ARP-Spoofing / Poisoning, MAC-Spoofing

[Differentialgeometer]

Nicht lustig.

Hrhrhhrr, wer den Schaden hat spottet jeder Beschreibung.... oder wie das heisst....

[Ansuz]

(...)Aber da bewegen wir uns schon in einem Umfeld wo ich dann fragen müsste, kennst Du Deine Nachbarn und was sind die von Beruf. Solche Angriffe kommen dann sicherlich nicht von Leuten, die ein bisschen IT Verständnis haben sondern da reden wir von (absoluten) Cracks.

In diese Richtung dachte ich auch, darum meine Nachfrage, inwieweit hierzuforum Berichte über tiefergehende Inspektionen gestattet wären.

[truthCH]

War das eine Frage ?
Also, eigentlich ist es nur ein CA-Zertifikat das signiert, validiert und in das System integriert wird. Damit werden nun für Server und Benutzer jeweils öffentliche und private Zertifikate erstellt (nach RFC1421-1424) und die Schlüssel. Den Schlüssel wenn man nicht gerade auf die Idee kommt es per Email zu versenden (davon kenne ich einen) sind sehr sicher, nicht zu brechen. Ich erstelle die Schlüssel mit AES und sind 256-Bit stark. Das reicht für GNU/Linux völlig aus. Smartphones z.B. möchten noch zusätzlich das ROOT-Zertifikat bzw. Stammzertifikat haben damit EAP-TLS als Authentifizierungverfahren akzeptiert wird.

Fettung durch mich

Nein, war keine Frage, wollte genau auf die Fettung hinaus. Die Kette, wenn nicht vertrauenswürdig, kann angegriffen werden bzw. man könnte da eingreifen. Ähnlich wie bei TLS ( zur Laufzeit "on the fly" austauschen ). Aber ich sehe, Du hast an alles gedacht

[Mandarine]

Aber ich sehe, Du hast an alles gedacht

Vieles erledige ich inzwischen mit Scripte. Nach einer gewissen Zeit sehe ich nicht mehr sehr scharf und kann sehr schwer die Regeln lesen. Die Scripte helfen mir u.a. "Schlüssel & Zertifikate" sauber zu erstellen und zu signieren. Für Halbblinde gibt es nichts besseres

[Mandarine]

Bei mir war nichts los, nur die altbekannten Geräte. (Bin jetzt eben kurz noch mit dem Smartphone auf die PI um nachzusehen.) Das mit der Signalstärke ist trickreich. Was ist, wenn du mit deinem Android dich der Wohnung näherst, und die Signalstärke in dem Moment gering ist, in dem er auf dein Netzwerk wechselt? Und ja, gute Antennen und Signalverstärker machen wirklich etwas aus. Im Prinzip muss man bei einer schlechten Signalqualität auch kaum blocken, denn für alle praktischen Anwendungen ist das eh zu wenig.

Damit hast Du recht. Also werde ich im Script ein sleep einbauen der nach einer X-Zeit dieselbe MAC noch einmal prüft, bevor es an ARP/IPtables weitergibt um es zu blocken. Wer mag kann das Script gerne testen und teilt es hier mit.

[Haspelbein]

Damit hast Du recht. Also werde ich im Script ein sleep einbauen der nach einer X-Zeit dieselbe MAC noch einmal prüft, bevor es an ARP/IPtables weitergibt um es zu blocken. Wer mag kann das Script gerne testen und teilt es hier mit.

Ja, du wirst eine gewisse Toleranz einbauen müssen, um eine gewisse Anzahl von Messungen von schwachen Signalen zu ignorieren. Mein ARP-Alert ist ruhig. Vielleicht lass ich einfach ein Script laufen, das mir einen Tweet sendet, wenn wirklich etwas passiert.

Dein Script nutzt mir leider wenig, da mindestens die Hälfte meines Grundstücks nicht vom WiFi-Signal abgedeckt wird.

[Mandarine]

Ja, du wirst eine gewisse Toleranz einbauen müssen, um eine gewisse Anzahl von Messungen von schwachen Signalen zu ignorieren. Mein ARP-Alert ist ruhig. Vielleicht lass ich einfach ein Script laufen, das mir einen Tweet sendet, wenn wirklich etwas passiert.

Dein Script nutzt mir leider wenig, da mindestens die Hälfte meines Grundstücks nicht vom WiFi-Signal abgedeckt wird.

Wie meinst Du es ?

Ich werde das Script am WE zusammensetzen. Es soll also einen eingestellten Radius von z.B. bis zu -90 dBm ignorieren und alles drüber hinaus wird als Gefahr eingestuft. Bei Verdacht wird die auffällige MAC 5-10-15-usw. Minuten (wie man es braucht) noch einmal gescannt und erst dann geblockt, per Email informiert oder beides. Gescannt wird unterbrechungsfrei bzw. in Echtzeit (Daemon) und scannt mehrere Benutzer einzeln und gleichzeitig. Einzelne Test-Regeln laufen schon mal sehr genau. Bei mir fangen die -90 dBm erst 10m hinter meiner Wohnungstür an.

Das Script nenne ich mal ,"Spoof-Preventer 0.0.1"

[Haspelbein]

Wie meinst Du es ?

Ich habe immer noch arpalert am laufen, aber bisher eben nur Meldungen zu expired leases der Geräte mit MAC Adressen auf der Whiltelist. Das eigentliche log ist noch leer. Da kann ich einfach ein Script laufen lassen, das mich über Twitter benachrichtigt, sollte sich daran was ändern.

Ich werde das Script am WE zusammensetzen. Es soll also einen eingestellten Radius von z.B. bis zu -90 dBm ignorieren und alles drüber hinaus wird als Gefahr eingestuft. Bei Verdacht wird die auffällige MAC 5-10-15-usw. Minuten (wie man es braucht) noch einmal gescannt und erst dann geblockt, per Email informiert oder beides. Gescannt wird unterbrechungsfrei bzw. in Echtzeit (Daemon) und scannt mehrere Benutzer einzeln und gleichzeitig. Einzelne Test-Regeln laufen schon mal sehr genau. Bei mir fangen die -90 dBm erst 10m hinter meiner Wohnungstür an.

Das Script nenne ich mal ,"Spoof-Preventer 0.0.1"

Ja, da ist die Situation leicht anders. Bei mir ist das schon auf der Veranda hinterm Haus oder in Teilen der Garage erreicht.

[Mandarine]

Ich habe immer noch arpalert am laufen, aber bisher eben nur Meldungen zu expired leases der Geräte mit MAC Adressen auf der Whiltelist. Das eigentliche log ist noch leer. Da kann ich einfach ein Script laufen lassen, das mich über Twitter benachrichtigt, sollte sich daran was ändern.

Hört sich gut an. Nimmst Du twidge dafür ?

[Haspelbein]

Hört sich gut an. Nimmst Du twidge dafür ?

Nein, tweepy. Allein wegen den ganzen Datengeschichten nutze ich viel Python, so dass ich es auch zum scripten benutze.

P.S.: Der Python in meinem Büro häutet sich gerade.

P.P.S: So, und jetzt auch als cron-job aufgesetzt. Aber wird wahrscheinlich eh nichts passieren...