Netzwerk Safe?

[BuggiOS]

Hey Leute...

stehe mal wieder total auf dem Schlauch. Ich muss unser Netzwerk zu Hause absichern.

Zum Aufbau

Keller

Modemrouter Speedport W701V DHCP an
Port 1 Keller -> 16 Dlink Switch -> Home Server und 8 weitere Server
Port 2 Erdgeschoss -> 1x Laptop kabel 1x Laptop WLan 1x Netgear WLan Access Point
Port 3 1. Etage -> Netgear Switch -> Netgear WLan Access Point 1x MacBook Pro WLan, PS3 Kabel, Dreambox 7025 Kabel, Yamaha Reciever Kabel
Port 4 1. Etage -> Netgaer Switch -> Netzwerkdrucker Brother, Spiele PC, Office PC

Irgendwo kommt da jemand ins Netzwerk. Ich sehe auf dem Speedport Einträge, die von keinem unserer Rechner stammen.

Wir mache ich so ein Netzwerk safe?

[Killerpixel]

WLAN-Verschlüsselung auf WPA2, wenns der AP nich kann -> weg damit.

Wozu zur Hölle braucht man ZUHAUSE 9 Server? oO

[BuggiOS]

WPA2 ist aktiviert. Das ist ja das blöde. Passwörter sind lang genug und komplex.

Home Server für Multimedia
2 Backup Server
1 eMail Server
3 Server für Anwendungen und Datenbanken
2 Server für VM´s

[Raffnix]

Wer kennt denn die Passwörter? Vor allem den PSK?
Wenn mehrere User, dann nacheinander mit zeitlichem Abstand die Passwörter wieder publik machen und dazwischen die nicht gewünschten Zugriffe beobachten.
Muss ja nicht sein, dass jemand das/die Passwort/e freiwillig weitergibt. Evtl. ist irgendwo ein Keylogger installiert worden oder Trojaner oder ähnlich.

[BuggiOS]

Passwörter kenne nur ich. Keylogger oder Trojaner dürften eigentlich nicht da sein. Auf jeden System Bitdefender mit stündlichen Updates und ein "vernünftiges" Surfverhalten


Es haben insgesamt 4 Leute ( mich eingeschlossen ) Zugang zum Netzwerk.
Passwörter sind nur mit bekannt. Aber werde das mal ausprobieren

[Raffnix]

Oh, ich sehe grade, dass in meinem Beitrag etwas elementares fehlt:
Die Passwörter ändern und dann wieder publik machen.
Aber ich sehe schon, dass Du mich auch so verstanden hast.
Einen Keylogger schreibt Dir jeder jeder ordentliche Porgrammierer, den kein Virenscanner findet.

[RUN]

was für einträge sieht du denn im log?
vielleicht hat sich z.b. nur jemand eine vm installiert, und schon hast du einen neuen client im netz.

[BuggiOS]

Informationen über alle aktuell durch DHCP mit dem Gateway verbundenen Rechner:
mac=00:19:C5:94:25:66 ip=192.168.2.23 name=
mac=00:80:77:83:49:53 ip=192.168.2.28 name=
mac=45:3B:13:0D:89:0A ip=192.168.2.33 name=detective-
mac=00:18:4D:E0:0D:6A ip=192.168.2.40 name=
mac=00:01:4A2:C0:26 ip=192.168.2.50 name=
mac=00:23F:4A:C5:0F ip=192.168.2.55 name=
mac=00:0C:76:84:70:79 ip=192.168.2.57 name=papa-1f030c0ff7
mac=00:14:6C:E5:3A:E2 ip=192.168.2.59 name=
mac=00:25:47:82:9E:78 ip=192.168.2.62 name=
mac=32:F6:9E:7D:49C ip=192.168.2.69 name=detective-
mac=A1:22:F6:22:91:9D ip=192.168.2.70 name=detective-
mac=7E:C5:995:E9:80 ip=192.168.2.71 name=detective-
mac=8E:66:83:EF:57:49 ip=192.168.2.72 name=detective-
mac=1D:F0:84:4F:4A:77 ip=192.168.2.73 name=detective-
mac=F454:9F4:A4 ip=192.168.2.74 name=detective-
mac=8F:75:E69:1D:2A ip=192.168.2.75 name=detective-
mac=8D:BE:7B:05:15:07 ip=192.168.2.76 name=detective-
mac=69:15:F8:46:6A:04 ip=192.168.2.77 name=detective-
mac=68:76:FA:16:BB:11 ip=192.168.2.78 name=detective-
mac=00:00:00:00:00:00 ip=192.168.2.79 name=
mac=00:23:6C:8F:34:4A ip=192.168.2.103 name=bie

So, dass sind die Geräte die ich nicht zuordnen kann.

Selbst die VM´s haben eindeutige Namen.

Mich wundert es auch, dass bei detective- die MAC Adresse dauernd wechslet. Wie ist sowas möglich? Ich dachte es wäre eine eindeutige Signatur!?!

Kann es sein, dass man so auch von außen eindringen kann?

Gibt es eine Möglichkeit, das Netzwerk wirklich sicher zu machen? Auch von außen?

z.B. jedem Rechner eine eigene IP zu geben und einem völlig anderem Netz? Also die Standart Sachen verschwinden lassen. Nicht mehr 192.168..... sondern z.B. 785.312.47... und den DHCP Server ausschalten?

[swatcher1]

Zitat:

Zitat von BuggiOS

z.B. jedem Rechner eine eigene IP zu geben und einem völlig anderem Netz? Also die Standart Sachen verschwinden lassen. Nicht mehr 192.168..... sondern z.B. 785.312.47... und den DHCP Server ausschalten?

Sag mal... wer hat Euch das Netzwerk denn eingerichtet...? Du ja vermutlich nicht wie ich der Rückfrage einfach mal entnehme...?

Einfach denjenigen mal fragen bzgl Sicherheit wäre ggf auch eine _zusätzliche_ Option.

greetz

[Raffnix]

DHCP zu deaktivieren wäre eine Option. Aber mit ein paar Versuchen kann man der IP Klasse auch so auf die Schliche kommen. Es sei denn, Du subnettest, aber das glaube ich in diesem Fall nicht.
Wichtiger ist der MAC Adressenfilter. Den gibt es bei so gut wie jedem Router.
Dort werden die MAC Adressen eingetragen, die dürfen. Alle anderen dürfen nicht.
Hast Du den aktiviert?

[BuggiOS]

Da war ne Firma hier. Die hat uns aber ziemlich "über den Tisch gezogen" was den Endpreis anging, deßhalb kommen die nicht mehr zum Einsatz.

Habe die Access Points gerade alle neu aufgesetzt. MAC Filterung ist an und die Adressen eingetragen. 63 Zeichen lange willkürliche Passwörter und SSID versteckt. Jetzt muss ich nur noch den Weg von außen zu kriegen

----------

Zitat:

Zitat von Raffnix

DHCP zu deaktivieren wäre eine Option. Aber mit ein paar Versuchen kann man der IP Klasse auch so auf die Schliche kommen. Es sei denn, Du subnettest, aber das glaube ich in diesem Fall nicht.
Wichtiger ist der MAC Adressenfilter. Den gibt es bei so gut wie jedem Router.
Dort werden die MAC Adressen eingetragen, die dürfen. Alle anderen dürfen nicht.
Hast Du den aktiviert?

Den MAC Adressenfilter im Router gibt es nur für Wlan und da das Ding im Keller steht und kein Signal aus dem Keller kommt, ist Wlan am Router aus. Eine Mac Filterung fürs Lan hat das Ding anscheinend nicht.

[Raffnix]

Firma, soso...
Weg von aussen zu kriegen - Du weisst doch noch gar nicht, ob das Problem wirklich aussen sitzt.

[BuggiOS]

Ich kann mir von Innen keinen Weg mehr vorstellen. Wie gesagt beim Wlan MAC Adressfilter, SSID versteckt und eine willkürliche Kombination gewählt, PW 63 Zeichen lang aus auch willkürlich. In die erste Etage und Erdgeschoss kommt keiner, um sich per Kabel an einen Switch zu hängen. Im Keller ist der große Switch im Serverschrank und der ist abgeschlossen ( nur ich habe einen Schlüssel ). Somit könnte ich mir nur noch einen Weg von außen vorstellen. Auf die Server habe nur ich direkten Zugriff. Bei den Benutzern liegt die Software auf den Rechner und die Verbinden sich dann nur mit den Datenbanken etc.

Ähm ja, ein IT Systemhaus hier aus der Stadt. Keine kleine PC Schrauberhütte um die Ecke. Was ist daran auszusetzen?

MFG

[Mother-Brain]

Zitat:

Zitat von BuggiOS

Ähm ja, ein IT Systemhaus hier aus der Stadt. Keine kleine PC Schrauberhütte um die Ecke. Was ist daran auszusetzen?

MFG

Das weißt du doch jetzt besser als wir!
Ne PC schrauberhütte von neben an, hätte es vielleicht besser hinbekommen xD. Ich sehe aber auch keine möglichkeit sorry.

[BuggiOS]

Da magst du recht haben. Es kotzt mich einfach an, dass wir viel Geld für die Einrichtung bezahlt haben und dann sowas ;-(

[n0abuse]

Hmm. Das mit SSID verstecken kannst du wieder umstellen, wenn derjenige es schon in dein Netz geschafft hat, dann weiß er auch wie er die SSID wieder bekommt.
Eigentlich ist es unmöglich ein WLAN Netzwerk secure zu kriegen.

Empfehlenswert ist..
...Die Router Firmware aktualisieren
...Macadressen Filterung (damit hälst du schon mal die Idi.. aus dem Netz)
...Den SSID namen ändern, auf irgendein HIGHTECH teil - das schreckt schon ab.
(Also wichtiger Tipp: Schreib vor das "Hightech" teil ein "\" manche Programme können da gar nicht drauf)
...Die Sendeleistung herunter regeln - den Router möglichst so positionieren, dass möglichst alle Clienten mit wenig Sendeleistung connecten können, sprich wenn du ein Arbeitszimmer hast wo die Computer meist benutzt werden und ein Wohnzimmer wo die Computer seltener zum Einsatz kommen, den Router relativ nah zu beiden 'auf bauen' um weniger Sendeleistung zu benötigen - spart sogar Strom
...ALLE Geräte, welche sehr viele Pakete aufwerfen per Kabel verbinden -
Ein 'Hacker' braucht bei einem langem Passwort zwar viele Pakete um dein Netzpasswort zu entschlüsseln, nur wenn ein Server verbunden ist, der 24/7 läuft und dauernd was im Netz macht, also Download/Uploaden wo es nur geht dann hat der 'Hacker' leichtes Spiel und hat innerhalb von relativ kurzer Zeit 10-20 Mio Pakete und dein Passwort kann dann noch so lang sein.

Mehr weis ich gerade nicht^.^

[DaKarl]

Zitat:

Zitat von n0abuse

Ein 'Hacker' braucht bei einem langem Passwort zwar viele Pakete um dein Netzpasswort zu entschlüsseln, nur wenn ein Server verbunden ist, der 24/7 läuft und dauernd was im Netz macht, also Download/Uploaden wo es nur geht dann hat der 'Hacker' leichtes Spiel und hat innerhalb von relativ kurzer Zeit 10-20 Mio Pakete und dein Passwort kann dann noch so lang sein.

Nee, das trifft nur auf das olle WEP zu.
Er verwendet aber WPA2 und da nützt es absolut nichts Datenpakete abzuhören. Somit ist es da völlig egal wieviel Datenverkehr im WLAN herrscht.

[Raffnix]

Zitat:

Zitat von DaKarl

Nee, das trifft nur auf das olle WEP zu.
Er verwendet aber WPA2 und da nützt es absolut nichts Datenpakete abzuhören. Somit ist es da völlig egal wieviel Datenverkehr im WLAN herrscht.

Sehe ich genauso. Zumal er auch erstmal die Rechenleistung für das Knacken des Dumps haben muss. Und bei 63 willkürlichen Zeichen...

[n0abuse]

Auch WPA/WPA2 kann man 'abhören' und so entschlüsseln!

WEP wird so ab 1 Mio+ Pakete versucht zu entschlüsseln.

[DaKarl]

Zitat:

Zitat von n0abuse

Auch WPA/WPA2 kann man 'abhören' und so entschlüsseln!

Ja klar, aber nur mit brute force. Und dazu reicht ja auch schon ein einzelnes Paket, man braucht keine Millionen dazu.
Aber einen so langen Schlüssel mit brute force zu knacken ist ja sowieso völlig utopisch.

[swatcher1]

"Rainbow-Tables" sagen Euch nichts, hab ich recht...?

However, 100%ige Sicherheit gibt es nicht und ich denke, dass es für die Einträge durchaus plausible Erklärungen gibt die hier im Topic soweit schon genannt wurde.

greetz

[n0abuse]

Geht schon in die richtige Richtung, aber naja muss man ja nicht weiter drauf eingehen, meine Tipps finde ich schon recht hilfreich versuch sie und dann solltest du schon weniger Probleme haben.

[Raffnix]

Zitat:

Zitat von swatcher1

"Rainbow-Tables" sagen Euch nichts, hab ich recht...? ...

Theorie.
Wo wurde bestätigt, dass mit diesen Methoden erfolgreich ein WPA2 WLAN gecracked wurde?

[n0abuse]

Hier wirds gezeigt wie es geht, es gibt noch eine andere Methode die definitiv zeitintensiver ist (kommt auf den Datenverkehr an und den verbunden Clienten)

YouTube - crack wpa2 easily with crack-wpa.fr

aber mit der Zeit intensiveren kann man auch weitaus längere Dinger knacken.

[poloniumium]

vergiss aber bitte nie zeit und aufwand in ein verhältnis zu setzen!
nur weil man schon xy pakete mitschneiden konnte und man dadurch den kreis der gesuchten passwörter einschränkt, gibt es immer noch einige paar mehr, als eine kleine cpu in 2-3tagen berechnen mag.
50zeichen! lass es 40möglichkeiten pro stelle sein... 50^40=9,094947017729282379150390625e+67
ob da jedes sample auf youtube echt ist, wage ich auch zu bezweifeln. das sieht schon schön aus, wenn man ne wordlist mit 20.000 einträgen durchlaufen lässt und dann sagt, man habe es geknackt und das funktioniert überall so wunderbar.

ferner solten sich moderne wlanempfänger schon mal wundern, wenn da mehr als 500verbindungsversuche pro sekunde eingehen...
whitelist mac-filter wurde auch schon gesetzt, also kann man nur verwende aber inaktive macs nutzen, aber auch nicht zu oft, sonst wundert sich der acesspoint...
leichter wirds dadurch nicht!