Unbekanntes Tuya Gerät im Ereignisprotokoll

[Fritzken]

Hallo zusammen,

seit Montagabend (22.07.2024) habe ich sehr viele Einträge im Ereignisprotokoll, die mir Sorgen machen.

Es werden nur Abmeldungen protokolliert und zwar ohne IP-Adresse. Wahrscheinlich ist das nicht gefährlich, aber ich würde trotzdem gerne wissen, was es damit auf sich hat und was ich dagegen tun kann.

Das Gerät ist mir unbekannt und laut MAC-Suche handelt es sich um ein Gerät des chinesischen Herstellers Tuya.

Anbei ein Screenshot.

Habt Ihr eine Idee, was das bedeutet und was ich dagegen tun kann?

Besten Dank!!

 

[Novize]

Das sind nur fehlgeschlagene Anmeldeversuche irgendeines WLAN-Gerätes - das ist nichts, was Dich beängstigen sollte, solange Deine WLAN-Passphrase ausreichend sicher ist.
Ändern kannst Du das nicht, solange Du dies gerät nicht finden und in die Tonne kloppen kannst

 

[Fritzken]

Danke!! Ich bin halt verunsichert, dass da immer nur "wurde abgemeldet" steht. Eigentlich würde man darunter ja verstehen, dass sich das Teil vorher auch angemeldet haben muss, damit es abgemeldet werden kann

Aber gut, dass es nix Schlimmes zu sein scheint.

Danke Dir für die schnelle Antwort!

 

[Joe_57]

Bei "...wurde abgemeldet." hat die FRITZ!Box die Verbindung getrennt.
Steht da "...hat sich abgemeldet." wurde eine (vorher erfolgreich) bestehende Session vom Gerät selbst beendet.

 

[Fritzken]

Danke! Ja, das weiß ich. Ändert aber nix daran, dass erst eine Anmeldung stattgefunden haben muss, bevor abgemeldet werden kann. Also zumindest im Wortsinne.

 

[Novize]

Ändert aber nix daran, dass erst eine Anmeldung stattgefunden haben muss

Nein, es war nach dem Aufbau der Verbindung nur ein Anmeldeversuch, mehr nicht. Das Protokoll läuft ab wie folgt:
1. physikalische Verbindung aufbauen
2. anmelden
3. IP-Adresse zugewiesen bekommen
4. irgendwann abmelden <das physikalische Netz verlassen>
Bei Misserfolg von Punkt 2 wird 3 übersprungen und das Gerät gibt auf / geht zu Punkt 4 über
Und genau diese Punkte 2 & 4 werden protokolliert.
Erst bei der Anmeldung werden die (per Passphrase) verschlüsselten Datenpakete empfangen und versandt. Vorher ist das rein das unverschlüsselte "Anklingeln" und legitimieren

Btw: Hast du "Name des WLAN-Funknetzes verstecken" angehakt?
Das macht es nicht sicherer sondern eher unsicher, vergleichbar als wenn du dich mit einem Schild "Ich bin unsichtbar" mitten auf die Straße stellst.
Einen Einbrecher schreckt es ja auch nicht ab, wenn du Deinen Namen vom Klingelschild entfernst. So auch hier.
Geräte in der Nähe, die sich verbinden wollen, den Namen des Netzes aber nicht sehen, versuchen sich trotzdem zu verbinden, denn das WLAN sendet weiterhin seine Pollsignale aus, nur halt ohne den Namen zu beinhalten.

 

[Fritzken]

Danke @Novize Top Erklärung! Das wusste ich bisher nicht.

Versteckt sind meine WLANs nicht.

Ich habe aber vorhin mal in den Sicherheitseinstellungen aktiviert, dass sich nur noch bekannte Geräte anmelden dürfen. Und siehe da, jetzt steht da "WLAN-Anmeldung ist gescheitert. Die MAC-Adresse des WLAN-Geräts ist gesperrt" Sehr gut!

Trotzdem seltsam, dass dieses Gerät es immer wieder versucht. Leider weiß ich nicht, von welchem Nachbar das ausgeht, sonst hätte ich da mal gefragt.

 

[Novize]

Trotzdem seltsam, dass dieses Gerät es immer wieder versucht.

China-Frickel-Zeug halt. Das versucht auf biegen und brechen sich irgendwo in das nächstbeste WLAN einzuloggen, um Kontakt zur Chinacloud zu bekommen, wenn es nicht von vorneherein sauber mit dem LAN des Besitzers verbunden ist.
Hat der Nachbar irgendein cloudfähiges Gerät bei sich ohne es mit seinem WLAN zu verbinden, dann laufen diese Teile halt Amok.
Alles mögliche an IOT kann das sein, von der Zahnbürste über den Staubsaugroboter oder Rolladensteuerung bis hin zur Smart-Lampen-Steuerung, die der Nachbar halt ganz pragmatisch via Bluetooth steuert.

 

[Fritzken]

Ja, irgendwie sowas vermute ich auch. Mal abwarten, vielleicht erledigt es sich demnächst wieder von selbst.

 

[tango501]

Leider weiß ich nicht, von welchem Nachbar das ausgeht, sonst hätte ich da mal gefragt.

Betreibt einer der Nachbarn ein WLAN mit der identischen SSID?
Sie dazu unter "Andere Funknetze in Ihrer Umgebung". Auch gerne davon einen Screenshot posten.

 

[Ozymandias]

Du könntest auch mal WPS in der Fritzbox deaktivieren. Es kann sein, dass das ein veralteter Angriff auf eine WPS Sicherheitslücke ist.
Ich hatte einen sehr ähnlichen Fall. Als ich WPS deaktiviert hatte, hörte das sofort auf. Im WLAN-Signal wird die WPS-Fähigkeit des Routers quasi angekündigt, weswegen sich solche Angriffe darauf konzentrieren. Deaktivierst du die WPS-Funktion, verschwindet auch die WPS-Kennzeichnung.

 

[Erforderlich]

Es geht u.a. um den Gastzugang.
Dessen SSID ändern, wenn die wenig Bedeutung hat.
Oder den Gastzugang abschalten, wenn er keine Bedutung hat.

Beim WLAN unbedingt originale SSIDs vermeiden wie "Fritz!Box 7490"

 

[Novize]

Es geht um den Gastzugang.

Nö, es geht um beide WLAN-Netze:

Sonst wären de Abmeldeinformationen nicht unterschiedlich aufgeführt

 

[Roboto]

Es wäre interessant ob dieses Gerät auch auf eine temporär geänderte (z.B die des Gast WLAN) SSID "rüber springt".

 

[Novize]

Dies zeigt dann nur, dass schlicht alle greifbaren WLANs versucht werden, um seine Informationen in die Chinacloud zu bekommen - welche Erkenntnisse kannst du daraus ableiten?

 

[Fritzken]

Betreibt einer der Nachbarn ein WLAN mit der identischen SSID?
[Edit Novize: Überflüssiges Fullquote auf relevanten Teil reduziert - siehe Forumsregeln]

Danke. Nein, kein anderes Funknetz mit dem gleichen Namen.

Du könntest auch mal WPS in der Fritzbox deaktivieren.
[Edit Novize: Überflüssiges Fullquote auf relevanten Teil reduziert - siehe Forumsregeln]

Danke. Das ist bei mir schon deaktiviert.

Es geht u.a. um den Gastzugang.
[Edit Novize: Überflüssiges Fullquote auf relevanten Teil reduziert - siehe Forumsregeln]

Danke. Es betrifft beide 2,4 WLANs, das Gastnetz und das Hauptnetz. Mein WLAN hat einen eindeutigen und individuellen Namen.

Es wäre interessant ob dieses Gerät auch auf eine temporär geänderte (z.B die des Gast WLAN) SSID "rüber springt".

Wie gesagt, alles individuelle Namen bei mir. Damit hat es wohl nix zu tun.

Ich danke Euch trotzdem allen ganz doll, dass Ihr mir so zahlreich zu helfen versucht!!

[Edit Novize: Beiträge gemäß der Forumsregeln zusammengefasst]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Ich vermute auch, dass alle WLANs durchprobiert werden, auch die der anderen Nachbarn.

 

[Benares]

Also wenn ich spaßeshalber mein Handy bei mir in der Umgebung man WLAN-Netzen suchen lasse, finde ich auch welche, die interessant und für "umme" aussehen. Wenn ich mich nun mit einem von denen versuche zu verbinden, und es nicht klappt, wüsste ich nicht, was mein Handy weiterhin damit treibt.
Ich will damit sagen, dass die Verbindungsversuche nicht unbedingt böswillig sein müssen. Vielleicht nur ein unbedarfter Nachbar, der nicht weiß, was er tut. Ändere doch einfach mal die SSID deines Gastzugangs..

 

[Joe_57]

Auch daran denken, daß es möglicherweise der Wechselrichter eines neu eingerichteten "Balkon-Kraftwerks" (Solaranlage) in der Nachbarschaft ist, der "nach Hause telefonieren" will, obwohl der Besitzer gar kein WLan betreibt.

 

[Roboto]

@Novize
um zu sehen ob es direkt automatisch folgt (chinacloud) oder ob es jemand manuell testet/gesetzt hat wie @Benares schrieb

 

[Novize]

automatisch [...] oder ob es jemand manuell testet

händisch testen aber bitte nicht 3 Tage lang