Leimy Geschrieben 19. November 2005 Teilen Geschrieben 19. November 2005 Hallo, und zwar gibt mir meine Firewall (Sygate personal firewall) seit gestern folgende Meldung aus: "Unaufgeforderte, eingehende ARP-Antwort wurde entdeckt, dies ist eine Art von MAC-Spoofing, die möglicherweise Ihrem Computer Schaden zufügt." Außerdem werden dann noch die Paketdaten angezeigt in der sich tatsächlich meine MAC-Adresse wiederfindet. Heißt das tatsächlich dass jemand sich meine MAC-Adresse zu eigen gemacht hat und versucht in mein Netz einzubrechen? Wie kann ich dies verhindern? Hängt das vielleicht mit meiner unsicheren Verschlüsselungsmethode die ich nutze (WEP) zusammen (Sobald mein Vater auch endlich nen WPA-fähigen Adapter hat stell ich eh auf WPA um)? Wenn mir jemand weiterhelfen könnte würde ich mich echt freuen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cicero610y Geschrieben 21. November 2005 Teilen Geschrieben 21. November 2005 Hallo! Heißt das tatsächlich dass jemand sich meine MAC-Adresse zu eigen gemacht hat und versucht in mein Netz einzubrechen? Ja, genau das heißt es. Und da derjenige wohl immerhin schon ein geeignetes Paket gefunden hat, ist er mittlerweile mit ziemlicher Sicherheit in Besitz des WEP-Schlüssels. Dein Netz ist also komplett gefallen. Die einzige Möglichkeit das zu verhindern: Auf sichere WPA-Methoden umsteigen. Grüße, Florian Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 21. November 2005 Teilen Geschrieben 21. November 2005 Poste die Meldung. Denn es kann sich auch um ein normales Paket handeln, was an Deinen PC gerichtet ist. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Leimy Geschrieben 21. November 2005 Autor Teilen Geschrieben 21. November 2005 Oh je das klingt nicht gut. Na ja war abzusehen. Aber mein Vater wills ja einfach nicht einsehen dass er dirngend ne Netzwerkkarte braucht die mit WPA verschlüsselt. Und ich hab hier jetzt schon seit nem Monat nen WLAN-Adapter der sogar WPA2 beherrscht und mit der derzeitigen WEP-Verschlüsselung total unterfordert ist ;-) Werd meinem Vater wohl zu Weihnachten endlich ne anständige NEtzwerkkarte kaufen, dann is dat Netz auch endlich wieder sicher. Übrigens, das stand in dem Paket der ARP-Antwort: 0000: 00 04 0E C1 8F 73 00 04 : 0E C1 8F 73 08 06 00 01 | .....s.....s.... 0010: 08 00 06 04 00 02 00 04 : 0E C1 8F 73 C0 A8 02 67 | ...........s...g 0020: 00 04 0E C1 8F 73 C0 A8 : 02 67 | .....s...g Danke für eure Hilfe Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
volker81 Geschrieben 21. November 2005 Teilen Geschrieben 21. November 2005 mach ihm die probleme klar, die dadurch auftreten können und die eventuellen kosten, die durch mißbrauch entstehen können ... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Markus_Z Geschrieben 22. November 2005 Teilen Geschrieben 22. November 2005 Und bis dein Vater ein WPA-fähige Netzwerkkarte hat würde ich täglich den WEP-Key ändern. Gibt es für die momentane Netzwerkkarte zu 100% kein Firmware bzw. Treiberupdate das WPA ermöglicht??? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 22. November 2005 Teilen Geschrieben 22. November 2005 Muss übrigens kein MAC-Spoofing sein: Wenn Devices im Netz zwei Netzwerkkartenb mit der gleichen IP belegen kommt es auch zu den Meldungen, hatte mal den Fall bei einem Fileserver. Die Sygate läßt sich teilweise übrigens leicht umgehen: 'nmap -P0 -sS -v -p135-139' gibt für die Ports 135-139 filtered aus. Ändern wir aber mal den SourcePort unseres Scans auf 135: 'nmap -P0 -sS -v --source_port 135 -p 135-139' gibt für die Ports 135 und 139 open aus. So einfach könnte man auf einem nicht komplett gepatchten w2k einen RPC_DCOM Exploit ausführen. Im Exploit muss nur der Sourceport auf 135 geändert werden. Falls Du keine zwei Devices mit gleicher IP hast würde ich den Angreifer erstmal per void11 Attacke vom WLAN trennen und dann in der Zeit wo er sich neu connected schnell mit der großen Keule ums Haus laufen, ihn ruhig stellen und bis zum Eintreffen der Polizei festhalten mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Leimy Geschrieben 23. November 2005 Autor Teilen Geschrieben 23. November 2005 Und bis dein Vater ein WPA-fähige Netzwerkkarte hat würde ich täglich den WEP-Key ändern. Gibt es für die momentane Netzwerkkarte zu 100% kein Firmware bzw. Treiberupdate das WPA ermöglicht??? Na ja, das mit dem Key täglich abändern is schon recht aufwändig, da ich den Schlüssel dann ja täglich auf dem Access-Point und den 4 Clients wechseln muss, was mir dann doch ein bissl zu mühselig is ;-) Noch surft glaub ich auch keiner auf meinen Kosten, da sich weder die Bandbreite geändert hat noch das WLAN aktiv ist wenn alle meine 4 Clients aus sind. Nen Firmware Update hab ich noch nicht gefunden, war auch ein billiges No-Name Produkt dass wir mal vor ein paar Jahren billig erstanden haben. Das Ding arbeitet auch noch nach IEEE 802.11b-Norm und dürft recht schwer auf 802.11g zu bringen sein... @ cane Das mit dem "Sygate umgehen" hab ich noch nicht so ganz verstanden, was meintest du denn damit? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 23. November 2005 Teilen Geschrieben 23. November 2005 1. Den WEP-Key jeden Tag zu ändern ist Schwachsinn da jeder WEP128 Key in weniger einer Stunde gebrochen werden kann. 2. Ich meinte damit das die Sygate sehr einfach zu umgehen ist. In bestimmten Szenarien also nutzlos. mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Leimy Geschrieben 23. November 2005 Autor Teilen Geschrieben 23. November 2005 1. Den WEP-Key jeden Tag zu ändern ist Schwachsinn da jeder WEP128 Key in weniger einer Stunde gebrochen werden kann. 2. Ich meinte damit das die Sygate sehr einfach zu umgehen ist. In bestimmten Szenarien also nutzlos. mfg cane Ach so :-) Was für ne Software-Firewall kannst du mir denn empfehlen? Am besten wär 'ne Freeware-Lösung. Dank im Vorraus Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
volker81 Geschrieben 23. November 2005 Teilen Geschrieben 23. November 2005 Firewall --- Sygate hat in irgendnem Test letztens sehr gut abgeschnitten Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 23. November 2005 Teilen Geschrieben 23. November 2005 Was für ne Software-Firewall kannst du mir denn empfehlen? Am besten wär 'ne Freeware-Lösung. Gar keine: 1. Wenn Du einen Router hast bietet der meist bereits eine SPI-Firewall. 2. XP hat eine eingebaute Firewall. 3. Alle SW-Firewalls lassen isch umgehen. Der einzigste Sinn einer SW-Firewall liegt darin das man ausgehende Verbindungen etwas eindämmen kann. Wenn diese aber angezeigt werden hat das normalerweise einen Sinn (Updatevorgänge regulärer Software). Und die Verbindungsversuche einer guten Malware sieht man nicht da sie sich in den Prozessraum eines erlaubten Prozesses einbringen (IE, firefox). Das versuchen zwar einige SW-Firewalls zu unterbinden indem sie die system Hooks umbiegen - aber auch das kann gute Malware wieder ändern Von daher kann ich keine Empfehlung geben. mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 23. November 2005 Teilen Geschrieben 23. November 2005 Firewall --- Sygate hat in irgendnem Test letztens sehr gut abgeschnitten Da hab ich schon was zu gesagt: Die Sygate läßt sich teilweise übrigens leicht umgehen: 'nmap -P0 -sS -v -p135-139' gibt für die Ports 135-139 filtered aus. Ändern wir aber mal den SourcePort unseres Scans auf 135: 'nmap -P0 -sS -v --source_port 135 -p 135-139' gibt für die Ports 135 und 139 open aus. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
allesweg Geschrieben 23. November 2005 Teilen Geschrieben 23. November 2005 *Popcorn einkauf* Gibt das jetzt hier wieder einen Desktopfirewallflamethread?*gg* heute vielleicht auch mal wieder? Aber ich nehm lieber Chips Meine Empfehlung: WLAN aus wenn du es nicht nutzt & die Hardware upgraden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 23. November 2005 Teilen Geschrieben 23. November 2005 Alternative: Falls man sowieso noch alte Hardware über hat oder schon einen Homeserver betreibt bietet es sich an das WLAN per VPN abzusichern. mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 23. November 2005 Teilen Geschrieben 23. November 2005 Na ja, das mit dem Key täglich abändern is schon recht aufwändig Taeglich ist ein schon zu hohes Intervall. Du meinst eher ein Intervall im Bereich von 5-10 Minuten. Allerdings glaube ich nicht, dass Du Dir fuer 4 Clients zu Hause zertifikatsbasierende Authentifizierungsdienste (PEAP) aufbaust und dort bei erfolgreicher Authentifizierung den WEP-Key, der sich alle paar Minuten dynamisch aendern sollte, zentral an die erfolgreich authentifizierten Clients verteilst. Die sichere Loesung: Verzichte auf WLAN und verlege LAN-Kabel. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.