Ungebetener Mitsurfer

[Macholino]

Ich habe eine schweineteure DSL-Verbindung und einen Mitsurfer. Den bekomme ich sicher nicht identifiziert, aber ich will ihn sicher rauswerfen und hoffe auf Eure Hilfe.

Meine Konfiguration: Am DSL-Modem hängt verkabelt die Airport Extreme. Meine IP ist fix. Von der Airport Extreme geht ein Kabel in den Switch, an dem auch mein Mac hängt, und zwar mit deaktiviertem Airport (also auch verkabelt).

Das Heimnetzwerk hat seit heute ein Passwort von mehr als 25 Zeichen. Es streamt an eine Airport Express im Standard „n - b/g kompatibel“. Die Express ist an der Anlage, so dass ich Internet-Radio eine Etage tiefer auf der Anlage empfange. Ansonsten hängt an beiden Airports je eine VoIP-Telefon.

Mein Traffic ist enorm, ich habe einen Mitsurfer, 1GB pro Tag, dabei bin ich kaum zuhause. Wie kann ich mit Bordmitteln eine tägliche Übersicht des verursachten Traffics bekommen, aufgeschlüsselt nach Mac-Adressen? Welche Schutzmaßnahmen kann ich noch ergreifen?

Um den Traffic zu beobachten, habe ich die Airport Express unten deaktiviert. Der Mac geht verkabelt ins Internet.

Grüße aus Moskau (aus einem geschützten Bereich heraus. Der Mitsurfer ist zu 80% ein Kollege)

 

[Seddi]

Also, ich hab leider bisher keine Erfahrung mit den Apple Produkten im Bereich Netzwerktechnologie, jedoch arbeite ich geschäftliche hauptsächlich mit Cisco-Produkten und kann dir deshalb ein paar allgemeine Tipps zwecks Sicherheit geben.

1. WPA oder WPA2-Verschlüsselung über einen Pre-shared Key.
2. MAC-Adressfilter aktivieren und nur deine aktiven Geräte in die Tabelle eintragen.
3. Deinen Access-Point bei Abwesenheit per Kippschalter vom Strom nehmen.

Wenn du alle Möglichkeiten ausschöpfst, brauchst du dir keine Gedanken mehr über ungebetene Gäste machen. Der MAC-Filter alleine sollte aber keine Lösung darstellen, da die MAC-Adresse sehr schnell manipuliert werden kann.

 

[kinglui]

Hallo,

wie kommst Du denn zu der Annahme, dass ein Dritter den DSL-Anschluss nutzt? Nur über den verbrauchten Traffic oder hast Du ein Log-File mit unbekannter MAc-Adresse?

Du schreibst, dass Du Internetradio und voice-over-IP nutzt. Das sind schonmal zwei Quellen für konstanten Traffic. Voice-Over-IP dürfte kaum ins Gewicht fallen, doch bei Internetradio kann schnell den Traffic erhöhen. 192kbit/s für 3h sind schon 260MB.
Ich weiß ja nicht wie Dein Streaming-Client eingestellt ist bzw. womit du Internet-Radio empfängst, doch wenn der Stream auch bei ausgeschalteter Stereo-Anlage läuft verursacht dieser auch Traffic.

Evt. liegt die Ursache ja an etwas viel einfacherem.

 

[crossinger]

Voice-Over-IP dürfte kaum ins Gewicht fallen

Skype z.B. (ja, ich weiß: kein "richtiges" VoIP) benutzt doch den Rechner als P2P Knoten (soweit ich weiß)... kann es ggf. daran liegen?

*J*

 

[Vanilla-Gorilla]

Noch ein Tipp:

WPA2 Verschlüsselung aktivieren, Mac-Addressfilterung ein und die SSID verschleiern (gegebenenfalls zusätzlich Umbenennen).

Vanilla-Gorilla

 

[Macholino]

Ich weiß ja nicht wie Dein Streaming-Client eingestellt ist bzw. womit du Internet-Radio empfängst, doch wenn der Stream auch bei ausgeschalteter Stereo-Anlage läuft verursacht dieser auch Traffic.

Evt. liegt die Ursache ja an etwas viel einfacherem.

Radio über iTunes läuft nur, wenn ich es auch höre. Habe ich genug, schalte ich einfach aus.
Das Netz ist mit einem persönlichen WPA2 gesichert.
Seit der Passwortänderung scheint alles plötzlich in Ordnung, der Traffic hält sich im Rahmen. Mal sehen, wie lange noch, denn eben habe ich auch die AirportExpress wieder als Nebenstation in Betrieb genommen.

 

[Calanda]

Hm, ich war bisher der Meinung, dass WPA2 ziemlich sicher sein soll, oder hab ich mich da geirrt?

 

[Beinhorn]

Hast Du den Airport Express ebenfalls per WPA verschlüsselt?

 

[Macholino]

Hast Du den Airport Express ebenfalls per WPA verschlüsselt?

Das Netz ist als WDS konzipiert. Die Express greift das Signal der Extreme ab und erweitert es, muss also den WPA2-Schlüssel von der Extreme nutzen.

 

[Beinhorn]

Mit dem Express ins Internet

Das schon. Aber wenn Express ungeschützt ist, braucht sich ein Externer nur dort einzuloggen und kann mitsurfen. Oder sehe ich das falsch?

 

[robertmk]

also hoher Traffic bedeutet noch lange nicht, dass du einen Mitsurfer hast!

Wo liest du den Traffic bei dir ab? Am DSL Modem?

 

[Macholino]

Das schon. Aber wenn Express ungeschützt ist, braucht sich ein Externer nur dort einzuloggen und kann mitsurfen. Oder sehe ich das falsch?

Beide Airports sind natürlich passwortgeschützt. Ohne Passwort könntest Du die Aiport konfigurieren, kommst aber nicht zwangsläufig in mein Netz, da das Netzkennwort dort mit Sternchen ausgefüllt ist.

Wo liest du den Traffic bei dir ab? Am DSL Modem?

In meinem Mailprogramm :-D. Ich bekomme die Daten von meinem Provider, allerdings nicht so ausführlich, wie ich es gerne hätte.

 

[sonam]

Also, aus meiner Sicht hast du dein mögliches getan um alles sicher zu machen, ohne dauernd die AccessPoints vom Strom nehmen zu müssen wenn du nicht da bist.

Vielleicht hat sich ja wirklich jemand den Sport gemacht und hat dein WLAN-Passwort geknackt gehabt. Halte ich zwar für unwahrscheinlich, denn es ist mit normalen PCs doch erheblicher Aufwand ein WPA2 WLAN zu knacken.

Wie bereits weiter oben schon gesagt:
- WPA2-PSK verwenden
- MAC-Adressfilter (also Whitelist...nur die freigegebenen Mac dürfen ins Netz)
- SSID verschleiern (falls deine WLAN-Clients dann nicht Probleme machen)
- unscheinbare SSID verwenden (sollte nicht sofort klar sein, wem das Netz gehört)

Die Accesspoints bei Abwesenheit vom Strom zu nehmen empfinde ich persönlich als übertrieben, aber muss sich jeder selbst überlegen.

Letztlich gibt es keine absolute Sicherheit bei WLAN, es hängt immer davon ab, wieviel Aufwand der "Angreifer" investieren will. Irgendwann kommt man immer rein. Spätestens wenn man per Brute-Force-Attacke den Key gefunden hat

 

[Smooky]

Ich würde da mal ins Protokoll der Airport Express und Extreme gucken, da kannst du die MAC-Adressen anschauen und mit den angeschlossenen Geräten/PC vergleichen.

 

[PsychoApfel]

lass mal die SSID

Hi

WPA2 mit langem und "zufälligem" Passwort ist nach Stand der Technik sicher. Ein Mac Filter bringt nicht viel, die MAC-Adresse kann man ändern. Die SSID auszuschalten bringt aber unter Umständen mehr Nach- als Vorteile und wenn der Typ dein Passwort hacken konnte wird ihn dass nicht interssieren. Ausserdem ist es lässtig

Wenn Du aktiv was machen willst schau dich mal nach einem Netzwerkscanner wie NMap um. Damit kannst Du alle Rechner im Netz finden und siehst sofort wenn da ein Fremder ist.
Etwas mehr Aufwand wäre dann mit Wireshark die Daten mitzulesen, damit kriegst Du dann aber wirklich alles mit was übers Netz geht. (Und wenn der Eindringling nicht sehr Vorsichtig ist und z.B. seine Emails unverschlüsselt abruft kriegst Du auch raus wer das ist)

Falls dich das Thema weiter interssiert, Stichworte: Aircrack, Honeypot, Deautentication

Gruss

PsychoApfel

 

[Macholino]

PsychoApfels Beitrag gefällt mir gut. Das ist ein Ansatzpunkt.

 

[Smooky]

Jup, schliess ich mich an.

 

[mag]

"WPA2 Verschlüsselung aktivieren" Ja! Lange Passphrase benutzen.
"Mac-Addressfilterung ein und die SSID verschleiern" Überflüssig! Damit macht man sich nur selbst das Leben schwer.

 

[tjp]

In meinem Mailprogramm :-D. Ich bekomme die Daten von meinem Provider, allerdings nicht so ausführlich, wie ich es gerne hätte.

Hub, Switch mit Monitor Port besorgen oder Dein Switch mit MAC-Flooding in den Hub Modus zwingen, und dann mittels WireShark den Netzwerkverkehr sniffen. Aber vermutlich hast Du ihn eh schon vergrault.