unbekannte mac adressen

pizza

Lt. Junior Grade
Dabei seit
Aug. 2004
Beiträge
399
hallo

meine zwei rechner sind via wlan adapter mit dem router verbunden.
diese laufen ohne wep verschlüsselung.

ich habe mal ohne wirklichen verdacht die airsnare software installiert um zu überprüfen ob da nicht doch jemand die gelegenheit nutzt meinen unverschlüsselten funk abzuhören.

zu meiner überraschung und entsetzen treten dort tatsächlich unbekannte mac adressen auf.
eine über meinen wlan adapter. zusätzlich wird hier ein mir unbekannter adpter aufgefüht der zwei unbekannte mac adressen führt.
dieser nennt sich generic NdisWan adapter

wie soll ich diese meldungen von airsnare nun interpretieren? und vor allem wie gehe ich bei möglicher gefahr vor um solche vorgänge schnellstmöglich zu unterbinden?
leider fehlen mir da die kenntnisse.

wie ist das mit wep verschlüssellung? würde diese wirklcih abhilfe schaffen oder wäre die auch nicht sicher? diese wollte ich auch schon aktivieren allerdings widersprechen sich die beschreibungen für die aktivierung des wep meines vigor 2500 routers. ich habe es nicht schaffen können wep zu instllieren!
oder sollte man wlan bei solchen gegebenheiten besser deaktivieren?

ich bin da ziemlich aufgeschmissen und wollte Euren rat einholen

viele grüße

pizza
 

Smily

Fleet Admiral
Dabei seit
Apr. 2004
Beiträge
22.143
Sofort WLAN anschalten und sich mit einem kabel mit dem Router verbinden! Auch wenn du keine sensiblen Daten freigegeben hast, wenn der Besucher illegale Sachen im Internet macht (Raubkopien oder schlimmeres) fält das aud DICH zurück, denn es ict DEIN Anschluss. Es ist nur schwer möglich zu beweisemn das sich da ein Unbekannter eingeschlichen hat. Dein Internetanschluss beudeutet auch deine Verantwortung, also aus damit.

Dann lies dir bitte mit Kabel disen Thread hier durch, da steht alles drin.

Kurz zusammengefasst
- Ändere das Passwort für deinen Router
- Ändere die SSID des WLANs und mache sie unsichtbar
- aktiviere den MAC Adressefilter
- aktiviere die WEP Verschlüsselung, wenn möglich die sicherere WPA Verschlüsselung wählen
 

pizza

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2004
Beiträge
399
Zitat von Smily:
Sofort WLAN anschalten und sich mit einem kabel mit dem Router verbinden! Auch wenn du keine sensiblen Daten freigegeben hast, wenn der Besucher illegale Sachen im Internet macht (Raubkopien oder schlimmeres) fält das aud DICH zurück, denn es ict DEIN Anschluss. Es ist nur schwer möglich zu beweisemn das sich da ein Unbekannter eingeschlichen hat. Dein Internetanschluss beudeutet auch deine Verantwortung, also aus damit.

Dann lies dir bitte mit Kabel disen Thread hier durch, da steht alles drin.

Kurz zusammengefasst
- Ändere das Passwort für deinen Router
- Ändere die SSID des WLANs und mache sie unsichtbar
- aktiviere den MAC Adressefilter
- aktiviere die WEP Verschlüsselung, wenn möglich die sicherere WPA Verschlüsselung wählen

also sehe ich das richtig das selbst wenn ich diese maßnahmen ergreife...

Kurz zusammengefasst
- Ändere das Passwort für deinen Router
- Ändere die SSID des WLANs und mache sie unsichtbar
- aktiviere den MAC Adressefilter
- aktiviere die WEP Verschlüsselung, wenn möglich die sicherere WPA Verschlüsselung wählen

... dass dann immer noch nicht sicher gestellt ist dass ich via wlan sicher surfen kann ?

leider stellt sich die verkabelung nicht so einfach dar da sich meine rechenr im dachgeschoss befinden und der router im keller .
leider habe ich auch gerade erst einen wlan adapter für einen laptop gekauft und verschenkt. dieser ist auch in unserem system integriert. :(
 

phil.

Visitor
Teammitglied
Dabei seit
Feb. 2004
Beiträge
28.693
Warum nicht mit dem Laptop und einem Kabel den Router konfigurieren?
Ist leichter als den PC zu schleppen. :D

Warum den kompletten Beitrag zitieren? :rolleyes:
 

Smily

Fleet Admiral
Dabei seit
Apr. 2004
Beiträge
22.143
Grundsätzlich ist ein WLAN immer unsicherer als ein Kabel, egal was man wie verschlüsselt. Um ein Kabel LAN zu knacken muss man schon das Kabel ansägen, das WLAN ist überalle in einem bestimmten RAdius, as ist schon klar.

Aber wenn du das machst was ich geraten haben wird es deutlich schwerer da rein zu kommen, es dauert schon einige Stunden, der Aufwand ist zu groß.

Im Moment kann ich mit einem Laptop bei dir vorbeikommen und bin in wenigen Sekunden drin. Auf ein stundenlanges Knacken hat niemand Lust, den meisten die sowas machen geht es um das kostenlose Surfen, Daten interessieren da weniger. Solltest du allerdings z.B. Anwalt sein würde ich das mit dem WLAN mir sehr gut überlegen, als normaler User sollte Ruhe sein wenn du die Sicherheitsoptionen aktiviert hast.

Solltest du mal wieder einen auf frischer Tat in deinem WLAN erwischen renn doch mal laut schreind und mit einer Schaufel bewaffnet aus dem Haus. Vielleicht schreckt das ab :D :D.
 

Simon

Fleet Admiral
Dabei seit
Jan. 2002
Beiträge
10.507
Wieviele Rechner laufen von dir denn über den Router?

Ich würde wenn auch einfach mal den DHCP Server des Routers ausschalten und mittels Subnetting den IP Adressraum extremst einschränken.
Ansonsten erstmal die oben genannten Maßnahmen durchführen. Damit wird der Aufwand das ganze zu knacken schon sehr hoch. Wenn du WPA oder WPA-PSK als Verschlüsselung einsetzt ist das momentan kaum zu knacken.

mfg Simon
 

pizza

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2004
Beiträge
399
via wlan sind zwei pc's und ein laptop mit dem router verbunden.

leider ist nur wep möglich. zumindest finde ich keine wpa funktionen im router menü.
mit einem hex code bei 128 bit verschlüsselung bekamen die adapter leider keine verbindung zum router mehr. :confused_alt:
ich werde aber gleich noch mal 64 bit ausprobieren

dhcp server ist nun deaktiviert. ebenso ip routing und eine 2te ip adresse des routers.

router pw und adapter id's sind erneuert und verschärft.

mac adressen waren vorher schon fest vergeben.

zusätzlilch gibt es im router menü die sparte "vpn und externe einwahl"
sollte hier vllt noch was verändert werden?

ansonsten vielen dank für eure hilfe.
 

Smily

Fleet Admiral
Dabei seit
Apr. 2004
Beiträge
22.143
Also nur als Tipp, der WEP Verschlüsselungscode muss bei Router und PCs gleich sein. Wenn du den Code in den Router einträgst bekommen die PCs erst wieder eine Verbindung wenn du auch bei denen den selben Code einträgst.

Vielleicht egth es aber auch besser nach einem Treiberupdate für die PC Karten und einem Firmwareupdate für den Router.

Wäre echt blöd wenns nicht gehen würde.
 

pizza

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2004
Beiträge
399
Zitat von Smily:
Also nur als Tipp, der WEP Verschlüsselungscode muss bei Router und PCs gleich sein. Wenn du den Code in den Router einträgst bekommen die PCs erst wieder eine Verbindung wenn du auch bei denen den selben Code einträgst.

Vielleicht egth es aber auch besser nach einem Treiberupdate für die PC Karten und einem Firmwareupdate für den Router.

Wäre echt blöd wenns nicht gehen würde.

tjo klingt ja logisch. allerdings finde ich unter der konfiguration des adapters nur die option "use wep" mit den einstellungsmöglichkeiten 64/128 bit oder disabled. ich wüsste nicht wo ich den hexcode eingeben sollte :p

ich hab eben noch mal gegooglet und festgestellt dass auch andere das problem mit der firmware 2.45g haben. :/

jedenfalls findet airsnare weiter fleissig "unfriendly mac adresses" :o
über den adapter 3 an der zahl.
zwar ohne wep aber nachdem ich die oben erwähnten massnahmen ergriffen habe...
das kann doch gar nicht sein oder ? ich werd daraus jedenfalls nicht schlau.
ansonsten bleibt mir wohl nur noch der tip mit der schaufel :p


oder selbst wenn ich mir die mühe machen würde ein kabel nach unten zu ziehen wäre der datenverlust doch wohl zu gross oder ?

EDIT:
so jetz sind es 4 mac adressen :E
ich kann mir echt schwer vorstellen dass mich einer meiner nachbarn mit 4 rechnern anzapft ! alles sehr komisch .
 
Zuletzt bearbeitet:

Smily

Fleet Admiral
Dabei seit
Apr. 2004
Beiträge
22.143
Shit, das scheint ja schlimmer zu sein als ich dachte, 3 Angreifer sind viel. Ich würde wirklich das WLAN ABSCHALTEN (!) und ein Kabel ziehen. Wenn die wirklich so hartnäckig sind...

Das mit der Verschlüsselung ist natürlich blöd, denn du musst ja einen Code eingeben, entweder direkt als hex oder du kannst dir einen Code generieren lassen indem du einfach mehrmals mit dem Kopf auf die Tastatur schlägts. Der daraus resultierende Code wird dann bei meinem Netgear automatisch in hex umgewandelt.

Wenn es dieses Eingabefeld nicht gibt, hilft nur noch eine böse Mail an den Support, das kann nämlich nicht sein, das ist ein wichtges Feature.


edit: Ja schon sehr komisch, 4 Verbindungen sind ne Menge. Geh doch wirklich mal raus und schau in die geparkten Autos, vielleicht sitzen da ja ein paar Typen mit Laptop. Aber trotzdem 4 ist sehr viel, vielleicht hat sich dein HotSpot ja rumgesprochen :freak:.

Aber dennoch merkwürdig. Und du bist wirklich 100-ig sicher das die MAC Adressen nicht von dir kommen? *ratlosbin*

Also doch WLAN abschalten :(.
 
Zuletzt bearbeitet:

pizza

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2004
Beiträge
399
wirklich sicher bin ich mir nicht.
aber diese mac adressen sind definitv nicht die von mieinen adaptern und auch nicht die des routers.
airsnare definiert sie ja auch als unbekannt.
aber wenn das wirklich der fall sein sollte dass zb im haus nebenan einer sitzt.
muesste ich doch allein an den ressource einbussen etwas merken oder nicht ?
hilft es villeicht ein log zu posten ?
ansonsten nehm ich die sache ernst und schalte das ding ab.
das hiesse für mic allerdinsgs schluss mit inet :(

edit
als src ip stehen da jedenfalls auch komische server ip's :confused_alt:
als dst ip die ip von meinem wlan adapter

zb 213.23.250.147 ist eine ip die sicher nichts mit dem zu tun hat was ich mir eingerichtet hab


....ABSCHALTEN ?
 
Zuletzt bearbeitet:

Simon

Fleet Admiral
Dabei seit
Jan. 2002
Beiträge
10.507
213.23.250.147 ist keine IP aus dem LAN, das ist sicher eine IP aus dem Internet.
Das hat nix damit zu tun, dass jemand über deinen Router surft.

Ich würd erstmal die IP und SubnetMask von dem Router ändern.
z.B:
Router IP = 172.16.232.9, Subnet Mask = 255.255.255.248
Client 1 IP = 172.16.232.10, Subnet Mask = 255.255.255.248
Client 1 IP = 172.16.232.11, Subnet Mask = 255.255.255.248

In diesem Subnetz sind durch die Maske 255.255.255.248 insgesamt nur 6 gültige IPs vorhanden von 172.16.232.9 bis 172.16.232.14. Alle anderen IPs außerhalb dieses Raumes können schonmal nicht mit dem Router kommunizieren. Potenzielle Angreifer müssten sich erstmal eine gültige IP Adresse besorgen, was zwar möglich ist, aber etwas Zeit kostet.
Die IPs 172.16.232.12 bis 172.16.232.14 würde ich in der Firewall vom Router so verankert, dass diese keinen Zugriff aufs Internet besitzen. (sollte in einem Draytek Router eigentlich einstellbar sein)

Du könntest auch mit NetStumbler mal schauen, was alles für WLAN Objekte in Reichweite sind. Ein Screenshot wäre hilfreich.
In deinem Router sollte auch ne Tabelle zu finden sein, die "Connected MACs" oder so heißt.
Da kannst du nachschauen, welche MAC-Adressen zu deinem Router verbunden sind.

mfg Simon
 

pizza

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2004
Beiträge
399
ich bin jetzt an dem einzigen rechner der nicht per wlan verbunden ist und hatte wlan schon ausgestellt.

was ich mit dem vorletzten post meinte war, dass es doch eigentlich unmöglich sein muesste, dass sich jemand kurz nachdem ich ein neues router pw und eine x-stellige sid eingegeben habe etc, einwählen kann. oder liege ich da falsch ?

ansonsten habe ich die router ip erst mal geändert.
allerdings frage ich mich welchen spielraum ich bei der wahl der ip habe?
und ob es einen grund gibt warum du mir genau diese ip vorgeschlagen hast?

was die firewall einstellungen betrifft wüsste ich dummer weise nicht wie ich die übrigen ip's sperren lassen könnte.

das netstumbler programm ist sicherlich auch ein sehr guter tip und hilfreich.
ich werde das wlan gleich noch mal anwerfen und nochmal airsnare und netstumbler laufen lassen und dann mal ein paar screenshots posten.

edit:
airsnare zeigt mir sofort wieder 2 unbekannte mac adressen an:
einmal mit der ip von meinem rechner
und eine zweite mit der adresse 80.237.216.151

wie gesagt fehlen mir die kenntnisse um das ganze durchschauen zu können.
aber es ist doch nach den änderungen zumindest in so kurzer zeit unmöglich dass jemand ausserhalb dieses hauses eingewählt ist!?

netstumbler sagt immer dass er nur die adresse mit meiner sid anzeigen wird.
es sei denn man lässt die einstellungen des adapters ändern in dem man diesen zb de- und dann wider aktiviert.
tue ich dies ist die sid geändert und man kann nicht mehr zum router connecten...

cheers und ta :)
 
Zuletzt bearbeitet:

Simon

Fleet Admiral
Dabei seit
Jan. 2002
Beiträge
10.507
Zitat von pizza:
was ich mit dem vorletzten post meinte war, dass es doch eigentlich unmöglich sein muesste, dass sich jemand kurz nachdem ich ein neues router pw und eine x-stellige sid eingegeben habe etc, einwählen kann. oder liege ich da falsch ?
Wenn du nur SSID und Router PW geändert hast, ist man noch genauso in 3 Sekunden drin wie vorher aus. Das bewirkt garnichts. ;)

Den Raum habe ich fast frei ausgewählt. Du darfst insgesamt 3 verschiedene Bereiche für LAN IP Adressen nutzen:

10.x.x.x (normalerweilse IP Klasse "A")
172.16.x.x (normalerweise IP Klasse "B")
192.168.x.x (normalerweise IP Klasse "C")

Die Stellen mit "x" darfst du beliebig von 0(1) bis 254 beziffern.

Mit der Subnetzmaske legst du die einzelnen Subnetze fest. Standard Subnetzmasken sind:
255.0.0.0 (IP Klasse A) (maximal 16777214 verwendbare Host Adressen)
255.255.0.0 (IP Klasse B) (maximal 65334 nutzbare Hostadressen)
255.255.255.0 (IP Klasse C) (maximal 254 nutzbare Hostadressen)

Üblicherweise nutzt man für kleine LANs deshalb IP Adressen der Klasse C mit der Subnetzmaske 255.255.255.0 z.B. also 192.168.1.x. In dem Fall kannst du 254 Geräte mit 192.168.1.1 bis maximal 192.168.1.254 adressieren.
Mittels so genannten Subnetting lässt sich der Adressraum aber noch weiter einschränken:
Mögliche Subnetzmasken für die Klasse C:
255.255.255.128 (maximal 126 nutzbare IP Adressen pro Subnetz)
255.255.255.192 (maximal 62 nutzbare IP Adressen pro Subnetz)
255.255.255.224 (maximal 30 nutzbare IP Adressen pro Subnetz)
255.255.255.240 (maximal 14 nutzbare IP Adressen pro Subnetz)
255.255.255.248 (maximal 6 nutzbare IP Adressen pro Subnetz)
255.255.255.252 (maximal 2 nutzbare IP Adressen pro Subnetz)
255.255.255.254 (Gerät steht alleine, macht praktisch keinen Sinn)

Die Funktionweise zu erklären würde hier denk ich den Rahmen sprengen. Wenn du mehr darüber wissen willst, google mal nach: IP Adressen und Subnetting

Da du nur über eine beschränkte Anzahl an Rechner im LAN verfügst, macht es keinen Sinn, eine Subnetzmaske von 255.255.255.0 zu nehmen, da du keine 254 Geräte adressieren musst. 255.255.255.248 für maximal 6 Geräte reicht also aus.

Die Konfiguration 172.16.232.9(-14) und Subnetzmaske 255.255.255.240 ist eine Kombination aus IP Adressklasse B und Subnetzmaske der Klasse C. Das weicht ein wenig vom Standard ab, ist aber kein Problem.
Ich empfehle dir mal das Programm "Subnet Calculator" von Dx21. Damit kannst du erstmal ein wenig rumprobieren und die die IP Adressräume anschauen, die du mit einer Subnetzmaske von 255.255.255.248 hast.

mfg Simon

edit:
airsnare zeigt mir sofort wieder 2 unbekannte mac adressen an:
einmal mit der ip von meinem rechner
und eine zweite mit der adresse 80.237.216.151
Die zweite Adresse ist die IP Adresse vom Computerbase.de Server. Das ist eine externe WAN (nicht WLAN) IP Adresse und stammt aus dem Internet. Alles was als Source IP Adresse von 10.x.x.x, 172.16.x.x oder 192.168.x.x abweicht sind IP Adressen aus dem Internet.
 

pizza

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2004
Beiträge
399
wow ! super ! vielen vielen dank !
da bin ich schon mal an informationen um einiges reicher durch Dich ;)



Zitat von Simon:
Die zweite Adresse ist die IP Adresse vom Computerbase.de Server. Das ist eine externe WAN (nicht WLAN) IP Adresse und stammt aus dem Internet. Alles was als Source IP Adresse von 10.x.x.x, 172.16.x.x oder 192.168.x.x abweicht sind IP Adressen aus dem Internet.
...dann sind zumindest diese beiden adressen überhaupt keine bedrohung für mich wenn ich das richtig verstehe :p
aber die mac adressen die airsnare anzeigt sind mir einfach unbekannt.

und noch mal zum verständnis. jemand der extern in mein netz eindringt tut dass doch über den router oder ?
der adapter hat damit doch nichts zu tun. also kann nicht als tor zum netz genutzt werden .
richitg ?

ach ja thx auch @ smiley :)
und falls jemand per ferndiagnose doch der meinung sein sollte dass ich doch gefährdet bin - bitte posten !
 
Zuletzt bearbeitet:

Simon

Fleet Admiral
Dabei seit
Jan. 2002
Beiträge
10.507
Ja es geht nur über den Router.

Gefährlich wirds erst, wenn du feststellst, dass fremde Rechner mit einer IP Adresse aus dem von dir genutzten Subnetz über den Router ins Internet kommunizieren.

mfg Simon
 

Davidh1990

Lieutenant
Dabei seit
Juli 2004
Beiträge
730
theortisch kann auch der Adapter als eingang genutzt werden da man ein WLAN oder LAN auch per direkt (AD-HOC ?) Verbindung herstellen kann ...
 

Simon

Fleet Admiral
Dabei seit
Jan. 2002
Beiträge
10.507
Dazu müsste aber der Adapter mit Ad-Hoc Betrieb laufen, was er in dem Fall aber nicht tut. :rolleyes:
"theoretisch halt"

mfg Simon
 

pizza

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2004
Beiträge
399
Zitat von Simon:
Ja es geht nur über den Router.

Gefährlich wirds erst, wenn du feststellst, dass fremde Rechner mit einer IP Adresse aus dem von dir genutzten Subnetz über den Router ins Internet kommunizieren.

mfg Simon
ja aber das muss dann auch eine ip sein die an meine rechner nicht vergeben ist !?
oder kann eine im netz vorhandene ip irgendwie extern doppelt genutzt werden ?



was ich nicht verstehe ist jedenfalls dass airsnare eine mac adresse anzeigt die weder mit der des routers übereinstimmt noch mit denen die ich im router menü erlaubt habe.
hinter den mac's steht dann aber host:ip des routers und der pcs :confused_alt:

in der log liste tauchen dann manchmal auch so was auf : Scr ip 0.0.0.0 und als Dst Mac FFFFFFFFFFFF :confused_alt:
 
Top