ARP-Spoofing / Poisoning, MAC-Spoofing

[Mandarine]

Hattest du dort einen doppelten Eintrag, oder wie ist dir das aufgefallen?

Zwei IPs vom internen Netzwerk mit der selben MAC. Nachdem der Fernseher ausgeschaltet wurde, hat sich die FAKE-MAC + IP selbst nach einem Neustart des Server/Routers -sofort wieder verbunden.

[Hrafnaguð]

Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

Erübrigt sich für mich, dieser Hickhack. Wlan ist standartmäßig ausgeschaltet, läuft alles über Kabel.
Da hackt sich, zumindest über Funk, niemand rein, da auf diesem Wege schlicht unmöglich.

[Smoker]

Erübrigt sich für mich, dieser Hickhack. Wlan ist standartmäßig ausgeschaltet, läuft alles über Kabel.
Da hackt sich, zumindest über Funk, niemand rein, da auf diesem Wege schlicht unmöglich.

Jep die paar Euro für die Kabel und ein wenig Mühe sind mir das ganze Wert. Hab dadurch sogar minimal bessere Pings auch wenn mir immer wieder welche verklickern daß das nicht sein kann...

[Differentialgeometer]

Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

Das weiss ich, Du Nase. Nur muss ich das bisher über den Rechner ansteuern, was ich nur tue, wenn irgendwelche Dinge nicht funktionieren. Wenn ich es richtig verstehe, dann hat der User eine App, was das ganze erklärt.

[Haspelbein]

Das ist mit großer Wahrscheinlichkeit absoluter Quatsch...
Ich nehme doch mal an, du hast ein sicheres WLAN-PW ? Mit WPA 2?
Dann ist das sehr unwahrscheinlich.

Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

Das hat nichts mit einem Gastzugang zu tun. Prinzipiell ist alles was übers WLAN versendet wird, für alle Geräte einsehbar. Verschlüsselung hilft bei dem Inhalt der Daten, aber nicht der Regelung des Datenverkehrs selbst, dem Address Resolution Protocol (ARP). Dieses Protokoll sagt aus, welches Gerät mit welchem anderen Gerät kommuniziert, und man kann eben erst nach dem Empfang bestimmen, ob die Nachricht auch an ein bestimmtes Gerät gerichtet war. Nur leider kann man das auch eben mit einem anderen Gerät simulieren, denn die Informationen zum Routing sind frei empfangbar. Für den Router sieht es dann so aus wie das ursprüngliche Gerärt, dass auch zugelassen wurde, denn die MAC Adressen unterscheiden sich nicht.

Damit verlagern sich viele Sicherheitsaspekte auf die nächst höhere Ebene, d.h. was für eine Art von Datenverkehr zugelassen wird, und wie sicher das Protokoll ist. Deshalb änderte Mandarine auch seine Verschlüsselung. Zudem weiss ich, dass er wirklich nur die notwendigsten Ports offen hat.

[Differentialgeometer]

Das hat nichts mit einem Gastzugang zu tun. Prinzipiell ist alles was übers WLAN versendet wird, für alle Geräte einsehbar. Verschlüsselung hilft bei dem Inhalt der Daten, aber nicht der Regelung des Datenverkehrs selbst, dem Address Resolution Protocol (ARP). Dieses Protokoll sagt aus, welches Gerät mit welchem anderen Gerät kommuniziert, und man kann eben erst nach dem Empfang bestimmen, ob die Nachricht auch an ein bestimmtes Gerät gerichtet war. Nur leider kann man das auch eben mit einem anderen Gerät simulieren, denn die Informationen zum Routing sind frei empfangbar. Für den Router sieht es dann so aus wie das ursprüngliche Gerärt, dass auch zugelassen wurde, denn die MAC Adressen unterscheiden sich nicht.

Damit verlagern sich viele Sicherheitsaspekte auf die nächst höhere Ebene, d.h. was für eine Art von Datenverkehr zugelassen wird, und wie sicher das Protokoll ist. Deshalb änderte Mandarine auch seine Verschlüsselung. Zudem weiss ich, dass er wirklich nur die notwendigsten Ports offen hat.

AHA! Woher weisst Du das? Hast Dich wohl eingehackt, oder was?!

[Schlummifix]

Das hat nichts mit einem Gastzugang zu tun. Prinzipiell ist alles was übers WLAN versendet wird, für alle Geräte einsehbar. Verschlüsselung hilft bei dem Inhalt der Daten, aber nicht der Regelung des Datenverkehrs selbst, dem Address Resolution Protocol (ARP). Dieses Protokoll sagt aus, welches Gerät mit welchem anderen Gerät kommuniziert, und man kann eben erst nach dem Empfang bestimmen, ob die Nachricht auch an ein bestimmtes Gerät gerichtet war. Nur leider kann man das auch eben mit einem anderen Gerät simulieren, denn die Informationen zum Routing sind frei empfangbar. Für den Router sieht es dann so aus wie das ursprüngliche Gerärt, dass auch zugelassen wurde, denn die MAC Adressen unterscheiden sich nicht.

Damit verlagern sich viele Sicherheitsaspekte auf die nächst höhere Ebene, d.h. was für eine Art von Datenverkehr zugelassen wird, und wie sicher das Protokoll ist. Deshalb änderte Mandarine auch seine Verschlüsselung. Zudem weiss ich, dass er wirklich nur die notwendigsten Ports offen hat.

Man kann die MAC-Adresse eines Geräts simulieren, das ist mir bekannt.
Aber man kann sich mit dem Gerät doch trotzdem nur dann im WLAN anmelden, wenn man das PW hat?

Oder habe ich das falsch verstanden?
Das wäre ja sonst verheerend...

Bei mir kann sich sowieso jedes Gerät anmelden, das eben das WLAN-PW hat.
Soll das etwa heißen, wenn ich die MAC-Adresse eines angemeldeten Geräts kenne, kann ich mich ohne PW ins WLAN schalten ???

Ich glaube in diesem Fall, dass der Fernseher einfach 2 IPs benutzt...

[truthCH]

Taten sie nicht. Sie haben ARP-Spoofing betrieben, d.h. sie haben eines ihrer Geräte als eines seines Netzwerkes ausgegeben. Dadurch bekam es eben auch eine IP, und zwar die des korrekten Gerätes.

Mir ist schon klar wie ARP Spoofing funktioniert - mach ich ja selbst auch, damit ich beim Wechsel der Firewall die fixe IP Adresse nicht verliere (wird auf die MAC gefixt seitens Provider)

Aber, um ARP Spoofing überhaupt betreiben zu können musst Du schon im Netz sein und von der IP reden wir mal gar nicht (DHCP Request).

Sprich, die müssen in einem verkabelten Netz einen Port benutzen oder aber im Wireless zumindest über den Schlüssel verfügen, da auch da der DHCP Request erst nach der Auth kommt. Es sei denn, sein Wireless Netz ist nur per MAC Filter geschützt was ich mir jetzt aber bei Mandarine nicht vorstellen kann.

Bleibt mir immer noch die Frage, wie zum Geier können die überhaupt in sein internes Netz DHCP Request's (mit gefälschter MAC) absetzen?

[truthCH]

Man kann die MAC-Adresse eines Geräts simulieren, das ist mir bekannt.
Aber man kann sich mit dem Gerät doch trotzdem nur dann im WLAN anmelden, wenn man das PW hat?

Oder habe ich das falsch verstanden?
Das wäre ja sonst verheerend...

Bei mir kann sich sowieso jedes Gerät anmelden, das eben das WLAN-PW hat.
Soll das etwa heißen, wenn ich die MAC-Adresse eines angemeldeten Geräts kenne, kann ich mich ohne PW ins WLAN schalten ???

Ich glaube in diesem Fall, dass der Fernseher einfach 2 IPs benutzt...

Fettung durch mich

Nein, hast Du nicht - wäre dem wirklich so wäre es ja noch einfacher in solch ein Netz zu kommen als zu WEP Zeiten als man einfach ein paar Pakete aufzeichnen musste und dann den Schlüssel errechnen konnte (aircrack).

[Mandarine]

Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

Ich wüsste nicht das die FritzBox ARP-Binding beherrscht. Wie also möchtest Du deiner Box sagen, dass es Pakete an die festgelegte IP mit der dazu eingetragene MAC sendet und nicht an ein anderes Netwerk das ARP-Spoofing nutzt ? Meine dinamische ARP Tabelle sagte mir, dass alles in Ordnung wäre. Sicherheitsmechanismen bemerkten zwar einige Anomalien, allerdings waren keine Hinweise über ARP-Spoofing erkennbar. Erst mit nmap mit den entsprechen Datenbanken "nmap-vulners und scipag-vulscan" konnte ich weiterhin 2 IPs mit derselben MAC finden. Das Problem habe ich inzwischen gelöst. Jetzt heißt es, Passwörter, Schlüssel, Zertifikate zu prüfen auch wenn ich sicher sein kann, dass der Router nichts abbekommen hat. Meine Daten blieben wohl auch Dank DNS Verschlüsselung geschützt. Vorsichtshalber habe ich aber u.a. meine Zugangsdaten für Banking, Depot usw.. aktualisiert. Man weiß ja nie

In Rot markiert sind die 2 IPs mit derselben MAC

nmap -sV --script vulscan/nmap-vulners 154.121.X.X/24 > /var/log/vulscan.log
---------------------------------------------------------------------------------------
Starting Nmap 7.70 ( [Links nur für registrierte Nutzer] ) at 2021-02-07 10:19 CET
Nmap scan report for fireblade.debian (154.121.X.30)
Host is up (0.0035s latency).
MAC Address: EF:XX:XX:XX:XX:41 (Unknown)
Nmap scan report for thinkpad.debian (154.121.X.XX)
Host is up (0.0024s latency).
MAC Address: 81:XX:XX:XX:XX:62 (Intel Corporate)
Nmap scan report for lifebook.debian (154.121.X.XX)
Host is up (0.0040s latency).
MAC Address: 54:XX:XX:XX:XX:25 (Unknown)
Nmap scan report for surfbook.debian (154.121.X.XX)
Host is up (0.0024s latency).
MAC Address: 41:XX:XX:XX:XX:A9 (Shenzhen Four Seas Global Link Network Technology)
Nmap scan report for mis4tv.debian (154.121.X.42)
Host is up (-0.14s latency).
MAC Address: EF:XX:XX:XX:XX:41 (Unknown)
....