Forensikaufgabe: Unbekannter PC im gesicherten WLan .. ?

[s8RR]

Hallo Forengemeinde,

bis jetzt dachte ich, ich hätte mein WLan sowohl gut abgesichert als auch, dass ich mich in der Materie auskennen würde.

Da ich zufällig in einem anderen Thread sehr kompetente antworten gelesen habe, möchte ich mich nun hiermit mal an euch wenden.
__

Eben habe ich eher zufällig mal wieder auf meinen Router gesehen, und folgendes bemerkt:

Ein Unbekannter PC im WLan. Für Gäste habe ich einen Gastzugang, der PC müsste jedoch über das Hauptnetzwerk verbunden gewesen sein. Habe ihn leider rausgeworfen bevor ich in der Diagnose schauen konnte. Es handelt sich um eine Fritzbox 7360SL.

Der Name des Zugreifenden PCs lässt eigentlich auf einen Desktop schließen ("Name-PC").
Sehr schwache Verbindung - deshalb vermute ich, dass der Zugreifende relativ weit weg vom Router ist. Die Strahlleistung ist aber relativ hoch- selbst auf der anderen Hausseite (dort liegt ein Cafe) kann das Wlan noch schwach empfangen werden. Das Passwort ist lange nicht geändert worden, jedoch relativ komplex. Um es zu erraten bedarf es schon einiger Kreativität und Zeit.
_

Weshalb ich nun eigentlich Poste: Im Logfile war der erste Loginversuch heute registriert worden (ich habe dieser Person also wohl zufällig nur wenige Stunden nach erfolgreichem Login die Tour vermiest), und zwar sofort mit richtigem Passwort. Gestern und auch sonst gab es einige gescheiterte Anmeldeversuche am Gastzugang, aber nicht in einer Menge die auf einen "Bruteforce" schließen lassen.

Der Zugriff fand ca. 15.30 statt - ich war um etwa 15.15 zu Hause. Meine beiden Geräte sind aber bekannt und auch jetzt noch online.

Nun eventuell der Punkt: Ich nutze eine VPN-Verbindung von meinem PC aus. Kann dieser eventuell einen Wlan-Login mit anderer Computerbezeichnung auslösen? Woher kommt diese Bezeichnung dann? Wieso war die Netzwerkgeschwindigkeit dann so niedrig, die MAC-Adresse anders als die meiner zwei Geräte?

Ich poste gerne auch das Logfile.

Mich interessiert die Sache so, da das Passwort eigentlich nicht zu erraten ist. Das Gerät wurde als "neues Gerät" in meinem WLan erkannt - kurz nachdem ich meine eigene Wohnung betreten habe. Das alles kommt mir etwas seltsam vor.


Danke für die Antworten schon Mal und für das Lesen überhaupt!

 

[KnolleJupp]

Sofern es kein anderes, eigenes WLAN-fähiges Gerät war (Handy, Fernseher, Blu-ray Player, Laptop, A/V-Receiver, Drucker, Desktop-PC usw.)
und auch kein Gerät von jemandem der Zugang zum Haus/Wohnung hat (Freund/Freundin, Eltern usw.) wird es jemand von "außerhalb" gewesen sein.

Ist auf der Fritz!Box die aktuellste Firmware installiert?

- WLAN Passwort ändern
- Login-Passwort der Fritz!Box ändern
- SSID ändern
- SSID verstecken

Evtl.:

- MAC Filter aktivieren
- Keine neuen WLAN Geräte zulassen
- Feste IPs vergeben und DHCP deaktivieren

Mehr kann man im Grunde nicht machen.

- Welche WLAN Verschlüsselung wird eingesetzt?
Je nach eingestellter Verschlüsselungsmethode ist ein Knacken des Passworts in Minuten möglich wenn man es darauf anlegt.

- Ist ein Fernzugriff konfiguriert? Also...
ist MyFRITZ! eingerichtet?
ist "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" aktiviert?
ist ein FRITZ!Box-Benutzer eingerichtet?
sind Ports freigegeben?

 

[ghostwriter2]

Es gibt da mind. zwei Angriffsmöglichkeiten; auf die ich nicht näher eingehen werde (kein Brute-Force, kein Wörterbuch)
Hast du was besonderes, das sich jemand die Mühe macht, dein Wlan Anzugreifen? (Viel Geld, Firmengeheimnisse, Todfeinde...)
Und nur, weil er jetzt das erste mal gesehen wurde heißt es ncht, das er nicht vorher schon in deinem Wlan war.

Hast du D-Lan zuhause?

 

[Dog007]

Soweit ich weis kannst Du bei der Fritzbox die Anzahl der angeschlossenen Geräte im Heimnetzwerk im Menü auf die bekannten Geräte beschränken so ist es zumindest bei meiner Fritzbox 7490. Hatte auch einen Besucher vor ein paar Wochen und ihn entfernt aber auch das PW geändert sicherheitshalber seit dem läuft alles wieder normal.

sonst siehe Pos.2 noch dazu

Nutze selber nur WPA 2 Verschlüsselung.

 

[s8RR]

Hi KnolleJupp, Ghostwriter2 und Dog007,

danke erstmal für die Antwort.
Zu den Punkten:

- Aktuellste Firmware ist installiert. Ich habe etwas herumgelesen - diese "Hacks" beziehen sich allesamt auf ältere Firmwareversionen.
- Passwort wurde verändert.
- Loginpasswort der Fritzbox war noch eine Ecke komplizierter. Ich habe das Passwort auch an anderer Stelle verwendet, dass aber jemand der hier in Wlan-Reichweite ist das Passwort eventuell bei irgendeinem Kundendaten-Hack mitbekommen hat halte ich für extrem unwahrscheinlich. Es gibt ja auch kein Matching des Passworts zu einem anderen Anhaltspunkt (e-Mail..). Eventuell übers dyndns, aber auch das ist sehr weit hergeholt.
Einen Zugriff hierauf hätte ich im Syslog allerdings gesehen. Das Gerät hat sich fast unmittelbar nach meiner Ankunft in der Wohnung auch im Wlan angemeldet - erfolgreich und mit richtigem Passwort
- SSID wurde verändert
- An verstecken dachte ich auch, aber wer suchet...

Die Verschlüsselung ist WPA+WPA2. Viele andere Möglichkeiten gibt es nicht, jedenfalls keine die mir sicherer erscheint.

Als weitere Maßnahme sind nun auch unbekannte Geräte nach MAC-Addressen ausgesperrt - das habe ich "wieder eingeführt"; nachdem ich vor langer Zeit abgerückt bin. Ich hatte das Passwort für sicher genug gehalten.


Es bleibt das Gefühl eines leisen Einbruchs. Das "Wie" macht mir zu schaffen.

Eine Frage noch, bei der ich mir fast wie ein Laie vorkomme:
Unabhängig davon, dass ich durchaus davor Angst habe, dass auf diesem Wege über meinen Zugang illegale Dateien heruntergeladen (oder ähnliches) angestellt wird: Welche weiteren Sicherheitsrisiken ergeben sich für meine Geräte im selben WLan? Die Kommunikation unter den Geräten war aktiviert - kann hier etwas abgegriffen werden, ausgelesen, zugegriffen..?


_____ Zu den Beiträgen, die eben noch kamen ( Großen Dank! ) :

Es gibt da mind. zwei Angriffsmöglichkeiten; auf die ich nicht näher eingehen werde (kein Brute-Force, kein Wörterbuch)
Hast du was besonderes, das sich jemand die Mühe macht, dein Wlan Anzugreifen? (Viel Geld, Firmengeheimnisse, Todfeinde...)

Nichts, was in dem Wlan stattfindet, sollte von so großem Interesse sein, dass sich ein "Hack" lohnen würde. Natürlich liegt im Auge des Betrachters, was als "interessant" zu bezeichnen ist. (Zugriff auf-) Firmengeheimnisse bzw. sensible Daten ja, aber in einem so engen Spektrum, dass das schon eine ausgewählte Essenz an Spionen sein müsste.

Früher war das ein 50/10 Mbit-Zugang, mit eventuell gewisser Attraktivität.

Übrigens kein D-Lan.

 

[KnolleJupp]

Ich habe noch was zu Fernzugriff ergänzt oben.

 

[ghostwriter2]

Verständnisfrage:
Wenn der Angreifer z.B. Mac-Adresse, IP, Gerätenamen... Faked, kann er dann nicht so eine Sicherung umgehen?

Du hast WPA2 drauf? Hattest vorher niemals, auch nicht Probehalber/aus Spass/Wegen einem alten Endgerät/... mal WPA/WEP/Keine Verschlüsselung/...
Vielleicht hast du D-Lan und jemand hat über Umwege das PWD bekommen (gab es schon). Hast du WPS eingeschaltet?

edit:
Es gibt/gab mal Anbieter, die konnten gegen Bezahlung das PWD knacken. Nicht Garantiert, nicht alle, aber erschreckend viele. Hab ich mal bei einer Fachzeitschrift gelesen, nur den Artikel jetzt noch finden.

edit2:
Ich weiß nicht, von welchen Hacks du redest, aber ich rede definitiv von anderen; die sind Routerunabhängig.

edit3:
Dann kann es wirklich ein persönlicher Angriff auf die Daten sein. Ich habe in Fachzeitschriften schon von krassen Sachen gelesen (z. B. kommt ein Interessent, will etwas kaufen, bittet die Sekretärin das PDF-Dokument auf dem Stick noch auszudrucken; dabei installiert sich eine Schadsoftware ohne Spuren und löscht sich von Stick, das Dokument wird ausgedruckt, es gibt kein Geschäft und danach sind die geheimen Projekte von der Konkurrenz Patentiert worden; gab es wohl schon. Aber ich will auch keine Angst machen, vielleicht wollte nur jemand probieren was er hacken kann...)

Naja, ich les morgen weiter, muss ja zufrüh noch auf die Arbeit. 'n8

 

[keldana]

Verständnisfrage:
Wenn der Angreifer z.B. Mac-Adresse, IP, Gerätenamen... Faked, kann er dann nicht so eine Sicherung umgehen?

Und woher soll der Angreifer wissen, welche MAC-Adresse zugelassen wird ? Außerdem habe ich noch nicht das naheligendste gelesen ... wie wäre es mal mit Passwort ändern und schauen, ob der Zugriff weitergeht ?

 

[KnolleJupp]

Kannst ja mal das hier ausprobieren:
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=4

 

[Wilhelm14]

Die Fritzbox stellt manchmal Geräte in die WLAN-Liste, die gar nicht da sind. Hier ein Beispiel, dort wurde auch ein Gangster vermutet, dabei war es irgendwas mit Drucker und NAS. Und kein Android-Smartphone.
https://www.computerbase.de/forum/t...fritzbox-was-tun.1314420/page-2#post-15259806

Du kannst anhand der MAC-Adresse grob den Hersteller des Gerätes ermitteln.
https://www.google.de/search?q=mac+address+vendor

Vielleicht hast du gar keinen Eindringling. Gerade, weil das Gerät aufgetaucht ist, als du die Wohnung betreten hast. Fitnesstracker?

Edit: Prüfe also deine Portfreigaben, die können die Liste anscheinend verbiegen.

 

[Raijin]

MAC-Filter und versteckte SSID: Sind beide wirkungslos. Gültige MACs hat man binnen kürzester Zeit ausgespäht und noch schneller dem eigenen Laptop zugewiesen. Die SSID kann man effektiv nicht verstecken, sie taucht nur nicht mehr in der WLAN-Liste auf. Die einzigen, die man mit diesen Maßnahmen abhält, sind absolute Laien, die mit oder ohne MAC-Filter sowieso nicht ins Netz kommen, und eigene Geräte, wenn man zB ein neues Smartphone hat, das man noch nicht eingetragen hat. Im Klartext heißt das: Der Angreifer braucht 60 Sekunden länger, aber der Admin muss den MAC-Filter warten und bei der SSID-Eingabe lauert der Vertipperteufel. Unterm Strich ist das für den Admin deutlich mehr Arbeit als für den potentiellen Eindringling.

Verschlüsselung: Selbst WPA ist kaum zu knacken. Es wurde vor ein paar Jahren mal zur Demonstration geknackt, allerdings waren da Teile des Schlüssels bekannt soweit ich weiß.

VPN: Zwar wird bei einer VPN-Verbindung ein virtueller Netzwerkadapter installiert, der auch eine eigene MAC hat, aber die sollte im WLAN so nicht auftauchen.


Ändere die SSID und den Schlüssel und beobachte ob das fragliche Gerät weiterhin im WLAN auftaucht. Darüberhinaus würde ich mal alle Geräte mit (W)LAN-Zugang checken. Man kann immer irgendwo im Menü des Geräts die MAC auslesen - oder sie steht auf nem Aufkleber o.ä. Vielleicht findest du dann in deiner Wohnung den vermeintlichen Eindringling.. Vorgestern hieß es im Radio zB die neue Internet-Barbie habe eine Sicherheitslücke.. Eine Barbie mit WLAN??? Sachen gibts..

 

[s8RR]

Ich arbeite das mal ab:

-Ein Fernzugriff ist tatsächlich aktiviert. Es gab aber vor diesem Zugriff auch hier keinen Login, dieser würde mir ja wieder in der Syslog angezeigt werden. Dass jemand die Login-Daten für den Fernzugriff kennt ist wegen der komplexen Anmeldedaten fast unmöglich.
-MyFritz! ist jedoch nicht aktiviert.
-Ein Fritzboxbenutzer (siehe Punkt 1) ist eingerichtet.
-Portfreigaben gibt es keine besonderen, nur 2 Weiterleitungen, die allerdings an einen nicht im Netzwerk befindlichen (meinen) Computer gerichtet sind.

WPS war eingeschalten. Hätte dafür aber nicht jemand am Router rumspielen müssen (eventuell möglich) aber gleichzeitig jemand innerhalb von 2 Minuten zufällig auf den Router zugreifen müssen?Ich habe das jetzt deaktiviert, da ich diese Comfort-Funktion ohnehin nicht nutze und mich lieber darüber ärgere, dass ich das Passwort mal wieder vergessen habe oder falsch eingebe..

@keldana:
Vorher waren die MACs nicht restringiert; ich habe "bewusst" neue Geräte zugelassen, damit sich Freunde über weitergabe des Passwortes in meinen unbeschränkten Zugang einloggen können. Das ist so in Ordnung. Allerdings wohnt keiner dieser Freunde hier in der Nähe.

Der Anzeigename des Geräts/Computername "Patrick-PC" lässt wie gesagt nicht auf irgendwelche internetfähigen "Sonstigen Geräte" schließen - darauf wäre ich schon gekommen.

__
EDITs

1) Die MAC-Adressprüfung habe ich bereits durchgeführt. Hat mich dazu gebracht, dass es sich um ein Intel-Gerät handelt (Jedenfalls so in der Beschreibung "Vendor: INTEL...". Ich schließe daraus mal, dass es sich wohl um den Chipsatz handelt..

Im Moment ist es Ruhig, auch keine weiteren Anmeldeversuche. Eine Weile ging das so.

Hier mal der Log.
http://pastebin.com/M1QUR8fX

ganz unten der erste Zugriff.


__________

Zum Test von Knolle:

Gut, der Zugriff auf Port 443 ist "offen". - klar, das Webinterface.

Beim Fritz-Box-Test kann der Server nicht erreicht werden.

 

[Raijin]

Der Gerätename ist nicht aussagekräftig. Ich kann meinen PC auch "Goldesel" nennen und trotzdem kommen aus dem BD-Laufwerk keine Goldstücke

 

[Wilhelm14]

Ja, ich meinte schon nicht den "Namen", sondern die MAC des vermeintlichen Eindringlings. Hast du die noch?
https://www.google.de/search?q=mac+address+vendor

Vielleicht ist es was aus der Heim-Automation, Heizkörperthermostate, Strommess, Lampensteuerdinger. Oder ja, die WLAN-Barbie.

PS: Sehe jetzt erst dein Edit. Sry.

Edit: Also 2x Intel, einmal Samsung? Einmal Intel und einmal Samsung bist du? Das zweite Mal Intel sagt dir nichts? Mit deinen MAC hast du schon abgeglichen? Du hast nicht zufällig 2,4 und 5 GHz aktiv? (Ich weiß aus dem Kopf nicht, ob deine Fritzbox das kann oder nicht.)

 

[s8RR]

Dass der nicht aussagekräftig ist weis ich, deshalb hatte ich ihn eingehend erst gar nicht erwähnt. Trotzdem ergibt sich daraus, dass es schonmal kein Androidgerät oder Drucker oder ähnliches ist.
.. oder eben keine Hausautomatisierung oder ähnliches.

Den Mac-Vendor-Test habe ich bereits durchgeführt

"intel Corporate" - wenig aufschlussreich, für mich?

____

Nochmal: Mich stört insbesondere der Zusammenhang zwischen meiner Ankunft in der Wohnung und dem erfolgreichen Logins dieses Computers. Kann mein Traffic durch den Login ausgespäht werden? Ich war aber ohnehin zu unseren Firmenservern per VPN verbunden.

Die Idee, diese Person etwas gewähren zu lassen und damit zu "spielen" hatte ich, aber auch bei einer angezeigten 1/1 Mbit-Verbindung bei extremer Schwäche: Mir war die Gefahr zu groß, dass Unfug damit getrieben wird.

 

[Nacho_Man]

Unabhängig davon, dass ich durchaus davor Angst habe, dass auf diesem Wege über meinen Zugang illegale Dateien heruntergeladen (oder ähnliches) angestellt wird:

Falls du Angst hast dass (wenn der Fremde sich schon öfters vorher eingeloggt hat--> Ereignisse in der Fritz!Box durchgeschaut?) er Filesharing o.ä. betrieben hat würde ich zur Sicherheit das Ganze bei der Polizei darlegen, nicht dass dir das evtl. später als Ausrede augelegt werden kann.

Natürlich kannst du das WLAN-Signal in derselben Stärke so lassen und das Cafe gegenüber nach verdächtigen Personen beobachten (Spion spielen ).

 

[s8RR]

So weit geht die Ereignisanzeige nicht, ich sehe da nur bis ca 4.12 zurück. Bis dahin keine Anmeldungen des Geräts ( was für sich ja auch etwas bedeutet ).
Dass ich das gleich melde, davon sehe ich ab - in aller Not dient noch dies hier als Dokumentation. Halte das trotz meiner Bedenken für etwas überzogen.

Das mit dem Wlan-Signal ist ein guter Tipp. Ich hab's mal auf 6% reduziert. Keine Ahnung, ob sich dadurch irgendein Unterschied ergibt. Für meine Zwecke hier reicht's, in der Wohnung gibts ohnehin überall "vollen Empfang".

__


Ich kenne jetzt alle meine Geräte. Einmal Android und einmal Intel bin ich - ein Lenovo Laptop und ein Galaxy S6.

Eine Wlan-Barbie besitze ich nicht und mal ehrlich: Die nennt sich dann nicht Patrick-PC

Ich kann über die Wochenreports am Wochenende in meinem Mailarchiv mal die Logins durchgehen. Eventuell gibt es da auch unbekannte Geräte, wenn auch mit anderer MAC. Dieses besagte Gerät hat sich ja nach wie vor zum ersten Mal angemeldet: 15 Minuten "nach mir".

 

[Dog007]

Was ich noch empfehlen kann ist die neue Fritz-Labor falls es sie auch für deine Fritzbox gibt, dort gibt es noch zusätzliche Sicherheitseinstellungen sowie neue Oberfläche läuft prima, die Kommunikation zwischen verbundenen Geräten habe ich bei mir deaktiviert auch den Gastzugang der nur genutzt wird wenn entsprechende Person da ist .

 

[chithanh]

Benutzt du oder jemand anderes, der Zugang zu deinem WLAN hat, Windows 10? Das hat nämlich eine Funktion, WLAN-Passwörter an Microsoft und deine Kontakte weiterzugeben.

 

[chrigu]

benutzt du wep/wpa/wpa2 oder nur wpa2 only ?
falls wpa2 only sind die "loginversuche" eher ein händy der nach wlan-netzwerken scannt. scheinbar sind samsung händy da ziemlich grobmotorisch und das wird wohl als loginversuch missdeutet..

übrigens: solange dein wpa2 passwort nicht 1234 lautet, ist die brute-force methode ziemlich langwierig... bis zum knacken würde deine fritzbox altersbedingt beim sondermüll landen.
und wenn du jede woche noch das passwort änderst, naja, die geschwister deiner urenkel werden das wohl nicht mehr erleben.