m17ch
Anmeldungsdatum: 5. Juni 2018
Beiträge: 17
|
Moin, hoffe die Frage ist hier im Ansatz richtig aufgehoben ☺ Es geht darum, dass eine Freundin von mir permanent und gezielt attackiert wird.
Fing in Kurzfassung damit an, dass jemand mehrfach ein Netzwerk mit der selben SSID erstellte, und ihr Wlan permanent lahmlegte, sodass sie sich unbemerkt beim Angreifer einloggte.
Kurz darauf hatte jemand nachweislich versucht sich mit ihrem (für Brute-Force allemal zu sicherem) Passwort versuchte sich bei ihrem Gmail Account einzuloggen, was von Google verhindert wurde (oh Wunder, passiert nicht oft 😀 ), weitere Accounts unklar.
Habe direkt weitestmöglich analysiert und Daten gesammelt, leider war sein DD-WRT System komplett abgeschottet, kein brauchbarer, offener Port, snmp gekonnt geblockt. Darauf hat sie auf meine Anweisung hin sämtliche Logins geändert. Zudem habe ich einen baugleichen Router installiert, ihm eine irreführende und entsprechend der Umgebung unaufällige SSID gegeben, den alten Router als Fake wie zuvor belassen.
Leider geht alles nun wieder los, seit sie ihren Drucker vom alten in das neue Wlan verfrachtet hat.
Seitdem gibt es sehr oft 2 zusätzliche Wlans mit selber SSID und ihr Internet geht nahezu nie. An der Leitung liegt es tausend prozentig nicht, ausgiebig geprüft, ist auch mein Beruf. Lange Rede kurzer Sinn, wie kann ich ihr mit möglichst geringem Aufwand helfen und das ein für alle mal unterbinden? Netzwerk verstecken oder präzise Schutzkonfigurationen sind natürlich alle sinnlos, selbst wenn der Login nun dank tiefgreifender Konfiguration meinerseits nahezu unmöglich zu knacken ist, stört es doch sehr, ständig kein Internet zu haben. Würde ich die Zeit haben, dann hätte ich schon lange im nächsten Verteiler sein Kabel ausfindig gemacht und ihn alle zwei Wochen für eine Woche auf nen neuen Techniker warten lassen 😀 Wäre sehr dankbar für realistische, langzeitige Lösungsvorschläge. Bearbeitet von kB: Ein „w“ gekauft und im Titel ergänzt.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21730
Wohnort: Lorchhausen im schönen Rheingau
|
m17ch schrieb: Lange Rede kurzer Sinn, wie kann ich ihr mit möglichst geringem Aufwand helfen und das ein für alle mal unterbinden?
Ein für alle Mal? WLAN ausschalten. Ich weiß, ist nicht die Antwort die Du hören möchtest, aber Du hast es vermutlich geahnt.
Leider geht alles nun wieder los, seit sie ihren Drucker vom alten in das neue Wlan verfrachtet hat. Seitdem gibt es sehr oft 2 zusätzliche Wlans mit selber SSID und ihr Internet geht nahezu nie.
Einen Defekt am Drucker (oder einem anderen Gerät) kannst Du ausschließen? Möglicherweise läuft da einfach nur der WLAN-Chipsatz Amok. kann ja passieren
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
m17ch schrieb: […] eine Freundin von mir permanent und gezielt attackiert wird.
Das, was Du beschreibst, nennt man Stalking. Als Opfer eines Stalkers sollte man sich an die Polizei wenden. Der Stalker missbraucht auch das Medium Funk. Dafür interessiert sich die Regulierungsbehörde und auch der Provider. Damit man bei diesen beiden Hilfe bekommt, benötigt man den Nachweis der Anzeige (Aktenzeichen) bei der Polizei. Es sollte auch die Einschaltung eines Anwaltes erwogen werden. Dokumentiert die Angriffe durch schriftliche Aufzeichnungen, benennt Zeugen. Wehrt Euch mit zulässigen juristischen Mitteln. Die technische Seite hat redknight schon angeschnitten. Verzichte auf das auch jedem Idioten zugängliche shared Medium WLAN und prüfe, ob LAN-Kabel und dLAN für Euch Alternativen sind.
|
sh4711
Anmeldungsdatum: 13. Februar 2011
Beiträge: 920
|
redknight schrieb: ...
Ein für alle Mal? WLAN ausschalten. ...
Unglaublich aber anscheinend wahr ☹ https://www.ccc.de/de/updates/2018/risikorouter Sicher geht also nicht. Ggf. kann man andere Technik einsetzen, um von den Standard-Geräten (802.11) nicht gesehen zu werden. Wobei das alles nicht unter die Prämisse "...mit möglichst geringem Aufwand..." fällt oder verboten ist (https://de.wikipedia.org/wiki/Wireless_Local_Area_Network#Nutzungsbedingungen). Obwohl, wenn man alte Hardware verwendet, die 802.11b mit der Modulation DSSS verwenden, so dürften diese nicht von neueren Geräten gesehen werden können. Kann das jemand bestätigen? Gibt es kein Projekt das sich der "schlechten" Sicherheitslage des WLAN Standards angenommen hat? Manchmal könnte man glauben das sei alles systembedingt bzw. "systemgewollt" 😢
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13927
|
superhonk schrieb: Gibt es kein Projekt das sich der "schlechten" Sicherheitslage des WLAN Standards angenommen hat?
Ich denke hier geht es weniger um Sicherheit, sondern eher um eine Störung der WLAN-Verbindung von außen.
Gegen z. B. deauth-Angriffe kann man sich nicht richtig schützen. Evtl. mit "Protected Management Frames"?
Aber das kann m. E. noch nicht jede NIC bzw. nicht jeder WLAN-Router.
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8525
|
superhonk schrieb: Obwohl, wenn man alte Hardware verwendet, die 802.11b mit der Modulation DSSS verwenden, so dürften diese nicht von neueren Geräten gesehen werden können. Kann das jemand bestätigen?
Wenn Du dem Angreifer richtig helfen willst, dann mit einer WEP-Verschlüsselung!
|
6d62
Anmeldungsdatum: 12. Januar 2019
Beiträge: 4
|
Die Lösung ist doch sehr simple, die Wlan Signalstärke von Sender und Empfänger erhöhen (ggF. Router und Wlan Karte tauschen), sodass deauth und fakeap Angriffe nicht mehr oder nur begrenzt funktionieren oder eben ein Kabel verwenden. Außerdem mac filter verwenden. Zusätzlich könnte man ein Script laufen lassen das die externe IP loggd bei jeder neuen AP Verbindung um dann ggf den Netz Betreiber/sonstige zu informieren wenn eine IP identifiziert wird, die nicht zu dem eigenen AP gehört hat. Funktioniert natürlich nur wenn der fakeAP selbst einen inet Zugang hat und nicht nur eine phishing Seite ist. Noch aufwendiger, ein Tool wie dieses https://github.com/moha99sa/EvilAP_Defender/wiki zb. oder ein Honeypot mit mitm Tool, aber warum mit Kanonen auf Spatzen schießen.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
superhonk schrieb: Gibt es kein Projekt das sich der "schlechten" Sicherheitslage des WLAN Standards angenommen hat?
Doch hat man sich, schon lange 802.1X. Unter Linux gibt es die Referenzimplementierung FreeRADIUS. Der Sicherheitsgewinn wird durch eine TLS gesicherte Communication (bevor der Client dem Netzwerk beigetreten ist) zwischen Client und Radius Server (über den AP) "erkauft". In dem TLS-Szenario kann der Client auch das Server Cert checken. Ein Angreifer kann via DEAUTH zwar den Client disconnection, ein "rüberlotzen" in die Bogus SSID wird jetzt vom Client erkannt (oder der Angreifer muss ein Certifikat brechen...) Die Frage ist, wie praktikabel ist so ein FreeRadius - Installation. Ich selbst betreibe Privat so etwas, es gibt gute Tutorials und das ganze ist in unter 4 Stunden aufgesetzt. Alle modernen Endgeräte wie Smartphones, Tables, Laptops funktionieren problemlos. Kindles, Drucker und IoT Devices scheitern meist daran, dass man die Certs nicht auf das System bekommt. Die Technik löst aber nicht das Problem, dass man einen Störfunker an der Backe hat. PS: einige "bessere" APs warnen einen auch, wenn sie Bemerken, dass eine AP Auftaucht, der die gleiche SSID announced.
|
sh4711
Anmeldungsdatum: 13. Februar 2011
Beiträge: 920
|
raptor2101 schrieb: Doch hat man sich, schon lange 802.1X. ...
Danke für den Hinweis! In dem Wiki-Artikel heist es: ... am Netzwerk authentifizieren müssen, bevor dem Netzwerkgerät der Zugriff auf die Ressourcen des Netzwerks erlaubt wird.
Bedeutet das, dass man im WLAN keine SSID zu sehen bekommt ehe die Authentifizierung erfolgreich abgeschlossen wurde? (Ich habe es leider weder im Artikel noch im Netz lesen können)
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
superhonk schrieb: raptor2101 schrieb: Doch hat man sich, schon lange 802.1X. ...
Danke für den Hinweis! In dem Wiki-Artikel heist es: ... am Netzwerk authentifizieren müssen, bevor dem Netzwerkgerät der Zugriff auf die Ressourcen des Netzwerks erlaubt wird.
Bedeutet das, dass man im WLAN keine SSID zu sehen bekommt ehe die Authentifizierung erfolgreich abgeschlossen wurde? (Ich habe es leider weder im Artikel noch im Netz lesen können)
Nein die SSID bekommt ein Angreifer immer "zu sehen". Auch das Kommunikation stattfindet kann man immer sehen. Bei den PSK Verfahren tauschen Client und AP einen Auth-Token aus, der mehr oder minder vollständig bekannt ist. Ein Angreifer kann also aus Cypher und Plain Text das PSK rausrechnen. Das Problem ist gelöst und nur eine Frage von "Geld" (Cloud Rechenzeit...) oder ausprobieren (PSK erraten). Mit Radius/802.1X mit TLS muss der Angreifer ein Zertifikat brechen. Bei genügend großer KeySize (>1024 Bit) gilt das als hinreichend sicher. Er kann dich weiter Deauthen, hat davon aber nicht viel ...
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13927
|
raptor2101 schrieb: Er kann dich weiter Deauthen, hat davon aber nicht viel ...
BTW: Aber genau darum geht es dem TE, im 1. Beitrag:
... stört es doch sehr, ständig kein Internet zu haben.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
lubux schrieb: raptor2101 schrieb: Er kann dich weiter Deauthen, hat davon aber nicht viel ...
BTW: Aber genau darum geht es dem TE, im 1. Beitrag:
... stört es doch sehr, ständig kein Internet zu haben.
TL;TR; Für soziale Probleme gibt es keine (gute) technische Lösung, man kann es nur lindern. [Technische Ausführung]
Wenn Radius im Einsatz ist und der Client und AP halbwegs aktuell sind, sollte 801.11r (Fast BSS Transition) zu Einsatz kommen. Ein Folge-Reauth erfolgt dann schneller. (ist dafür gedacht, dass man VOIP machen kann, während man sich durch ein Gebäude bewegt). Jetzt kommt es drauf an, wie stark das "Angreifersignal" ist. Ist es zu schwach, wählt sich der Client sofort im richtigen AP wieder ein. Bietet der Angreifer ein stärkeres Signal an, wird sich der Client versuchen dort einzuwählen. Dieser Connect wird schiefgehen und es wird versucht wieder beim "richitgen" AP zu connecten. Der Angreifer kann an verschieden stellen den Connect unterbinden:
Wenn es der Angreifer (dauerhaft) übertreibt, lohnt es sich aber sicher, mal bei Bundesnetzagentur anfragen, wie man mit RougeAPs umgehen soll.
|