wollte genau auf die Fettung hinaus. Die Kette, wenn nicht vertrauenswürdig, kann angegriffen werden bzw. man könnte da eingreifen. Ähnlich wie bei TLS ( zur Laufzeit "on the fly" austauschen ). Aber ich sehe, Du hast an alles gedacht :D

Aber ich sehe, Du hast an alles gedacht :D

Vieles erledige ich inzwischen mit Scripte. Nach einer gewissen Zeit sehe ich nicht mehr sehr scharf und kann sehr schwer die Regeln lesen. Die Scripte helfen mir u.a. "Schlüssel & Zertifikate" sauber zu erstellen und zu signieren. Für Halbblinde gibt es nichts besseres ;)

Bei mir war nichts los, nur die altbekannten Geräte. (Bin jetzt eben kurz noch mit dem Smartphone auf die PI um nachzusehen.) Das mit der Signalstärke ist trickreich. Was ist, wenn du mit deinem Android dich der Wohnung näherst, und die Signalstärke in dem Moment gering ist, in dem er auf dein Netzwerk wechselt? Und ja, gute Antennen und Signalverstärker machen wirklich etwas aus. Im Prinzip muss man bei einer schlechten Signalqualität auch kaum blocken, denn für alle praktischen Anwendungen ist das eh zu wenig.

Damit hast Du recht. Also werde ich im Script ein sleep einbauen der nach einer X-Zeit dieselbe MAC noch einmal prüft, bevor es an ARP/IPtables weitergibt um es zu blocken. Wer mag kann das Script gerne testen und teilt es hier mit.

Damit hast Du recht. Also werde ich im Script ein sleep einbauen der nach einer X-Zeit dieselbe MAC noch einmal prüft, bevor es an ARP/IPtables weitergibt um es zu blocken. Wer mag kann das Script gerne testen und teilt es hier mit.

Ja, du wirst eine gewisse Toleranz einbauen müssen, um eine gewisse Anzahl von Messungen von schwachen Signalen zu ignorieren. Mein ARP-Alert ist ruhig. Vielleicht lass ich einfach ein Script laufen, das mir einen Tweet sendet, wenn wirklich etwas passiert.

Dein Script nutzt mir leider wenig, da mindestens die Hälfte meines Grundstücks nicht vom WiFi-Signal abgedeckt wird.

Ja, du wirst eine gewisse Toleranz einbauen müssen, um eine gewisse Anzahl von Messungen von schwachen Signalen zu ignorieren. Mein ARP-Alert ist ruhig. Vielleicht lass ich einfach ein Script laufen, das mir einen Tweet sendet, wenn wirklich etwas passiert.




Dein Script nutzt mir leider wenig, da mindestens die Hälfte meines Grundstücks nicht vom WiFi-Signal abgedeckt wird.


Wie meinst Du es ?

Ich werde das Script am WE zusammensetzen. Es soll also einen eingestellten Radius von z.B. bis zu -90 dBm ignorieren und alles drüber hinaus wird als Gefahr eingestuft. Bei Verdacht wird die auffällige MAC 5-10-15-usw. Minuten (wie man es braucht) noch einmal gescannt und erst dann geblockt, per Email informiert oder beides. Gescannt wird unterbrechungsfrei bzw. in Echtzeit (Daemon) und scannt mehrere Benutzer einzeln und gleichzeitig. Einzelne Test-Regeln laufen schon mal sehr genau. Bei mir fangen die -90 dBm erst 10m hinter meiner Wohnungstür an.

Das Script nenne ich mal ,"Spoof-Preventer 0.0.1" :cool: :lach:

Wie meinst Du es ?

Ich habe immer noch arpalert am laufen, aber bisher eben nur Meldungen zu expired leases der Geräte mit MAC Adressen auf der Whiltelist. Das eigentliche log ist noch leer. Da kann ich einfach ein Script laufen lassen, das mich über Twitter benachrichtigt, sollte sich daran was ändern.



Ich werde das Script am WE zusammensetzen. Es soll also einen eingestellten Radius von z.B. bis zu -90 dBm ignorieren und alles drüber hinaus wird als Gefahr eingestuft. Bei Verdacht wird die auffällige MAC 5-10-15-usw. Minuten (wie man es braucht) noch einmal gescannt und erst dann geblockt, per Email informiert oder beides. Gescannt wird unterbrechungsfrei bzw. in Echtzeit (Daemon) und scannt mehrere Benutzer einzeln und gleichzeitig. Einzelne Test-Regeln laufen schon mal sehr genau. Bei mir fangen die -90 dBm erst 10m hinter meiner Wohnungstür an.

Das Script nenne ich mal ,"Spoof-Preventer 0.0.1" :cool: :lach:

Ja, da ist die Situation leicht anders. Bei mir ist das schon auf der Veranda hinterm Haus oder in Teilen der Garage erreicht.

Ich habe immer noch arpalert am laufen, aber bisher eben nur Meldungen zu expired leases der Geräte mit MAC Adressen auf der Whiltelist. Das eigentliche log ist noch leer. Da kann ich einfach ein Script laufen lassen, das mich über Twitter benachrichtigt, sollte sich daran was ändern.



Hört sich gut an. Nimmst Du twidge dafür ?

Hört sich gut an. Nimmst Du twidge dafür ?

Nein, tweepy. Allein wegen den ganzen Datengeschichten nutze ich viel Python, so dass ich es auch zum scripten benutze.

P.S.: Der Python in meinem Büro häutet sich gerade. :D

P.P.S: So, und jetzt auch als cron-job aufgesetzt. Aber wird wahrscheinlich eh nichts passieren...

Nein, tweepy. Allein wegen den ganzen Datengeschichten nutze ich viel Python, so dass ich es auch zum scripten benutze.

P.S.: Der Python in meinem Büro häutet sich gerade. :D

P.P.S: So, und jetzt auch als cron-job aufgesetzt. Aber wird wahrscheinlich eh nichts passieren...

Ich hasse Schlangen :schock:

Ich hasse Schlangen :schock:

Keine Angst, der bleibt auch hier. ;)

Keine Angst, der bleibt auch hier. ;)
Mich schreckt weder Python noch Pythons. Da ist eher die Frage, was ist das kleinere Übel. :P

Keine Angst, der bleibt auch hier. ;)

Klar, gehört schließlich dir. :)

Ich habe mein Script ein wenig umgeschrieben und an arpalert angepasst. Bin zufrieden.

Ich habe gestern Abend von einem User auf linuxquestions.org eine PN bzw. den Hinweis erhalten, dass manche SmartTVs über Bluetooth angreifbar sind. Angriff bzw. Kaperung der root Rechte ist allerdings nur lokal möglich. Ich solle es mir trotzdem Mal anschauen. Leider funktioniert die Fernbedienung nicht mehr wenn ich Bluetooth ausschalte. Ohne Xiaomi Patch bekommt man den Bug wohl auch nicht gefixt. :auro:

https://vuldb.com/de/?id.169686
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0328

Datum des Bugs: 11/2020
Datum Google Patch: 02/2021
Datum SmartTV Update: 06/2020

Das wars -Xiaomi :dru:

Ich habe gestern Abend von einem User auf linuxquestions.org eine PN bzw. den Hinweis erhalten, dass manche SmartTVs über Bluetooth angreifbar sind. Angriff bzw. Kaperung der root Rechte ist allerdings nur lokal möglich. Ich solle es mir trotzdem Mal anschauen. Leider funktioniert die Fernbedienung nicht mehr wenn ich Bluetooth ausschalte. Ohne Xiaomi Patch bekommt man den Bug wohl auch nicht gefixt. :auro:

https://vuldb.com/de/?id.169686
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0328

Datum des Bugs: 11/2020
Datum Google Patch: 02/2021
Datum SmartTV Update: 06/2020

Das wars -Xiaomi :dru:


BlueTooth ist eh ein Standard, bei dem die Sicherheit eher nachrangig ist. (BlueSmacking, BlueJacking, BlueBugging, BlueSnarfing, usw.) Auch weil es eine lokale Form der Kommunikation ist, ist BlueTooth ideal um Bewegungsprofile von Personen zu erstellen.

BlueTooth ist eh ein Standard, bei dem die Sicherheit eher nachrangig ist. (BlueSmacking, BlueJacking, BlueBugging, BlueSnarfing, usw.) Auch weil es eine lokale Form der Kommunikation ist, ist BlueTooth ideal um Bewegungsprofile von Personen zu erstellen.

Das ist richtig, aber was meint man mit lokal ? Bluetooth Klasse 1 koppelt ja auch noch in 100m Entfernung, Klasse 2 bis zu 25m. Heute morgen erreiche ich 22 Wlan AP und 4 Bluetooth Geräte. Ich habe sehr neugierige Nachbarn, der Eine oder Andere koppelt seine Kopfhörer gerne an meinem Fernseher um zu hören was ich so konsumiere :kk:. Gestern Abend noch Xiaomi angeschrieben und das Problem geschildert, mal sehen ob ich überhaupt eine Antwort bekommen. Ich werde das Teil demnächst auf Ebay-Kleinanzeigen inserieren. Die allermeisten kennen sich ja mit Software und Bugs gar nicht aus, bekomme das China Teil sicherlich schnell verkauft. So wie ich bisher mitbekommen habe, scheint Samsung sehr schnell zu fixen.

ps .. das hier klingt doch sehr vernünftig :)

Bundesregierung plant Update-Pflicht für Smart-TVs

https://www.prad.de/bundesregierung-plant-update-pflicht-fuer-smart-tvs/

Das ist richtig, aber was meint man mit lokal ? Bluetooth Klasse 1 koppelt ja auch noch in 100m Entfernung, Klasse 2 bis zu 25m. Heute morgen erreiche ich 22 Wlan AP und 4 Bluetooth Geräte. Ich habe sehr neugierige Nachbarn, der Eine oder Andere koppelt seine Kopfhörer gerne an meinem Fernseher um zu hören was ich so konsumiere :kk:. Gestern Abend noch Xiaomi angeschrieben und das Problem geschildert, mal sehen ob ich überhaupt eine Antwort bekommen. Ich werde das Teil demnächst auf Ebay-Kleinanzeigen inserieren. Die allermeisten kennen sich ja mit Software und Bugs gar nicht aus, bekomme das China Teil sicherlich schnell verkauft. So wie ich bisher mitbekommen habe, scheint Samsung sehr schnell zu fixen.

ps .. das hier klingt doch sehr vernünftig :)

Bundesregierung plant Update-Pflicht für Smart-TVs

https://www.prad.de/bundesregierung-plant-update-pflicht-fuer-smart-tvs/

Na ja, innerhalb von Gebäude würde ich bei Class 2 Geräten eher so um die 10m Reichweite erwarten. Trotzdem, wenn in einem Gebäude der Nachbar über dir sitzt, dann reicht sowas. Samsung ist bei den Updates gut mit dabei, jedoch sind einige Probleme von Bluetooth wirklich Teil des Standards.

Bei mir reichen die Bluetoothsignale nicht einmal bis ans Ende der Einfahrt. Aber es ist schon lustig, wenn man auf einmal in die Telefongespräche der Frau geschaltet wird, nur weil man mal eben den Wagen anlässt. ;)

Na ja, innerhalb von Gebäude würde ich bei Class 2 Geräten eher so um die 10m Reichweite erwarten. Trotzdem, wenn in einem Gebäude der Nachbar über dir sitzt, dann reicht sowas. Samsung ist bei den Updates gut mit dabei, jedoch sind einige Probleme von Bluetooth wirklich Teil des Standards.


Ja Du hast recht, Klasse 2 schafft nur bis zu 10m Reichweite. Mein SmartTV kann Bluetooth 4.2 und ermöglicht eine Reichweite zwischen 10 -100m. https://www.elektronik-kompendium.de/sites/kom/2107121.htm#:~:text=Zum%20Vergleich%2C%20Bluetooth %20Version%204.2,schaffen%2050%20Meter%20oder%20me hr. Aber sollte der Bluetooth Kopfhörer des Nachbarn einen Klasse 1 Chipsatz verbaut haben (Auf Amazon habe ich einen Kopfhörer gefunden der sogar noch bei einer Reichweite von 83m koppelt), spielt es dann noch eine Rolle, wenn die Reichweite meines SmartTVs auf 10m begrenzt wurde ? :kk:



Bei mir reichen die Bluetoothsignale nicht einmal bis ans Ende der Einfahrt.

Du glücklicher :)

Ja Du hast recht, Klasse 2 schafft nur bis zu 10m Reichweite. Mein SmartTV kann Bluetooth 4.2 und ermöglicht eine Reichweite zwischen 10 -100m. https://www.elektronik-kompendium.de/sites/kom/2107121.htm#:~:text=Zum%20Vergleich%2C%20Bluetooth %20Version%204.2,schaffen%2050%20Meter%20oder%20me hr. Aber sollte der Bluetooth Kopfhörer des Nachbarn einen Klasse 1 Chipsatz verbaut haben (Auf Amazon habe ich einen Kopfhörer gefunden der sogar noch bei einer Reichweite von 83m koppelt), spielt es dann noch eine Rolle, wenn die Reichweite meines SmartTVs auf 10m begrenzt wurde ? :kk:

Das ist bidirektional, d.h. beide Geräte brauchen diese Reichweite. Kann dein SmartTV nur 10m, dann nützt dem Nachbarn sein Kopfhörer nichts. Aber in einem Mehrfamilienhaus reichen 10m schon weit.



Du glücklicher :)

Ja, bei mir ist es eher Getier, dass sich meinem Haus nähert. :D

Ja, bei mir ist es eher Getier, dass sich meinem Haus nähert. :D

Hmm... im Wayne National Forest soll ja noch eine große Gruppe von Bigfoots leben :hmm:

Hmm... im Wayne National Forest soll ja noch eine große Gruppe von Bigfoots leben :hmm:

Durchaus möglich, aber ich dachte eher an die Whitetails, Waschbären, Spechte, und die restlichen Vertreter. Ach ja, Kojoten in meiner Nachbarschaft eben auch.

Durchaus möglich, aber ich dachte eher an die Whitetails, Waschbären, Spechte, und die restlichen Vertreter. Ach ja, Kojoten in meiner Nachbarschaft eben auch.

Wie gefährlich sind denn die Kojoten, haben die schon mal bei euch Menschen angegriffen ?

Wie gefährlich sind denn die Kojoten, haben die schon mal bei euch Menschen angegriffen ?

Nein, Menschen sind sehr selten Beute. Haustiere sind da schon eine ganz andere Frage, d.h. Katzen müssen arg aufpassen. Die Kojoten jagen auch sehr raffiniert und mit System.

Nur mal so am Rande erwähnt ...

bin seit heute Morgen bei einem Kunden bzw. trinke gerade Kaffee, um einige kleine Wartungsarbeiten durchzuführen. Was mir bisher aufgefallen ist, dass ungewöhnlich viele Telekom & Unitymedia IPs geblockt wurden bzw. immer noch werden (u.a. 87.xx..). Laut AbuseIPDB wurden die besagten IPs tatsächlich für dutzende Angriffsversuche mehrmals markiert. Entweder haben so einige Telekom/VF Kunden nichts besseres zu tun als Rechenzentren, Universitäten, Krankenhäuser zu hacken (denke ich nicht), oder es wurden in letzter Zeit eine ganze Menge an Router/PCs gehackt und werden nun dafür missbraucht. :hmm: Und mir ist noch was aufgefallen .. ich brauche eine stärkere Brille. Das Schreiben auf dem Smartphone fällt mir immer schwerer :auro:

Nur mal so am Rande erwähnt ...

bin seit heute Morgen bei einem Kunden bzw. trinke gerade Kaffee, um einige kleine Wartungsarbeiten durchzuführen. Was mir bisher aufgefallen ist, dass ungewöhnlich viele Telekom & Unitymedia IPs geblockt wurden bzw. immer noch werden (u.a. 87.xx..). Laut AbuseIPDB wurden die besagten IPs tatsächlich für dutzende Angriffsversuche mehrmals markiert. Entweder haben so einige Telekom/VF Kunden nichts besseres zu tun als Rechenzentren, Universitäten, Krankenhäuser zu hacken (denke ich nicht), oder es wurden in letzter Zeit eine ganze Menge an Router/PCs gehackt und werden nun dafür missbraucht. :hmm: Und mir ist noch was aufgefallen .. ich brauche eine stärkere Brille. Das Schreiben auf dem Smartphone fällt mir immer schwerer :auro:

Muss es denn der Router selbst sein, oder sind es die üblichen Botnetzwerke? Ja, ich denke ebenfalls, dass es eher über eine Infektion des PCs funktioniert, und diese Botnetzwerke sind ja vom Prinzip her nicht neu, nur ihre Methoden, Versionen oder Payloads sind es. Selbst der gute alte Emotet macht ja immer noch seine Runden.

Muss es denn der Router selbst sein, oder sind es die üblichen Botnetzwerke? Ja, ich denke ebenfalls, dass es eher über eine Infektion des PCs funktioniert, und diese Botnetzwerke sind ja vom Prinzip her nicht neu, nur ihre Methoden, Versionen oder Payloads sind es. Selbst der gute alte Emotet macht ja immer noch seine Runden.

Eine Infektion der PCs, falsch eingerichtete Router/Server (stümperfafte Port-Forwarding rules), Bugs .. würde ich ebenfalls sagen. Nun ja, einerseits will keiner so recht beschnüffelt werden, andererseits würde ein Eingreifen des Providers doch schon Sinn machen. Für ein Großteil der Bürger wäre ein Volks-Router eine gute Sache. Braucht man z.B. einen offenen Port ? In die Router-Einstellungen einfach die Port-Änderung vornehmen. Der Provider richtet es dann -nach einer Überprüfung- ein. :)

Eine Infektion der PCs, falsch eingerichtete Router/Server (stümperfafte Port-Forwarding rules), Bugs .. würde ich ebenfalls sagen. Nun ja, einerseits will keiner so recht beschnüffelt werden, andererseits würde ein Eingreifen des Providers doch schon Sinn machen. Für ein Großteil der Bürger wäre ein Volks-Router eine gute Sache. Braucht man z.B. einen offenen Port ? In die Router-Einstellungen einfach die Port-Änderung vornehmen. Der Provider richtet es dann -nach einer Überprüfung- ein. :)

Sowas sähe ich ebenso als vorteilhaft an. Während die Nutzung eines PCs, eine Tablets oder eines Smartphones weitestgehend des Bedürfnissen und Fähigkeiten des Konsumenten angepasst wurde, ist dies aus meiner Sicht beim Einrichten eines Netzwerkes nicht passiert.

Sicher, es gibt die 08/15 Lösungen, aber wenn man auch nur leicht davon abweichen will, dann wird auf einmal ein Wissen verlangt, das der Normalbürger nicht hat. Ich weiss nicht, wie die Rechtslage in Deutschland ist, aber in den USA sollte man auf jeden Fall kontrollieren, was von der eigenen externen IP-Adresse aus geschieht.

Sowas sähe ich ebenso als vorteilhaft an. Während die Nutzung eines PCs, eine Tablets oder eines Smartphones weitestgehend des Bedürfnissen und Fähigkeiten des Konsumenten angepasst wurde, ist dies aus meiner Sicht beim Einrichten eines Netzwerkes nicht passiert.

Sicher, es gibt die 08/15 Lösungen, aber wenn man auch nur leicht davon abweichen will, dann wird auf einmal ein Wissen verlangt, das der Normalbürger nicht hat. Ich weiss nicht, wie die Rechtslage in Deutschland ist, aber in den USA sollte man auf jeden Fall kontrollieren, was von der eigenen externen IP-Adresse aus geschieht.

Das weiß ich jetzt auch nicht so genau. Ehrlich gesagt, kenne ich die neuen Router z.B. die von AVM nicht bzw. war noch gar nicht in den Einstellungen. Ich weiß also nicht, wie übersichtlich die Bedienung ist. Da können unsere Mitforisten sicherlich mehr zu sagen.

Das weiß ich jetzt auch nicht so genau. Ehrlich gesagt, kenne ich die neuen Router z.B. die von AVM nicht bzw. war noch gar nicht in den Einstellungen. Ich weiß also nicht, wie übersichtlich die Bedienung ist. Da können unsere Mitforisten sicherlich mehr zu sagen.

In den USA kann man sagen, dass die IP-Adresse vom Provider bestätigt für eine Anklage reicht. Dementsprechend bin ich vorsichtig, wen oder was ich auf mein WLAN lasse. Die meisten Menschen, die ich kenne, haben immer noch das Originalpasswort. Und in meiner Nachbarschaft gibt es jede Menge Netzwerke mit dem Namen des Herstellers des Routers. Da wurde nichts konfiguriert.

In den USA kann man sagen, dass die IP-Adresse vom Provider bestätigt für eine Anklage reicht. Dementsprechend bin ich vorsichtig, wen oder was ich auf mein WLAN lasse. Die meisten Menschen, die ich kenne, haben immer noch das Originalpasswort. Und in meiner Nachbarschaft gibt es jede Menge Netzwerke mit dem Namen des Herstellers des Routers. Da wurde nichts konfiguriert.

Da sieht man doch, dass Du kein Amerikaner bist :))
Ich denke mal, dass es in Deutschland nicht viel anders sein wird. Sollte z.B. ein Hacker mit meiner IP eine Straftat begehen, würde ich sehr wahrscheinlich mit Konsequenzen rechnen müssen.