Hat da jemand versucht in mein Wlan einzubrechen?

[petrik75]

Hi,

ich habe eine Fritz!Box 7150 und als Verschlüsselung WPA2 eingestellt sowie den Mac-Adressfilter aktiviert. Ausserdem habe ich ein sehr sicheres Passwort bestehend aus 63 Zeichen inkl. Groß- und Kleinschreibung, Sonderzeichen usw eingestellt. Auch den DHCP-Server habe ich deaktiviert.

Eben habe ich mir in der Weboberfläche der Box den Wlan-Monitor angesehen und mit Erschrecken festgestellt, dass in der Liste eine Mac-Adresse eines mir unbekannten Geräts auftaucht (rot markiert). Bei den beiden gestrichenen Mac-Adressen darüber handelt es sich um meine Notebooks.

Auch wenn dieses Gerät in der Liste nicht als "aktiv" markiert ist, mache ich mir Sorgen, warum diese Adresse da auftaucht. Meine Fragen an euch:

1.) Wie konnte es dazu kommen - war das ein "Einbruchversuch"?
2.) Wie weit ist derjenige möglicherweise schon gekommen, da ja seine Mac-Adresse schon gelistet ist.
3.) Muss ich jetzt irgendwelche Gegenmaßnahmen treffen?

Leider habe ich voreilig das Ereignisprotokoll der Box gelöscht bevor ich mir den Wlan-Monitor angesehen habe - insofern kann ich nun auch nicht mehr nachvollziehen, wann ein Verbindungsversuch stattgefunden hat bzw. ob dieser zustande gekommen ist.

Ich würde mich über Tipps sehr freuen.

Liebe Grüße

Petrik75

 

[wolf_wiesbaden]

Hallo, das hatten wir hier schon öfter.
Beim damaligen Stand kamen wir m.W. zu der Meinung, dass sich WLAN-Clients schon mal (evtl. automatisch, also vom User unbemerkt) in den Funkkanal einbuchen können, eine Verbindung zum Router jedoch mangels richtiger Verschlüsselung nicht zustande kommt, die Eintragung im WLAN-Monitor jedoch trotzdem erscheint.
Also kein Grund zur Panik, imho.

 

[petrik75]

Hallo,

aber wenn es versehentlich sein sollte, so dürfte doch die Macadresse nicht in der Liste auftauchen wenn ich den Adressfilter aktiviert habe. Ich weiß zwar, dass auch der Adressfilter geknackt werden kann, wenn es tatsächlich versehentlich passiert sein sollte, dürfte es doch aufgrund des aktivierten Filters gar nicht soweit kommen, dass die Macadresse aufgelistet wird - ich würde mich da über weitere Aufklärung freuen, mit der Forensuche habe ich leider nichts passendes gefunden.

Liebe Grüße

Petrik75

 

[frank_m24]

Hallo,

die MAC Adressen tauchen auf, sobald es einen Attach gegeben hat. Der kann auch irrtümlich stattfinden - vor allem, wenn es keine eindeutige SSID gibt oder bei hidden SSIDs. Bei WPA findet die Verschlüsselung ja erst statt, wenn der Client schon mit AP verbunden ist - also ist die MAC dem AP zu dem Zeitpunkt schon bekannt. Auch für den MAC Filter muss der AP ja erst mal mit dem Client kommunizieren, um dessen MAC in Erfahrung zu bringen.
Erst nach dem Attach stellen beide Partner fest, dass sie sich nicht unterhalten können aufgrund fehlender Schlüssel (bei WPA-PSK). Dann wird die Verbindung wieder getrennt. Benutze noch mal die Suche, das Thema hatten wir schon mindestens drei mal.

Übrigens: Bei WPA Enterprise findet direkt nach dem Attach die Kommunikation für die Authentifizierung statt - natürlich noch unverschlüsselt auf WLAN Ebene. Deshalb sollte man Radius-Server immer nur zertifikatsbasiert kontaktieren - also mit Verschlüsselung auf Applikationsebene, sonst kann jeder die Zugangsdaten wegsniffen ... Nach dem der Radiusserver dann den Nutzer freigegeben hat, bekommen AP und WLAN Client einen Schlüssel und können nun kommunizieren.

 

[sven@mainz]

... und ein MAC-Adressenfilter ist Schlangenöl, genauso wie das verstecken der SSID. Bei mir tauchen diese MACs auch auf, und das sind eindeutig (habe es selbst bei den Nachbarn probiert), die WLAN-Clienten aus der Nachbarschaft, wenn es mit dem eigenen WLAN Probleme gibt, und die Verbindung auf einem anderen WLAN versucht wird, was ggf. den gleichen Kanal benutzt.

Und: nehme beim WPA-Kennwort alle Sonderzeichen raus, das kann argen Probleme verursachen. Zum Erstellen eines passenden Kennwortes gibt es den RK-WLAN-Keygen, der macht anhand der gewählten Verschlüsselungsmethode gleich einen maximal möglichen Schlüssel.

 

[sf3978]

@petrik75
... folgende Fragen:
-Wie ist die maximale WLAN-Sendeleistung in deiner FritzBox eingestellt?
-Hast Du "Sendeleistung automatisch auf den tatsächlichen Bedarf verringern" aktiviert?

Danke.

 

[sven@mainz]

Das hat aber mit den Problem, daß ein anderer WLAN-Adapter versucht, sich zu verbinden, wenig zu tun und bringt nur etwas, wenn dauernd eine WLAN-Verbindung besteht, im Falle, daß keine WLAN-Verbindung besteht, dann ist zumindest der Punkt der automatischen Einstellung der Sendeleistung wirkungslos, weil keine Verbindung da ist und immer die maximal mögliche Leistung benutzt wird. Und es wird 100%-ig auch nur mit einem Fritz-WLAN-Adapter funktionieren, nehme ich an.

 

[sf3978]

Ich bin der Meinung, dass die maximale Sendeleistung mit dem Problem schon was zu tun hat. Wenn die Sendeleistung meiner FritzBox, für meine WLAN-Adapter nur so hoch wie nötig ist, wird auch kein anderer WLAN-Adapter, so schnell versuchen sich mit ihr zu verbinden, weil für ihn das Signal in der Regel zu schwach und uninteressant ist (... von absichtlichen Einbrüchen abgesehen). Erstens sollte man feststellen, welche maximale Sendeleistung meiner FritzBox brauche ich (abhängig von den räumlichen Gegebenheiten), um eine Empfangsstärke von mindestens 60%, besser 80% bis 100% zu haben. Und erst dann sollte man die "Sendeleistung automatisch auf den tatsächlichen Bedarf verringern", aktivieren. Auch wenn keine WLAN-Verbindung besteht, wird die maximale Sendeleistung der FritzBox, nicht über diesen eingestellten Wert steigen. Diese Einstellungen funktionieren auch mit nicht Fritz-WLAN-Adaptern (... bei mir zumindest, ob mit allen weis ich nicht).
Z. B.: Meine FritzBox benötigt für eine Empfangsstärke von 100% (für 3 nicht FritzBox-WLAN-Adapter) eine maximale Sendeleistung von nur 12%, und der Einstellung "Sendeleistung automatisch auf den tatsächlichen Bedarf verringern" aktiviert. Im Energiemonitor meiner FritzBox wird "Die aktuelle Sendeleistung des WLAN-Teils von FRITZ!Box: Status: Sendeleistung automatisch verringern ist aktiviert, 3 WLAN-Stationen angemeldet, 6% / 7%" angezeigt. Von meinen Nachbarn sieht nur einer meine FritzBox, und das mit einer ganz schwachen Empfangsstärke, aber ich sehe mit meiner FritzBox, in meiner Nachbarschaft mind. 8 WLAN-Funknetze ständig. Übrigens, die FritzBox zeigt auch WLAN-Funknetze mit der Einstellung "Name des Funknetzes bekannt geben" deaktiviert, an. Ich habe meine FritzBox seit ca. 1 Jahr und hatte noch nie Störungen oder Verbindungsprobleme.

 

[petrik75]

@sf3978: Die maximale Sendeleistung ist auf 25 % eingestellt. Die Funktion "Sendeleistung automatisch auf den tatsächlichen Bedarf verringern" gibt es für meine 7150 bisher noch nicht - ich hoffe da ja noch auf ein Firmwareupdate.

@sven@mainz: Den RK-WLAN-Keygen verwende ich bereits seit längerem. Dieser hat das Passwort aber inkl. der Sonderzeichen generiert - bisher habe ich damit noch nie Probleme gehabt.

Übrigens ist es bisher seit dem Vorfall nicht wieder zu neuen Verbindungsversuchen gekommen.

 

[Mari_G]

Ich habe so etwas mal gehabt, da lag es aber an der virtuellen Maschine die ich installiert hatte um darunter was mit Windows zu probieren. Es wurde automatisch eine Internetverbindung eingerichtet und natürlich erschien dann ein neues Wlan-Gerät in der FritzBox. Hatte darüber gar nicht nachgedacht, da ich auf der virtuellen Maschine Internet ja gar nicht brauchte. Hatte mich auch ziemlich erschrocken, bis ich das dann rausfand.

 

[himinternational]

Das ist völlig unbedenklich. Ich habe solche Meldungen dauernd im Ereignisprotokoll. Das sind WLAN Clients, die im Suchmodus sind, aber natürlich keinen dauerhaften connect kriegen weil sie nicht über den notwendigen key verfügen.