ARP-Spoofing / Poisoning, MAC-Spoofing

[Schwabenpower]

Das ist doch schön, so eine einfache Problemlösung, ist es nicht?
Wenn es für dieses IoT-Gedöns keine Updates mehr gibt, ergeben sich Probleme. Noch mehr, als ohnehin.
So bedarf es hierzustrang wohl keiner weitergehenden Infos mehr, made from the command line with vim.

Aufgeschreckt durch diesen Strang habe ich noch mal neu gescannt. Der Samsung Fernseher kann nur empfangen, hatte ich aber schon beim Installieren so eingerichtet.
Und gerade eine halbe Stunde ein unbekanntes Gerät gesucht. War ein FireTV - Stick, der gar nicht angeschlossen ist, aber noch unter Strom stand

[Mandarine]

Das ist doch schön, so eine einfache Problemlösung, ist es nicht?
Wenn es für dieses IoT-Gedöns keine Updates mehr gibt, ergeben sich Probleme. Noch mehr, als ohnehin.
So bedarf es hierzustrang wohl keiner weitergehenden Infos mehr, made from the command line with vim.

So schaut`s aus. Ich betreibe den Fernseher zwar jetzt ohne Internet, das WLAN lässt sich aber nicht deaktivieren.
Außerdem bekomme ich jetzt auf N-TV die Info "Lade Daten .." nur weg, wenn ich kurz einmal auf einen anderen Kanal umschalte. Kann mich nicht daran erinnern ob es auch vorher schon so war

Vielleicht kaufe ich mir ja den hier [Links nur für registrierte Nutzer] schließe Linux dran und bin immer up-to-date

[Ansuz]

So schaut`s aus. Ich betreibe den Fernseher zwar jetzt ohne Internet, das WLAN lässt sich aber nicht deaktivieren.
Außerdem bekomme ich jetzt auf N-TV die Info "Lade Daten .." nur weg, wenn ich kurz einmal auf einen anderen Kanal umschalte. Kann mich nicht daran erinnern ob es auch vorher schon so war

Vielleicht kaufen mir ja den hier [Links nur für registrierte Nutzer] schließe Linux dran und bin immer up-to-date

Besten Dank für diese Schnittstelle zur Realität. Habe dieses Gedöns selber nicht und kann von daher nur sehr begrenzt mitreden.
IoT hat jede Menge Tücken, was sich rein theoretisch schon ergibt.
Speziell das mit den fehlenden Updates wäre ein Punkt, darüber nachzudenken m.E.
Wobei mich speziell das Thema MITM interessiert, welches ja da auch zum Tragen kommt.
Da ich nicht weiß, inwieweit man hierzuforum dieses Thema en detail diskutieren kann, belasse ich es bei diesen Anspielungen.

[Haspelbein]

Du könntest damit z.B. ein Script ausführen lassen. Wenn-MAC-nicht-zur-IP-gehört-dann-blocken. Oder blacklisten ...

Ich habe Für alle mir bekannten Geräte eine Whitelist eingerichtet. Mal sehen, ob ich irgendetwas im log finde. Bisher freilich nicht.

Auch an Dich die Frage - wo ist IP/ARP im OSI Layer und wo die Verschlüsselung des WLANs? Layer 2 / Layer 3 - wie willst Du jetzt also den AP dazu bewegen, Deine Pakete anzunehmen und zu entschlüsseln, und somit die ARP Poisoning Attacke erst möglich zu machen (weil eben Layer3)?

Eine komplette Attacke ist das nicht. Sowoh ARP und WPA sind meines Wissens im Data Link Layer, also Layer 2. WPA verschlüsselt aber nicht den gesamten Frame, sondern nur die Payload. Die Pakete kann über Wifi wirklich jeder annehmen.

Das ist klar - und dennoch reden wir immer noch von Layer2 / Layer 3. Sprich damit die ARP Attacke überhaupt gefahren werden kann, muss Dein Paket richtig verschlüsselt sein, so dass der AP und letztendlich der DHCP (ob auf dem Router oder dem AP selbst ist unerheblich) den ARP Poisoning kriegen kann. Oder bist Du wirklich der Meinung, dass jedes WLAN es zulässt, dass Du Dir ne interne IP schnallst ohne das Netzwerk ordnungsgemäss betrittst?

Man schnallt sich keine IP, sondern eine MAC Adresse. Aber jede AP kann aber auch alle verschlüsselten Pakete auch so empfangen, dazu bedarf es keines ARP Spoofing. Es fällt nur deutlich weniger auf, wenn man sich dann an der Entschlüsselung versucht, und dieser Angriff mit einer bereits bestehenden MAC Adresse erfolgt. (Neben DDOS-Geschichten und anderen Spässen.)

Fettung durch mich

Was meinst Du genau mit dem "angemeldeten Gerät"? Bei einer Verbindung ins WLAN stellst Du zuerst eine 802.11 AA A(Authentication und Association) Verbindung her, die hat aber noch nichts mit IP/ARP zu tun. Erst wenn dieser Schritt vollzogen ist, geht es los mit ARP/IP und sicher nicht davor. Wäre ja ein ziemlich grobfahrlässiges Design.

Es geht hier nicht einmal um eine Verbindung. Auf dem Level von ARP ist die wirklich nur ein Austausch zwischen MAC Adressen. Und ja, ARP ist veraltet und hat selbst kein AA.

[Mandarine]

Besten Dank für diese Schnittstelle zur Realität. Habe dieses Gedöns selber nicht und kann von daher nur sehr begrenzt mitreden.
IoT hat jede Menge Tücken, was sich rein theoretisch schon ergibt.
Speziell das mit den fehlenden Updates wäre ein Punkt, darüber nachzudenken m.E.
Wobei mich speziell das Thema MITM interessiert, welches ja da auch zum Tragen kommt.
Da ich nicht weiß, inwieweit man hierzuforum dieses Thema en detail diskutieren kann, belasse ich es bei diesen Anspielungen.

Abgesehen davon, dass ein nicht aktualisiertes BS auch keine Zertifikate mehr bekommt. Gut, ein Fernseher ist jetzt nicht so wild, wer surft denn schon großartig viel mit der Fernbedienung . Ab dem 21.September wird es von Let`s Encrypt für ältere Androids > 7.1.2 kein SSL-Zertifikat mehr geben.

[Swesda]

Erübrigt sich für mich, dieser Hickhack. Wlan ist standartmäßig ausgeschaltet, läuft alles über Kabel.
Da hackt sich, zumindest über Funk, niemand rein, da auf diesem Wege schlicht unmöglich.

Das ist sicher optimal, aber mir ist meine Bequemlichkeit wichtiger als der letzte Rest Sicherheit.

[Swesda]

Ich wüsste nicht das die FritzBox ARP-Binding beherrscht. Wie also möchtest Du deiner Box sagen, dass es Pakete an die festgelegte IP mit der dazu eingetragene MAC sendet und nicht an ein anderes Netwerk das ARP-Spoofing nutzt ? Meine dinamische ARP Tabelle sagte mir, dass alles in Ordnung wäre. Sicherheitsmechanismen bemerkten zwar einige Anomalien, allerdings waren keine Hinweise über ARP-Spoofing erkennbar. Erst mit nmap mit den entsprechen Datenbanken "nmap-vulners und scipag-vulscan" konnte ich weiterhin 2 IPs mit derselben MAC finden. Das Problem habe ich inzwischen gelöst. Jetzt heißt es, Passwörter, Schlüssel, Zertifikate zu prüfen auch wenn ich sicher sein kann, dass der Router nichts abbekommen hat. Meine Daten blieben wohl auch Dank DNS Verschlüsselung geschützt. Vorsichtshalber habe ich aber u.a. meine Zugangsdaten für Banking, Depot usw.. aktualisiert. Man weiß ja nie

In Rot markiert sind die 2 IPs mit derselben MAC

Ok, das ist mir zu hoch. AVM hat mir versichert, das es nicht nur hoher krimineller Energie sondern auch einer spezialisierten Technik bedarf, den WPS2 Schlüssel zu knacken. Das ist schon eine Frage von Aufwand und Nutzen, ich bin ja auch nicht das Weiße Haus. Ganz egal, was wer wohin leitet, ohne die Verschlüsselung zu lösen hat er nichts von seinen Experimenten. An Verfolgungswahn scheinst du nicht zu leiden. Ich würds abhaken.

[Mandarine]

Ok, das ist mir zu hoch. AVM hat mir versichert, das es nicht nur hoher krimineller Energie sondern auch einer spezialisierten Technik bedarf, den WPS2 Schlüssel zu knacken. Das ist schon eine Frage von Aufwand und Nutzen, ich bin ja auch nicht das Weiße Haus. Ganz egal, was wer wohin leitet, ohne die Verschlüsselung zu lösen hat er nichts von seinen Experimenten. An Verfolgungswahn scheinst du nicht zu leiden. Ich würds abhaken.

Man knackt ja nicht wirklich, sondern schnüffelt so lange bis man die erforderlichen Informationen hat. Cisco erklärt es ganz gut. Gegen Layer 3 Angriffe braucht man allerdings mehr als nur ein paar Scripte als Gegenmaßnahme. Ehrlich gesagt, einen richtigen Schutz gegen Spoofing gibt es nicht wirklich. Mit Tools wie u.a. Ettercap ist man eh immer mittendrin.

[Links nur für registrierte Nutzer]

Auf jeden Fall sollte man sich nicht verrückt machen lassen. Weil, schützen kann man sich kaum. Sollten sich die Hacker genauso zusammentun wie die Masse mit der GameStop Aktie, dann wird man ganz schlecht was gegen so viel Power tun können.

[Mandarine]

Ich habe Für alle mir bekannten Geräte eine Whitelist eingerichtet. Mal sehen, ob ich irgendetwas im log finde. Bisher freilich nicht.

Davon hatte ich ein paar mehr

Feb 7 11:20:09 arpalert: seq=5880, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.44, reference=192.168.6.30, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:36:03 arpalert: seq=8667, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.30, reference=192.168.6.44, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:36:49 arpalert: seq=8872, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.44, reference=192.168.6.30, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:37:51 arpalert: seq=8942, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.30, reference=192.168.6.44, type=ip_change, dev=wlx2xxxxxxxx626

Ich habe ein Script von einem Slackware User bekommen, dass die Signalstärke in dBm misst. Jetzt möchte ich es gerne so ändern, dass Geräte mit schwacher Signalstärke durch IPtables geblockt werden. Heißt, in meiner Wohnung bewegt sich die Signalqualität zwischen -35dBm -- -65dBm. Ein Angreifer aus Haus 22 mit einer schlechten Signalqualität von z.B. -100dBm würde somit geblockt werden. Aaaaaber, was ist wenn der Angreifer einen Signalverstärker nutzt ? Damit kenne ich mich überhaupt nicht aus.

[Haspelbein]

Davon hatte ich ein paar mehr

Feb 7 11:20:09 arpalert: seq=5880, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.44, reference=192.168.6.30, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:36:03 arpalert: seq=8667, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.30, reference=192.168.6.44, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:36:49 arpalert: seq=8872, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.44, reference=192.168.6.30, type=ip_change, dev=wlx2xxxxxxxx626
Feb 7 11:37:51 arpalert: seq=8942, mac=ef:xx:xx:xx:xx:41, ip=192.168.6.30, reference=192.168.6.44, type=ip_change, dev=wlx2xxxxxxxx626

Ich habe ein Script von einem Slackware User bekommen, dass die Signalstärke in dBm misst. Jetzt möchte ich es gerne so ändern, dass Geräte mit schwacher Signalstärke durch IPtables geblockt werden. Heißt, in meiner Wohnung bewegt sich die Signalqualität zwischen -35dBm -- -65dBm. Ein Angreifer aus Haus 22 mit einer schlechten Signalqualität von z.B. -100dBm würde somit geblockt werden. Aaaaaber, was ist wenn der Angreifer einen Signalverstärker nutzt ? Damit kenne ich mich überhaupt nicht aus.

Bei mir war nichts los, nur die altbekannten Geräte. (Bin jetzt eben kurz noch mit dem Smartphone auf die PI um nachzusehen.) Das mit der Signalstärke ist trickreich. Was ist, wenn du mit deinem Android dich der Wohnung näherst, und die Signalstärke in dem Moment gering ist, in dem er auf dein Netzwerk wechselt? Und ja, gute Antennen und Signalverstärker machen wirklich etwas aus. Im Prinzip muss man bei einer schlechten Signalqualität auch kaum blocken, denn für alle praktischen Anwendungen ist das eh zu wenig.