Angriff auf WLAN trotz Sicherheitseinstellungen

[Obivan25]

Trotz aller Sicherheitseinstellungen wurde bei einem Bekannten auf sein WLAN zugegriffen und ordentlich Daten über seinen Tarif heruntergeladen. Es ist aufgefallen als das eingerichtete Kostenlimit (beginnt ab 5GB Transfervolumen) überschritten wurde und dies obwohl er nicht viel heruntergeladen hatte. Daraufhin haben wir die Onlinezeiten kontrolliert und festgestellt das dort Zeiten aufgeführt sind wo er nicht im Internet war und gerade dort mehrere 100MB Transfervolumen hatte. Sein Router ist so konfiguriert das er sich nach 3 Min. inaktivität automatisch abwählt. Aber der Datendownload kommt ja sicher auch nicht vom Router selber sondern von einem Anwender...

Ich habe bereits einige Artikel gelesen die darauf hinweisen bzw. beschreiben wie man ein "gesichertes" WLAN dennoch überwinden kann, u.a. folgenden Artikel den ich sehr interessant fand:

http://triplex.it-helpnet.de/unsorted%20stuff/Papers/Spaxid%20%231%20-%20DoS-Angriffe%20gegen%20WLAN.pdf

Das ich das WLAN durch ändern aller PW und Schlüssel nur kurzfristig "sicher" machen kann ist klar.

Mich würde nun interessieren ob es möglich ist solch einen Angriff durch einen Unbekannten Anwender feststellen zu können. Ihn ausfindig zu machen dürfte wohl nicht möglich sein aber es steht wohl fest das es nur jemand aus dem in diesem Fall 10 Fam. Mietshaus sein kann, zumindest ist dies naheliegend.

Mich würde Eure Meinung / Tips / Anregungen dazu interessieren!!! Kann ich dem "Angreifer" einen Haken schlagen ??

Mir kam sogar schon eine Idee und im ersten moment werdet Ihr sicher schmunzeln...
Um das WLAN "sicher" zu machen hilft wohl nur der ungewöhnliche Weg eines Störsenders. Natürlich ginge das nur für die Zeit wo man das WLAN nicht selber benötigt aber es wäre eine Idee. Störsender hört sich zunächst übel an, wenn man aber Babyphone dazu sagt klingts doch gleich viel besser oder ??
Ja genau, Babyphones arbeiten im gleichen Frequenzbereich wie WLANs, also bei 2,4GHz, somit kann man diese enorm stören (Audio und Video Funkübertragen gehören ebefalls zu Störenfrieden).
Werde mal ein Babyphone etwas modifizieren damit man es leichter auf Sendebetrieb schlaten kann und dann schuan wir mal

Gruß Obi

 

[sieben]

1) Definiere "Sicherheitseinstellungen".

2) Verwirf Deine Idee.

 

[Obivan25]

1)

a) Router Passwort geändern

b) SSID geändert und versteckt

c) WEP-Verschlüsselung mit 128 Bit ASCII

d) MAC Adressen Filter

e) DHCP auf 2 IPs beschränkt da 2 PCs



2)

Wieso ??

 

[SUID:root]

Ich halte es für nahezu unmöglich einen AP mit einem gut gewählten WPA Schlüssel zu knacken. Bei WEP ist es verhältnismäßig leicht, aber bei WPA sollte ein Angreifer doch schon etwas ins Schwitzen kommen.

Wenn das Passwort allerdings "Fiffi" ist, dann wirds auch da nicht lange dauern

Ansonsten gibt es noch die Möglichkeit gefake AP´s zu simulieren. Dann hat der Angreifer unter Umständen erst das Problem, herausfinden zu müssen, welcher AP real ist, um dann den Schlüssel zu knacken.

Allerdings gibt es auch da wieder Möglichkeiten, das zu umgehen.
Diese ganzen Spiele bringen meiner Meinung nach nicht viel.

Wenn er sichere Technik verwendet und trotzdem Sicherheitsprobleme bekommt, dann liegt das Problem woanders. Der größte Unsicherheitsfaktor bleibt der Mensch.

Ein paar Infos wären nett.
Was bedeutet: "Trotz aller Sicherheitseinstellungen" ? Wie sehen die aus?

edit: OK, DANKE:

a) Router Passwort geändern

OK.

b) SSID geändert und versteckt

Bringt nix. Kann jederzeit ausgelesen werden.

c) WEP-Verschlüsselung mit 128 Bit ASCII

Veraltet. WPA besser. WEP lässt sich je nach Auslastung in einer Stunde knacken.

d) MAC Adressen Filter

Bringt auch nichts. Broadcast der MAC-Adressen. Können geloggt werden und MAC genändert werden

e) DHCP auf 2 IPs beschränkt da 2 PCs

Okay. Aber auch da ist es nicht schwer, denn die privaten IP-Ranges lassen sich an einer Hand abzählen

FAZIT: Entweder AP abschalten über Steckerleiste und nur bei Bedarf einschalten oder AP mit WPA kaufen.
WLAN-Karte muss auch WPA unterstützen!!!



Gruss

root

 

[Astronic]

Nun, ein Schnippchen schlagen wirst du ihm wohl kaum.
Falls er wieder mal connected kannst du über deinen Router eventuell herauswinden wie der Hostname des PCs ist.

Wenns jetzt der zufällig seinen PC mit seinem Vor und Nachnamen schmükt, oder inizialien, könntet ihr Glück haben.

Ansonsten einfach mal nach Freigaben auf dem PC (Windows-Standart-Freigabe, $c ect.) gucken, und eventuell sind diese ja nicht Passwort geschützt.

Mehr gibts eigentlich nicht.

Eine Beschränkung ist nicht gerade sinnvoll, das der Angreifer ja hauptsächlich nacht zu agieren scheint, wo die anderen PCs aus sind.
Lässt sich zwar vor jedem Ausschalten ändern ist aber nervig.

Also wird die einfachste Lösung sein: Wenn man seine PCs herunterfährt, auch den Router abschalten.

Mir käme auch eine Idee den gesmaten Traffic über einen Proxy laufen zu lassen, bevor er in den WLAN Router geht. Wenn erauch LAN unterschützt ist das kein Problem.

Root, wie kann man denn einen AP simulieren?

 

[Eckbert]

Leg dir ne dynamische WEP zu sonst kannst die einfach mitlesen und errechnen.

 

[Obivan25]

Ok, man kann also sagen alle möglichen Sicherheitseinstellungen können geknackt werden, zumindest wenn man keinen Router mit WPA Verschlüsselung hat.

Ich werde meinem Bekannten raten sich solch einen Router und Funkmodul zuzulegen.

Ich habe mich in der Zwischenzeit etwas mit seinem bisherigen Router vertraut gemacht. Es handelt sich hierbei um einen DrayTek Vigor 2500we.

Dieser bietet die Funktion anhand einer Zusatzrouter-Software einige Diagnosen anzeigen zu lassen, u.a alle Verbindungen ins Internet oder welche IP mit welcher MAC Adresse und siehe da sogar mit welchem Gerätenamen.
Das ganze wird in einer Log-Datei aufgezeichnet.
Das Log-File wird auf einem anhand der IP festgelegten PC gespeichert, das bedeutet dann aber, ich müßte hierzu feste IP Adressen vergeben. Bisher habe ich den Router als DHCP Server laufen.

Weiter bietet der Router die Möglichkeit DoS Angriffe abzufangen bzw in ihrer Wirkung zu vermindern. Hier mal eine Liste was alles erkannt wird:
- Port Scan Erkennung
- IP Optionen blockieren
- Land-Pakete stoppen
- Smurf-Angriffe blockieren
- Trace Route blockieren
- SYN Fragment Pakete blockieren
- Fraggle Attack
- TCP Flag Scan blockieren
- Teardrop-Pakete stoppen
- Ping of Death blockieren
- Fragmentierte ICMP-Pakete stoppen
- Unbekannte Protokolle blockieren
Die DoS Abwehrfunktion ist aktuell aber nicht aktiv. Macht wohl Sinn auch diese zu aktivieren...

Ich gebe zu mich hat etwas das Sherlock Holmes Feeling gepackt, würde schon gern herausfinden wer sich da unbefugten Zugriff verschaft.

HIER NOCH EINE IDEE VON EINEM MEINER KOLLEGEN:
Wenn man die Antenne des Router abmontiert verringert sich extrem die Reichweite des Funknetzes. Wenn es noch stark genug ist um in seiner Whg Empfang zu haben ist die Idee gar nicht so dumm

 

[SUID:root]

Hallo Obivan,

die Draytek Geräte sind sehr gut ausgestattet und bieten einen hohen Umfang an Sicherheitseinstellungen.
Grundsätzlich solltest du alle Standard-Mechanismen einschalten; bei der FW wäre ich aber etwas vorsichtig, wenn du die konfigurierst.
Kenne den 2500er nicht genau, aber wenn er die gleiche FW wie der 2300er hat (davon gehe ich mal aus), dann kannst du sehr viele Regeln festlegen aber dir auch sehr schnell ein Loch ins Knie schießen...

DoS-Protect solltest du aber mal einschalten, wenngleich es mit dem WLAN-Problem nichts zu tun hat.

Zu deiner Frage wegen Antenne abschrauben:

Keine Ahnung wie es bei WLAN-Routern ist, aber bei Funkgeräten bspw. machst du dir das Gerät kaputt, wenn du ohne Antenne sendest. Frag mich bitte nicht nach technischen Details, warum das so ist. Kann es aber leider bestätigen.
Wie das bei AP´s ist, weiß ich nicht; wäre aber vorsichtig...

Sicherheitseinstellungen können eigentlich immer geknackt werden, die Frage ist nur wieviel Zeit und Engagement ein Angreifer aufbringt und in welchem Verhältnis der Aufwand zum Nutzen steht.
Es gibt nur sehr wenige Mechanismen die als ungeknackt oder unknackbar gelten.
Doch auch hier arbeitet die Zeit gegen sie.

Ob man den Vigor über ein Firmware-Update möglicherweise WPA-fähig machen könnte, würde ich sicherheitshalber mal prüfen, bevor ich ein neues Gerät kaufe.

Vermutlich geht es aber nicht.

Gruss

root

 

[Obivan25]

Hi root

ich werde die Sicherheitseinstellungen erstmal entsprechend ändern und soweit möglich noch ergänzen so z.B. die DoS Abwehr auch wenn sie nicht unmittelbar mit dem Problem zu tun hat.

Mit der Antenne war ein guter Hinweis, danke. Denke ein abmontieren der Antenne kann dazu führen das die Hardware zu warm wird und letztendlich abraucht. Die Antenne sorgt letztendlich dafür das Leistung also Energie abgeführt wird und ohne muß die Leistung auch irgendwo hin... also bleibt sie sozusagen an der Hardware hängen.

Der 2500 bietet die Möglichkeit der Fernwartung. Natürlich ergibt sich dadruch wohl gleich das nächste Sicherheitsproblem, wobei man auch hier genau einstellen kann wer was per Fernwartung ändern darf. Das Problem ist mein Bekannter kennt sich kaum aus und so hätte ich etwas mehr Übersicht was sein Rooter so alles macht und Änderungen könnte ich auch ohne großen Aufwand vornehmen
Wie siehst Du das Sicherheitsrisiko ?

Allerdings müßte ich dem Router eine feste WAN IP Adresse zuordnen und ich dachte die wird vom Provider dynamisch vergeben mmmmmhhhh

 

[SUID:root]

Hi!

zu 1.)

Fernwartung, sprich offener Telnet-Port bzw HTTP/Webinterface sind immer ein Risiko.
Es sollte aber die Möglichkeit bestehen, Telnet abzuschalten und die Webconfig auf einen hohen Port zu legen (also weg von 80, z.B. 40080). Beim 2300 geht beides.
Damit hast du in der Regel bei Portscans deine Ruhe weil die Kids nicht soviel Zeit haben (wollen) um hohe Ports zu scannen.

Wähle ein alphanumerisches PW mit Sonderzeichen und schalte Ping ab. Damit ist der Router für normale Scanversuche nicht mehr so leicht zu finden. Falls doch, muss noch der Port ausgemacht werden und das PW geknackt.

Sicher ist auch das nicht, doch bietet es zusätzlichen Schutz und steigert den Aufwand.


zu 2.) Du brauchst keine feste IP. Eine Alternative sind dynamische DNS-Anbieter wie etwa www.dyndns.org.

Entweder dein Router bietet schon eine Unterstützung dafür, oder du musst ein Programm auf dem PC installieren.

DynDNS gleicht die aktuelle, dynamsiche IP mit einer Datenbank seitens DynDNS.org ab und aktuallisiert den Eintrag. Dadurch ist der Router/PC über einen individuell gewählten Namen erreichbar.

So kannst du den Router jederzeit erreichen.

Gruss

root

 

[Obivan25]

1) Ok das bedeutet dann also ich muß den Eintrag bei Verwaltung über Telnet Port (23) und FTP Port (21) den Eintrag einfach löschen und bei HTTP Port von 80 auf eine sehr hohe Zahl ändern. Diese kann ich dann wohl beliebig wählen ??!!

2) Der Router bietet die Funktion der Dyn. DNS. Ich werde ein konto bei dyndns.org einrichten und dann mal durchkämpfen
Im Router muß ich dann das Konto anlegen, hier sidn die Angaben soweit klar.
(Service Provider - dyndns.org / Domain Name usw.)
Mhhhhhhh und was muß ich bei Benutzer und Passwort eingeben ???
Sind das die Zugangsdaten die ich bei der Registrierung bei dyndns.org angegeben habe oder kann ich diese frei wählen und es sind die Zugnagsdaten die dann beim Aufruf über die Internetadresse abgefragt werden ??

Dann hab ich es ja schon fast

Danke für Deine Hilfe... mal wieder was dazu gelernt

 

[SUID:root]

1.) Ja, so in etwa. Müsste irgendwo mittels Häkchen an/abschaltbar sein. Port kannst du frei wählen, solltest aber einen hohen Port nehmen ( > 1024) und dich hinterhet daran erinnern, denn wenn du eine Verbindung aufzubauen versucht, musst du dich über deinen Browser verbinden, mit Angabe das Ports.

Also z.B. http://123.123.123.123:40080 (wobei 123 die IP darstellt und 40080 den Port; natürlich geht auch der DynDNS-Name statt der IP.)

2.) Wenn der Router das anbietet ist es einfach.
Du kannst bei DynDNS einen beliebigen Kontonamen und PW wählen, mit dem du dann auch deine Domain/Account verwaltest. Diesen musst du dann im Router eintragen (sonst könnte ja jeder deinen Namen verwenden und Anfragen umlenken.)

Der Rest erklärt sich von selbst. Wenn noch Fragen offen sind, dann als her damit

Gruss

root

 

[NeonZero]

@Obivan25

Den AP von Draytek kenne ich leider nicht. Aber: Wenn es eine separate Schnittstelle zur Konfiguration gibt (COM / USB), dann solltest Du diese verwenden und sämtliche Netzwerkinterfaces für die Konfiguration deaktivieren. Dann lässt sich wenigstens die Konfiguration nicht mehr hacken. Wenn Dein AP das nicht anbietet und Du einen neuen kaufen möchtest, dann achte auf eine solche Schnittstelle.

Zudem bieten einige APs an, die Sendeleistung per Firmware zu regeln. Du solltest auf jeden Fall die neuste Firmware einspielen. Und mit etwas Glück bietet der Draytek dieses Feature an. Tut er das nicht, so lässt sich die Sendeleistung auch mit etwas Alufolie eindämmen (kein Witz). Einfach mal ausprobieren: Den AP darin einwickeln, Schleifchen rum und fertig. Hässlich, aber wirkungsvoll.

Ansonsten wurde schon alles gesagt. Guter Thread!

Bye, nz