Fremdes Gerät im eigenen Netz?
Ich habe seit einiger Zeit bemerkt, dass ein Gerät mit einer bestimmten, mir fremden, MAC Adresse innerhalb meines lokalen Routernetzes Pakete versendet.
MAC: 00-01-5C-79-CE-45
Mein Router hat einen Adresspool im Bereich 192.168.1.100 bis 192.168.1.199 Das fremde Gerät mit der angegebenen MAC hat versucht über 3 verschiedene IPs Pakete zu versenden.
192.168.1.200, 192.168.1.110 und 192.168.1.10
x.110 liegt innerhalb des Pools. x.200 und x.10 nicht... (x.10 sendete 2 Pakete mit insgesamt 156 Bytes und x.200 und x.110 jeweils 1 Paket mit 58 Bytes)
In der DHCP Liste mit aktiven Geräten sind die IPs nicht aufgeführt.
(Router: TL-WDR4900)
Muss ich mir um den Traffic Sorgen machen?
3 Antworten
Die von Dir gesehene MAC-Adresse kommt von Cadant. Cadant wurde von Arris aufgekauft, Arris baut Kabelmodems und sogenannte Cable Modem Termination Systems. Das sind die Geräte beim Provider, die die Verbindung zum Kabelmodem des Kunden herstellen, vergleichbar mit den DSLAMs beim DSL. Ich nehme mal an, Du hast einen Kabel-Anschluss. Die MAC-Adresse kommt also über die Leitung des Providers bei Dir an bzw. von Deinem Modem und hat nichts damit zu tun, dass Dein WLAN unbefugt genutzt wird.
Die IP-Adressen der Modems sind in der Regel statisch konfiguriert. Ich würde ggf. die IP-Adresse des Heimnetzes ändern, sodass die IP-Adresse des Modems nicht mehr im Heimnetz liegt.
Ein Modem kann meines Erachtens nicht im Bridge Modus sein. Kann es sein, dass Du einen Router vom Provider bekommen hast und den in den Bridge Mode konfiguriert hast? Nun denn, auch da kannst Du die IP-Subnetze von Modem und Router unterschiedlich konfigurieren. Nur mit dem Management wird es dann nicht mehr so einfach.
Hab erst jetzt den Begriff Bridge kapiert... xD sry
Ja, der Provider hat uns ne Box gegeben fürs Anschließen übers Digitalkabel. Da das Ding DHCP fähig ist, kann man wohl sagen, dass es n Router ist... aber echt mal... wo geht dann die Bedeutung vom Begriff Modem hin... bzw. habe ich in dem Sinne überhaupt ein Modem???
Selbst die Umstellung in den Bridge Modus fand ich merkwürdig... es ging nicht über das Gerät, sondern über deren Webseite (KD/Vodafone)....
Hmm... du meinst also ich brauch n anderes Netz... müsste das Netz 192.168.1.0 nicht so schon reichen? Ich meine, es beginnt ja sonst bei 192.168.0.0 ...
Bridge-Modus bedeutet in diesem Zusammenhang: Du hast einen sogenannten Router mit integriertem Modem und nutzt nur das Modem. Der Router wird quasi überbrückt. Das ermöglicht Dir, einen eigenen Router Deiner Wahl anzuschließen (der dann kein Modem hat). Das, was man im Hausgebrauch "Router" nennt, ist eigentliche ein Multifunktionsgerät: Router, DHCP-Server, Switch, DNS-Server/-Forwarder, Telefonanlage, Accesspoint, Modem. Nicht immer sind alle Funktionen integriert, aber immer mehrere davon. Und nein, ein DHCP-Server macht keinen Router aus ...
In diesem Zusammenhang übersetzt ein Modem eigentlich nur zwischen zwei Protokollen: Bei einem Kabelmodem (wie bei Dir) wird zwischen DOCSIS und Ethernet übersetzt, bei einem DSL-Modem zwischen DSL und Ethernet. Mit IP haben die überhaupt nichts zu tun, deshalb ist auch die IP-Adresse für die Funktionalität nicht relevant. Das Modem hat die IP-Adresse lediglich zur Administration.
Die Umstellung in den Bridge-Mode ging über die Vodafone-Seite, weil bei DOCSIS und diesen Kabeldingern ganz viel vom Provider über spezielle Protokolle und Mechanismen konfiguriert wird.
Richtig, 192.168.1.x ist ein anderes IP-Netz als 192.168.0.x. Vorausgesetzt, Du verwendest als Subnetzmaske 255.255.255.0.
Sofern das Gerät nicht zu deinem Bestand gehört (Freunde, Familienmitglieder, etc?) würde ich bei einem neuen WLAN-Gerät immer auf Gefechtsstation schalten, liegt bei mir aber vielleicht auch noch daran, dass ich wichtige Geräte im internen Netzwerk hängen habe.
Dass jemand dein WLAN-Passwort geknackt hat ist nicht unwahrscheinlich, besonders bei TP-Link Routern: Die Standard-Einstellungen sind dort meist so ungünstig, dass man selbst bei geändertem Passwort durch die aktivierte WPS-PIN dieses abrufen kann.
Ich persönlich hielt das auch lange für übertrieben, bis ich mich in letzter Zeit mal mit ein paar Tools im Pentest-Bereich auseinandergesetzt habe und feststellen musste wie einfach es denn ist ein Passwort mitzuschneiden, als auch ohne dieses die verbundenen Geräte anhand der MAC-Adresse zu identifizieren...
Somit Einstellungen überprüfen, WPS deaktivieren und deinen WLAN-Namen sowie Passwort abändern. Den Namen würde ich abändern, da sonst einige Geräte zicken und weiterhin den alten WLAN-Schlüssel verwenden wollten ohne die direkte Möglichkeit geben diesen zu löschen und neu einzutragen, Windows ist da leider so ein Fall...
Interessant wäre ja mal zu wissen mit was du diese Mitschnitte gemacht hast... Wireshark? In sofern wäre es ja auch möglich, dass das Problem im LAN besteht, wobei du das ja durch das kurzfristige Trennen der LAN-Kabel testen kanst, wie groß dein Netzwerk ist weiß ich nicht.
Die Oberfläche des Routers bietet eine Art Statistik für gesendete und empfangene Pakete je IP. Für Wireshark fehlt mir momentan der Nerv...
Ich schätze mal die sicherste Methode hier wäre die SSID mit zu verstecken...
NEIN! Das denken alle, aber es bringt dir genau eins: nichts!
Gerade wenn ein Gerät verbunden wird sendet dieses den Namen (SSID) im Klartext und ein Angreifer bekommt so recht schnell an den Namen.
Selbes gilt für MAC-Filter. Ein richtiger Angreifer hangelt sich im Notfall auch daran vorbei, indem er eine erlaubte MAC-Adresse mitschneidet und diese dann vortäuscht.
Das ist erstmal unangenehm, wenn ein Gerät in deinem Netz ist, dass du nicht kennst.
Mein Router hat einen Adresspool im Bereich 192.168.1.100 bis 192.168.1.199
Was aber eher bedeutet: Dein DHCP vergibt nur nummern von 100 bis 199. Eingeschränkt wird hier wohl noch nichts sein, denn das wäre über die Subnetzmaske einzuschränken.
In der DHCP Liste mit aktiven Geräten sind die IPs nicht aufgeführt.
Was vermutlich daran liegt, dass das verbindende Gerät sich selbst eine IP zugewiesen hat ohne eine vom DHCP anzufragen.
Versuch doch mal zu ermitteln, um was für ein Gerät es sich dabei handelt.
Wenn das Gerät "online" ist, könntest du via:
ping -a 192.168.1.10
den HostNamen ermitteln lassen. Vielleicht bringt das ja bereits Aufschluss?
Diesen Router und dessen Firmware kenne ich nicht und kann daher nicht sagen, was für Einschränkungen dir zur Verfügung stehen um hier eine Kommunikation zu unterbinden.
Daher würde ich versuchen eher das Gerät oder die Software (Manche Software bietet einen Virtuellen Netzwerk-Adapter, der dann auch eine IP haben möchte) zu ermitteln.
Zusätzlich sollte man den PSK des WLANs ändern. Und sicherstellen, dass die Verschlüsselung WPA2 mit AES ohne TKIP ist.
Ich schau dann mal, ob ich die Gelegenheit bekomme den Hostnamen aufzulösen...
Ich schätze, wenn mein Modem im Bridged Mode ist, wird das so nicht gehen ^^
Aber Danke für die Erklärung.