Zum Inhalt springen

MAC-Spoofing in meinem WLAN


Empfohlene Beiträge

Geschrieben

Hallo,

und zwar gibt mir meine Firewall (Sygate personal firewall) seit gestern folgende Meldung aus:

"Unaufgeforderte, eingehende ARP-Antwort wurde entdeckt, dies ist eine Art von MAC-Spoofing, die möglicherweise Ihrem Computer Schaden zufügt."

Außerdem werden dann noch die Paketdaten angezeigt in der sich tatsächlich meine MAC-Adresse wiederfindet.

Heißt das tatsächlich dass jemand sich meine MAC-Adresse zu eigen gemacht hat und versucht in mein Netz einzubrechen?

Wie kann ich dies verhindern?

Hängt das vielleicht mit meiner unsicheren Verschlüsselungsmethode die ich nutze (WEP) zusammen (Sobald mein Vater auch endlich nen WPA-fähigen Adapter hat stell ich eh auf WPA um)?

Wenn mir jemand weiterhelfen könnte würde ich mich echt freuen.

Geschrieben

Hallo!

Heißt das tatsächlich dass jemand sich meine MAC-Adresse zu eigen gemacht hat und versucht in mein Netz einzubrechen?

Ja, genau das heißt es. Und da derjenige wohl immerhin schon ein geeignetes Paket gefunden hat, ist er mittlerweile mit ziemlicher Sicherheit in Besitz des WEP-Schlüssels. Dein Netz ist also komplett gefallen.

Die einzige Möglichkeit das zu verhindern: Auf sichere WPA-Methoden umsteigen.

Grüße,

Florian

Geschrieben

Oh je das klingt nicht gut. Na ja war abzusehen. Aber mein Vater wills ja einfach nicht einsehen dass er dirngend ne Netzwerkkarte braucht die mit WPA verschlüsselt. Und ich hab hier jetzt schon seit nem Monat nen WLAN-Adapter der sogar WPA2 beherrscht und mit der derzeitigen WEP-Verschlüsselung total unterfordert ist ;-) Werd meinem Vater wohl zu Weihnachten endlich ne anständige NEtzwerkkarte kaufen, dann is dat Netz auch endlich wieder sicher.

Übrigens, das stand in dem Paket der ARP-Antwort:

0000: 00 04 0E C1 8F 73 00 04 : 0E C1 8F 73 08 06 00 01 | .....s.....s....

0010: 08 00 06 04 00 02 00 04 : 0E C1 8F 73 C0 A8 02 67 | ...........s...g

0020: 00 04 0E C1 8F 73 C0 A8 : 02 67 | .....s...g

Danke für eure Hilfe

Geschrieben

Und bis dein Vater ein WPA-fähige Netzwerkkarte hat würde ich täglich den WEP-Key ändern.

Gibt es für die momentane Netzwerkkarte zu 100% kein Firmware bzw. Treiberupdate das WPA ermöglicht???

Geschrieben

Muss übrigens kein MAC-Spoofing sein:

Wenn Devices im Netz zwei Netzwerkkartenb mit der gleichen IP belegen kommt es auch zu den Meldungen, hatte mal den Fall bei einem Fileserver.

Die Sygate läßt sich teilweise übrigens leicht umgehen:

'nmap -P0 -sS -v -p135-139' gibt für die Ports 135-139 filtered aus.

Ändern wir aber mal den SourcePort unseres Scans auf 135:

'nmap -P0 -sS -v --source_port 135 -p 135-139' gibt für die Ports 135 und 139 open aus.

So einfach könnte man auf einem nicht komplett gepatchten w2k einen RPC_DCOM Exploit ausführen. Im Exploit muss nur der Sourceport auf 135 geändert werden.

Falls Du keine zwei Devices mit gleicher IP hast würde ich den Angreifer erstmal per void11 Attacke vom WLAN trennen und dann in der Zeit wo er sich neu connected schnell mit der großen Keule ums Haus laufen, ihn ruhig stellen und bis zum Eintreffen der Polizei festhalten :)

mfg

cane

Geschrieben
Und bis dein Vater ein WPA-fähige Netzwerkkarte hat würde ich täglich den WEP-Key ändern.

Gibt es für die momentane Netzwerkkarte zu 100% kein Firmware bzw. Treiberupdate das WPA ermöglicht???

Na ja, das mit dem Key täglich abändern is schon recht aufwändig, da ich den Schlüssel dann ja täglich auf dem Access-Point und den 4 Clients wechseln muss, was mir dann doch ein bissl zu mühselig is ;-)

Noch surft glaub ich auch keiner auf meinen Kosten, da sich weder die Bandbreite geändert hat noch das WLAN aktiv ist wenn alle meine 4 Clients aus sind. Nen Firmware Update hab ich noch nicht gefunden, war auch ein billiges No-Name Produkt dass wir mal vor ein paar Jahren billig erstanden haben. Das Ding arbeitet auch noch nach IEEE 802.11b-Norm und dürft recht schwer auf 802.11g zu bringen sein...

@ cane

Das mit dem "Sygate umgehen" hab ich noch nicht so ganz verstanden, was meintest du denn damit?

Geschrieben

1. Den WEP-Key jeden Tag zu ändern ist Schwachsinn da jeder WEP128 Key in weniger einer Stunde gebrochen werden kann.

2. Ich meinte damit das die Sygate sehr einfach zu umgehen ist. In bestimmten Szenarien also nutzlos.

mfg

cane

Geschrieben
1. Den WEP-Key jeden Tag zu ändern ist Schwachsinn da jeder WEP128 Key in weniger einer Stunde gebrochen werden kann.

2. Ich meinte damit das die Sygate sehr einfach zu umgehen ist. In bestimmten Szenarien also nutzlos.

mfg

cane

Ach so :-)

Was für ne Software-Firewall kannst du mir denn empfehlen?

Am besten wär 'ne Freeware-Lösung.

Dank im Vorraus

Geschrieben

Was für ne Software-Firewall kannst du mir denn empfehlen?

Am besten wär 'ne Freeware-Lösung.

Gar keine:

1. Wenn Du einen Router hast bietet der meist bereits eine SPI-Firewall.

2. XP hat eine eingebaute Firewall.

3. Alle SW-Firewalls lassen isch umgehen.

Der einzigste Sinn einer SW-Firewall liegt darin das man ausgehende Verbindungen etwas eindämmen kann. Wenn diese aber angezeigt werden hat das normalerweise einen Sinn (Updatevorgänge regulärer Software). Und die Verbindungsversuche einer guten Malware sieht man nicht da sie sich in den Prozessraum eines erlaubten Prozesses einbringen (IE, firefox). Das versuchen zwar einige SW-Firewalls zu unterbinden indem sie die system Hooks umbiegen - aber auch das kann gute Malware wieder ändern :)

Von daher kann ich keine Empfehlung geben.

mfg

cane

Geschrieben
Firewall --- Sygate hat in irgendnem Test letztens sehr gut abgeschnitten

Da hab ich schon was zu gesagt:

Die Sygate läßt sich teilweise übrigens leicht umgehen:

'nmap -P0 -sS -v -p135-139' gibt für die Ports 135-139 filtered aus.

Ändern wir aber mal den SourcePort unseres Scans auf 135:

'nmap -P0 -sS -v --source_port 135 -p 135-139' gibt für die Ports 135 und 139 open aus.

Geschrieben
*Popcorn einkauf*

Gibt das jetzt hier wieder einen Desktopfirewallflamethread?

*gg* heute vielleicht auch mal wieder? Aber ich nehm lieber Chips ;)

Meine Empfehlung: WLAN aus wenn du es nicht nutzt & die Hardware upgraden.

Geschrieben
Na ja, das mit dem Key täglich abändern is schon recht aufwändig

Taeglich ist ein schon zu hohes Intervall. Du meinst eher ein Intervall im Bereich von 5-10 Minuten.;)

Allerdings glaube ich nicht, dass Du Dir fuer 4 Clients zu Hause zertifikatsbasierende Authentifizierungsdienste (PEAP) aufbaust und dort bei erfolgreicher Authentifizierung den WEP-Key, der sich alle paar Minuten dynamisch aendern sollte, zentral an die erfolgreich authentifizierten Clients verteilst.

Die sichere Loesung: Verzichte auf WLAN und verlege LAN-Kabel.;)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...