Forensikaufgabe: Unbekannter PC im gesicherten WLan .. ?

[Wilhelm14]

Dann ist der Unbekannte mit einer MAC eingeloggt gewesen, die auf einen Intel Chip hindeutet?
Er war tatsächlich eingeloggt und verbunden, er hat es nicht nur versucht, richtig? Die neuesten Fehl-Logins entstanden ja, weil du den Schlüssel geändert hast.

5 GHz hast du nicht? Das könnte vielleicht die zweite MAC Adresse erklären. Sonst fällt mir eben nur der Fall aus dem Link von oben ein, wo Clients aus Portweiterleitungen aus Versehen in der WLAN-Liste landen. Allerdings müsstest du dann anhand der MAC das Gerät ausmachen können.

SSID ändern hättest du nicht gebraucht, Passwort ändern und WPA2-only (sofern das alle Geräte bei dir können).

Halte uns mal auf dem Laufenden.

 

[Raijin]

Je nachdem wie sicher man ein WLAN machen möchte gibt es entsprechende Methoden.

Ich habe bei mir beispielsweise mal WLAN nur über VPN zugelassen (war eher eine Firewall/Routing Übung). Dazu braucht man allerdings einen Server/Router mit mehreren LAN-Schnittstellen. Den Access Point, also das WLAN, hängt man an eine davon und riegelt dieses (W)LAN vom Rest ab. Eine Verbindung ins Haupt-LAN ist nur via VPN vom WLAN-Client zum Server möglich. So könnte ein potentieller WLAN-Eindringling maximal mit anderen WLAN-Geräten kommunizieren, aber zB nicht mit dem NAS, das im HauptLAN hängt.
Das ist wie gesagt eine Selbstbaulösung, die ich just4fun getestet habe.

Eine andere Möglichkeit wäre ein RADIUS Server. Auch da erfolgt eine explizite Authentifizierung bei einem Server bevor eine Verbindung zugelassen wird.

Es gibt auch andere Lösungen von diversen Herstellern, die zB mit Tokens o.ä. arbeiten (vermutlich läuft das über RADIUS).


Nachteil an der Geschichte ist, dass die Endgeräte das in der Regel unterstützen müssen. So funktioniert meine DIY-Variante beispielsweise ausschließlich mit Geräten, die über VPN-Funktionalität verfügen. RADIUS habe ich selbst noch nicht genutzt, aber soweit ich weiß muss der Client das ebenfalls unterstützen.

 

[Wilhelm14]

Einen weiteren Router/AP per LAN um die dortigen Geräte abzukapseln? Das sollte auch ohne VPN gehen mit einer Routerkaskade, oder? http://heise.de/-1825801

Mir würde es im konkreten Fall eher um das ungute Gefühl gehen. Hat der vermeintliche Eindringling Unfug im Internet gemacht? Wie kam er überhaupt an den WPA2-Schlüssel?

 

[ghostwriter2]

Also...
@Keldana: Ich würde es nicht Posten wenn es unmöglich wäre, das Herauszufinden (ich will jetzt keinen auf dumme Gedanken bringen)
@s8RR: WPS - mach das mal aus, für immer, damit bist du Angreifbar. (Vielleicht ist er so in das Wlan gekommen, ist bei allen aktuellen Routern[2015 oder so] standartmäßig aus!)
@s8RR: 1/1 Mbit = Angriff auf ein Wlan eines Nicht-Laien! Die Laien Wissen das nicht oder können das nicht.
@s8RR: Die Funkstärke auf 6% reduzieren kann helfen; mit entsprechender Hardware kann das möglicherweiße auch nichts mehr nützen.

 

[s8RR]

Halte uns mal auf dem Laufenden.

Ich habe derweil mal Still gehalten, da ich am Wochenende auf wöchentliche Protokolle meines Routers zugreifen kann, die ich per Mail bekomme. Hier habe ich leider nur ein eine-Woche altes.

- WPS wurde inzwischen deaktiviert und bleibt auch aus, weil ohnehin nie genutzt.

Hat der vermeintliche Eindringling Unfug im Internet gemacht? Wie kam er überhaupt an den WPA2-Schlüssel?

Eben! Darum geht es mir auch. Vor allem, weil das Passwort noch durchaus bei anderen Logins benutzt werden kann, darüber bin ich mir eben nicht sicher. Der zeitliche Zusammenhang ist für mich auch besonders seltsam. Ich komme nach Hause (deutlich früher als sonst), verbinde meinen PC/Handy mit dem Wlan (Zusammenhang?) und ein paar Minuten später loggt sich sofort jemand erfolgreich in mein WLan.

@s8RR: 1/1 Mbit = Angriff auf ein Wlan eines Nicht-Laien! Die Laien Wissen das nicht oder können das nicht.

@ghostwriter2 : Kannst du das konkretisieren? Was kann ich von dieser 1/1 Mbit-Sache ableiten? Ich habe daraus nur geschlossen, dass der zugreifende im Nachbarhaus sitzt oder einige Wohnungen über mir - und entsprechend schlechten Empfang hat.

 

[Wilhelm14]

...da ich am Wochenende auf wöchentliche Protokolle meines Routers zugreifen kann, die ich per Mail bekomme. Hier habe ich leider nur ein eine-Woche altes.
Du hast eine Fritzbox. Wer schickt dir denn wöchentlich per E-Mail die Router-Protokolle zu? Und wenn du jetzt in die FB guckst, siehst du nur neue? Und die alten kommen wo her? Ich steige da gerade nicht durch.

Vor allem, weil das Passwort noch durchaus bei anderen Logins benutzt werden kann, darüber bin ich mir eben nicht sicher.
Du hast den WPA-Schlüssel auch woanders als Passwort? Dann überlege doch wo und ob dort jemand das Passwort abgegriffen haben könnte. Ich gehe davon aus, dass du dort (woanders) auch das Passwort geändert hast. Wenn es tatsächlich ein Eindringling war, ist das Passwort nutzlos, du musst es überall ändern. Ich hoffe, du hast das schon gemacht.

 

[s8RR]

...da ich am Wochenende auf wöchentliche Protokolle meines Routers zugreifen kann, die ich per Mail bekomme. Hier habe ich leider nur ein eine-Woche altes.
Du hast eine Fritzbox. Wer schickt dir denn wöchentlich per E-Mail die Router-Protokolle zu? Und wenn du jetzt in die FB guckst, siehst du nur neue? Und die alten kommen wo her? Ich steige da gerade nicht durch.

Die Fritz-Box. Ich bekomme jede Woche eine Zusammenfassung der Events. Schicke am Wochenende gerne einen Screenshot der Mail, da sind einige (auch sonst) ganz interessante Inhalte.

Das Passwort könnte noch an anderer Stelle verwendet werden - da ich jetzt aber ad hoc keinen Login mit diesen Passwort weiß, fühle ich mich auch nicht zu sofortigem Handeln bedungen.