Unauthorisierte WLAN-Verbindung wirksam kappen

[katzenfan]

Diese Frage im Titel basiert auf nachstehendem Thema:

Mikrofon über Wlan in Linux anbinden
viewtopic.php?f=27&t=181142

Wie läßt sich eine derartig fabrizierte Verbindung feststellen und wirksam unterbinden, wenn sie auf nicht authorisierte Weise entstanden ist?

[MSfree]

Wie läßt sich eine derartig fabrizierte Verbindung feststellen und wirksam unterbinden, wenn sie auf nicht authorisierte Weise entstanden ist?

LoL, eine fragt, wie es gehen könnte, und schon kommt ein Paranoiker, der meint, das unbedingt verhindern zu müssen.

Wie soll denn die nicht authorisierte Verbindung zustande kommen? Zumindest über WPAx (x>=2) sollte das doch gar nicht erst möglich sein.

@feltel, ich hätte gern ein Aluhut-Icon in der Emoticonauswahl.

[eggy]

[eggy]

@katzenfan: Was meinst Du mit unauthorisiert?

[willy4711]

[reox]

zB Mit diesen Tools das Netzwerk scannen: netdiscover nmap
Kann natürlich sein, dass das Gerät zum Zeitpunkt nicht aktiv ist...
Auf allen Rechnern die ARP Tabellen anschauen - insbesondere am Router.
Am Router die DHCP Lease tabelle ansehen.
ggf mit tcpdump am Router über einen längeren Zeitraum Pakete mitschneiden und schauen ob ein gerät / komischer traffic daherkommt.

Wenn ein Gerät gefunden wird was nicht dahin gehört muss man sowieso alles als kompromitiert ansehen. Daher: Alle Passwörter ändern, Datenträger die unverschlüsselt und ohne authorisierung am Netz gehangen sind (NAS, ...) kann man als kompromitiert ansehen - geräte die darauf zugeriffen haben vermutlich auch...
Die Frage ist dann ob man herausfinden kann wann das Gerät den Zugriff erlangt hat. Sicher ist dann nur alle Geräte mit Backups von vor dieser Zeit zurücksetzen oder zumindest die Datensätze vergleichen, um zu schauen ob da irgendwo was auffällt.
Die Firmware von Geräten im Netz kann natürlich auch noch verändert worden sein......
Wenn sich der APT im Netz schon gut verankert hat, kann er ggf auch neue Passwörter herausfinden (zB durch eine Backdoor im Router)

dH also im Worst case: Alles neu machen (und diesmal so, dass kein WLAN Mikrofon sich einbinden kann....)

[katzenfan]

Was meinst Du mit unauthorisiert?

Diese Rückfrage versteh ich nicht ganz.

"Nicht-authorisiert" ist alles, was der, der vor seinem PC sitzt, an eingehenden wie ausgehenden oder sonst wie mitlesenden Verbindungen nicht explizit zugelassen hat. Und WLAN ist ja nunmal keine Verbindung via Leitung.

Beim Arbeitgeber wurde letztens erst die Software gehackt; mit Alu-Hut hat das also nix zu tun.

[B52]

Wie läßt sich eine derartig fabrizierte Verbindung feststellen und wirksam unterbinden (...)

Passwortphrase ändern und die Gelegenheit nutzen, eine kreative SSID zu erstellen.

[eggy]

@katzenfan: (ignorieren wir mal, dass das technisch nicht trivial ist, aber) falls jemand die Funksignale von Deinem Wlan aufzeichnet (und in der Lage wäre, sie richtig zusammenzusetzen und zu entschlüsseln), kannst Du garnichts machen. Das ist wie wenn Du jemandem auf der anderem Straßenseite zurufst, dass das Essen fertig ist. Solange jemand gute Ohren hat, wird das kein Geheimnis bleiben. Einzig sinnvolle Lösung, wenn man den aktuellen Drahtlosprokotollen und dessen Haltbarkeit nicht traut: grundsätzlich Nichts ohne Tunnel im Netz haben, Traffic via OpenVPN etc. absichern.
Wahrscheinlicher als Lauschen und Entschlüsseln ist aber, dass nen veraltetes WiFi Protokoll benutzt wird, eins bei dem bekannte Sicherheitslücken klaffen (WEP/WPA etc). Dann ist Umstellen auf was Aktuelles dringend angeraten. Oder es sind Auswirkungen menschlicher Unvollkommenheit wie "Passphrase vom WLAN für Gäste gut lesbar an Pinwand oder Kühlschrank gehängt", direkt in bester Sichtlinie von der Terrasse gegenüber. PW ändern und beim nächsten Versuch keine von außen lesbaren Plakate aufhängen.
Aber falls Du jetzt darauf wartest, dass jemand sagt "schalt doch den Mac-Filter im AP ein": das macht's dem Angreifer maximal einen Klick schwerer, Helfen tuts aber nicht. Und dem von reox solltest Du noch hinzufügen: wenn Dein Angreifer jedoch nur mitliest, dann bekommst Du davon garantiert Nichts mit.

[reox]

wenn Dein Angreifer jedoch nur mitliest, dann bekommst Du davon garantiert Nichts mit.

Das stimmt - wenn er die Passphrase kennt, kann er den traffic einfach (verschlüsselt) aufzeichnen und nacher zB in wireshark dekodieren.
Wenn ich das richtig weiß kann WPA3 PFS - damit wäre das auch nicht mehr möglich.

Ich dachte eher der Angriffsfall ist, ein Mikrofon das WLAN fähig ist hängt wohlmöglich im Netz und schleußt die Daten über den eigenen Router aus. Da muss man aber auch aufpassen wo man nach dem Gerät sucht - zB könnte jemand den Traffic über DNS spielen oder ICMP verwenden. Sowas fällt ggf gar nicht so schnell in einem mitschnitt auf...

[MSfree]

Ich dachte eher der Angriffsfall ist, ein Mikrofon das WLAN fähig ist hängt wohlmöglich im Netz und schleußt die Daten über den eigenen Router aus. Da muss man aber auch aufpassen wo man nach dem Gerät sucht - zB könnte jemand den Traffic über DNS spielen oder ICMP verwenden. Sowas fällt ggf gar nicht so schnell in einem mitschnitt auf...

Was hat das mit WLAN zu tun? Rausschleusen kann man Daten über jedes beliebige Netz. Wenn ich ein IoT-Gerät übernhemen kann, ist es also egal, ob das drahtlos oder kabelgebunden passiert. Solange diese Internet-of-Shitty-Things-Geräte am Netz hängen und angreifbare Software haben, bist du verloren, sobald sie über eine IP-Adresse ansprechbar sind.

[reox]

Was hat das mit WLAN zu tun?

Ich dachte nur es geht da im Mikrofone die im WLAN sind - oder welchen Zweck hätte der "unauthorisierte Zugriff" ins WLAN sonst?
Das WLAN wird in dem Fall zum versenden der aufgenommenen Audiospur verwendet - oder ich versteh die initiale Frage des OP nicht

[MSfree]

Ich dachte nur es geht da im Mikrofone die im WLAN sind - oder welchen Zweck hätte der "unauthorisierte Zugriff" ins WLAN sonst?

Und wie soll so ein Mikrophon ohne Autorisierung seinen Weg ins WLAN finden? Wenn es im WLAN hängt, ist es autorisiert worden, sprich, der WLAN-Schlüssel ist dem Mikrobekannt.