Wie erkennt man Fake AP's im Umkreis?

2 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

Hallo

Wie erkennt man Fake AP's im Umkreis?

Das hängt vor allem davon ab wie Deine Definition von Fake AP's ist?

  • Accesspoint=Zugriffspunkt, der muss jetzt nicht zwingend auch einen Zugang zum WAN (Internet) bieten und ist dennoch ein AP.
  • Aber auch wenn ein AP einem einen Zugang zum Internet bietet, so kann da auch ein Man-in-The-Middle sein, was Du sicher nicht willst.

Für die meisten von uns wird wohl ein AP ohne Zugang zum Internet nutzlos sein. Ähnlich dem freien Zugang zum AP eines Hotels, der aber nur auf die Seite führt wo man seine Zugangsdaten eingeben muss die man z.B. an der Rezeption bekommen hat. Das läuft dann meist über einen VPN-Tunnel.

Sind die BSSID's dann Doppelt bzw. mehrfach aufgeführt?

Doppelte Namen sind kein Indiz für einen Fake. So ist der Name des AP's auf dem Hochschulcampus überall gleich, egal in welcher Ecke man sich befindet, das gewährleistet einen Übergangslosen Betrieb ohne Unterbrechungen.

Werden diese als HIDDEN BSSID angezeigt?

Wenn man böse Absichten hat, also Leute in eine Falle locken will, dann verwendet man sicher keine unsichtbare SSID , ist doch klar.

Linuxhase

Doppelte Namen sind kein Indiz für einen Fake

Hallo. Erstmal danke für deine Antwort!

Vielleicht hast du mich missverstanden bzw. ich habe mich falsch ausgedrückt..., mit BSSID meinte ich die MAC Adresse des Access-Points.

Da wollte ich wissen, ob diese MAC-Adresse, identisch mit der eines vorhandenen, "normalen" Wifi-Netzwerkes in der Umgebung ist bzw. identisch mit der MAC-Adresse einer Person die an einer AP angebunden ist.

oder können die AP-MAC-Adressen auch mittels MACCHANGER verändert werden?

Testen wollte ich das ganze nicht, da ich meine Nachbarn damit nicht belästigen möchte.

Ebenso würde ich gerne wissen, woran man erkennt, ob in der Umgebung jemand einen AP durch deauth etc. stört.

Sieht man das dann anhand den verlorenen Paketen bzw. der gesendete Beacons eines anderen Netzwerkes?

Ich vermute nämlich, dass irgendwer in der Umgebung, mein Netzwerk stört, da ich gelegentlich nicht an meinem Router mittels WLAN connecten kann weil er die Verbindung dauernd abbricht und mein Router sehr oft DoS meldungen anzeigt.

Sofern das über das WLAN-Signal kommt, könnte ich über airodump feststellen wer das ist oder was gibt es für Möglichkeiten?

Liebe Grüße

0
@andre88ffm

@andre88ffm

oder können die AP-MAC-Adressen auch mittels MACCHANGER verändert werden?

Auf meinem Router habe ich ddwrt laufen und da kann ich auch die MAC Adresse eingeben die ich vergeben möchte. Also Ja.

Ebenso würde ich gerne wissen, woran man erkennt, ob in der Umgebung jemand einen AP durch deauth etc. stört.

Ich denke eher gar nicht.

Sieht man das dann anhand den verlorenen Paketen bzw. der gesendete Beacons eines anderen Netzwerkes?

Solche Dinge sind kein eindeutiges Merkmal, das gibt es nicht.

da ich gelegentlich nicht an meinem Router mittels WLAN connecten kann weil er die Verbindung dauernd abbricht

Eine abbrechende Verbindung ist was anderes als keine.

Sofern das über das WLAN-Signal kommt, könnte ich über airodump feststellen wer das ist oder was gibt es für Möglichkeiten?

Dir ist aber schon klar wie viele Daten da zusammen kommen, daraus etwas heraus zu kristallisieren das man zweifelsfrei als 'nicht seines' erkennt ist mehr Glück als können. Viel Erfolg und vor allem Durchhaltevermögen damit wünsche ich Dir.

Linuxhase

0

Sofern der Fake AP richtig implementiert wurde wirst du ihn nicht vom originalen WLAN unterscheiden können.

Grundsätzlich zeigen alle WLAN-Clients die WLAN-Netzwerke nach Name an. Mehrere APs mit dem gleichen Namen sind erstmal nichts unnormales, gerade in Firmen mit mehreren WLAN-APs. Rein theoretisch kannst du einen solchen Fake-AP also mit Tools wie InSSIDer oder WifiAnalyzer unter Android erkennen, dich davor schützen kannst du mittels eine Beschränkung durch eine MAC-Liste der "bekannten APs" aber nicht. Der NetworkManager bietet zwar eine solche Funktion zwar an, Android, Windows und Konsorten allerdings nicht.

Der einzige Schutz vor sowas liegt in einem starken Passwort (PSK), da dies nicht nur von seiten des Routers als Zugangsprüfung dient, sondern auch dir zur Identifikation des AccessPoints, da nur deine APs das Passwort kennen sollten. Zudem wird damit der Datenverkehr verschlüsselt. Sofern nun jemand das Passwort kennt (oder das Netzwerk keines hat) braucht man so gesehen schon keinen Fake-AP mehr um die Verbindungen mitzubelauschen. Ein Fake-AP wird dann nur gebraucht, wenn du aktiv mitmischen willst, und dies durch z.B. eine ARP-Spoofing-Attacke nicht funktioniert.

Was möchtest Du wissen?