Sicherheit im Netzwerk/ Prävention

Es gibt 8 Antworten in diesem Thema, welches 1.631 mal aufgerufen wurde. Der letzte Beitrag () ist von .-..

    Hay Leute :smiling_face:


    Hiermit melde ich mich mit meinem ersten Beitrag. Folgendes:

    Vor nicht allzulanger Zeit hat sich irgendwas in mein Netzwerk eingeschlichen. Hab dauernd erfolglose Anmeldeversuche gehabt (per WLAN am Router (MAC-Filter an + WPA3)). Ich hab es erst als eins meiner eigenen Geräte abgetan. Aber das hat sich irgendwann nicht mehr mit meinem Nutzungsmuster meiner Geräte gedeckt. Also hab ich die Augen offen gehalten und wirklich jemanden gesehen der sich sehr ... SEHR verdächtig verhalten hat. Egal, genug davon. In meinem DNS Server habe ich die MAC ausfindig machen können und es wurden schon 3k querys an den DNS-Server gesendet. Was komisch ist, denn es wurde keine IP-Adresse an diese MAC vergeben.


    So weit so seltsam. Dann sind mir noch weitere seltsame Dinge aufgefallen und ich hab einfach alles Platt gemacht. Aber jetzt fühl ich mich nicht mehr sicher und ich frage mich ob es Geräte gibt, die das Netzwerk auf verdächtige Aktivitäten scannt und mich dann benachrichtigt? Muss von mir aus nicht aus dem Consumermarket sein, aber es sollte schon einigermaßen bezahlbar sein... Oder gibt es DIY Lösungen? Oder villt sogar einfach einen Router, der das alles übernimmt?

    Ich hoffe echt, ich bekomm ne Antwort .-.


    Naja, schönen Samstag noch :smiling_face:


    LG .-.

    Das Netzwerk abzusichern ist so vielfältig, dass man gar nicht weiß wo man beginnen soll.
    Eins meiner Grundregeln sind Subnetze einsetzen, eins für den Managementkrempel wie in diesem Fall UniFi und Zusatzgeräte, eins für Server wenn man welche hat, sein Internes Netzwerk (Netzwerk nicht WiFi), Gastnetz mit Wifi und sein internes WiFi mit eigenem Netzwerk.
    Eskaliert dann ziemlich in der Firewall, um das ganze zu vernetzen.


    MAC Filter bringen eher wenig was, damit kann man mMn nur Laien gut aus dem Netz halten. MACs sind simpel zu fälschen.


    Mit Anmeldeversuche meinst du dann schon das Controlgerät, nicht in das WiFi selbst?


    Je nachdem wie groß dein Netzwerk ist, solltest du dir die Geräte irgendwie am Schirm halten.


    Zum WiFi: Da wäre RADIUS oder Vouchersystem ganz hilfreich, dann kann einer zwar dein WiFi Passwort haben, aber dann darf er die Welcomeseite bestaunen.


    Wie iTweek schon sagt, 100%ige Sicherheit gibt es nur, wenn das Gerät im Karton liegt :grinning_squinting_face:


    Du kannst dir auch von UniFi Notifications senden lassen, wenn sich etwas im Netzwerk tut. Artet dann aber in harten Spam aus.


    Die Frage ist dann noch, was du exakt schützen willst, darauf baut man dann seine Anforderungen und Lösungen auf.

    Uii, danke für die Antworten :smiling_face:


    Zitat

    Das Netzwerk abzusichern ist so vielfältig, dass man gar nicht weiß wo man beginnen soll.

    Eins meiner Grundregeln sind Subnetze einsetzen, eins für den Managementkrempel wie in diesem Fall UniFi und Zusatzgeräte, eins für Server wenn man welche hat, sein Internes Netzwerk (Netzwerk nicht WiFi), Gastnetz mit Wifi und sein internes WiFi mit eigenem Netzwerk.

    Eskaliert dann ziemlich in der Firewall, um das ganze zu vernetzen.

    Das stimmt. Ich möchte hauptsächlich das Wlan absichern. Es gab anmeldeversuche am Wlan. Nicht auf irgendeiner Weboberfläche... Jedoch tauchte die MAC dann eben in meinem DNS-Server auf. Ich hab eigentlich eben nicht so viel im Netz hängen. Den DNS-Server hab ich noch nicht wieder eingerichtet. Der vertägt sich nicht mit der VPN-Lösung die ich hab, weil ich sonst ein DNS-Leak hab... So beschränkt sich das jetzt eigentlich nur auf Endnutzergeräte, da ich wegen der Sache auch meinen Server vom Netz getrennt habe. Und so traurig es kingt, ein Gastnetzwerk brauche ich auch nicht xD

    Es gab damals so ARP-scanner, die diese angriffe schonmal abgedeckt haben, jedoch beißt sich das mit dem VPN und man bekommt immer falschmeldungen.



    Zitat

    MAC Filter bringen eher wenig was, damit kann man mMn nur Laien gut aus dem Netz halten. MACs sind simpel zu fälschen.

    Ja das stimmt, aber ich hatte die Hoffnung, dass das ein scriptkiddie abhält :face_with_tongue:


    Zitat


    Mit Anmeldeversuche meinst du dann schon das Controlgerät, nicht in das WiFi selbst?

    Ne damit meinte ich das WiFi. Zu den akutzeiten hab ich eben auch Kismet auf nem alten Laptop installiert und mal nach der MAC ausschau gehalten.. Die Mac wurde auch nicht geändert oder sonstiges und war auch nicht gewhitelistet. In diesem Fall wäre es interessant ein Gerät zu haben, welches alle Geräte die versuchen sich ins WiFi anzumelden überprüft und ggf deauth Pakete sendet oder etwas in der Art und dann alarm schlägt. Ach man. Das hat mich jetzt so paranoid gemacht. Ich mein: Warum? Villt als challange weils WPA3 war? idk. Und woher haben die mein PW? Eig sollte das ewig dauern das zu berechnen. Und ich glaube auch nicht dass das iwo in ner Passwortliste steht... Aber es wurde ja auch keine IP-Adresse zugewiesen.. Aber es wurden ja eindeutig querys an den DNS-Server gesendet... So viele abers. Kannst du dir das erklären?

    Das mit dem Vouchersystem klingt ganz interessant. Können die Geräte dann auch noch untereinander kommunizieren?

    Ah wegen den Subnetzen: Meinst du vLAN oder ist das ein anderes subnetz? Kenne mich da noch nicht so aus.


    EDIT:

    Wär halt cool wenn es sowas wie crowdsec für WiFi's geben würde. Klar kann man das auch alles spoofen, aber ein paar Metadaten kann man ja schon auch im zusammenhang mit Wifi veararbeiten. z.B. die BSSID. Oder man sagt einfach, wenn die Signalstärke geringer als -xx dB ist, wirds nicht zugelassen oder so.. Aber sowas gibt es (glaube ich) nicht bzw ich weiß auch langsam nicht mehr was ich suchen muss.



    LG .-.

    Einmal editiert, zuletzt von .-. ()

    Also, wenn ich das jetzt nicht komplett falsch verstanden habe, dann bist du über das Klopfen an deiner Gartentür nervös.

    Das könnte vielleicht nerven, aber im technischen Sinne hörst du nicht einmal das.


    Du wirst nie ungewollte Anfragen verhindern können.
    Das was an einer Firewall mit Servern dahinter abgeht möchtest du dir nicht ausmalen. Da versuchen (als Beispiel) bösartige Systeme deinen Mailserver zu überreden, Mails an fremde zuzustellen (technisch ein open Relay). Die Logs sind voll davon und zählt einfach als Hintergrundrauschen eines Systems.


    Solange keiner das Kennwort zu deinem WiFi erfolgreich eingibt, wird außer der MAC (die eben zwingend notwendig ist zur Kommunikation) nichts bei dir in den Logs einschlagen. Sollte eine IP dabei erscheinen, ist eine aktive Netzwerkverbindung aufgebaut worden, welche man mit der Hotspot-Welcomesseite immer noch eingesperrt werden kann. Da wäre es aber dann schon interessant, wie der Außenstehende an dein Kennwort kam.


    Solange es nicht AFFE123 lautet, bist du in meinen Augen safe genug.

    Ja da hast du recht, deshalb hab ich auch großen Respekt vor den ganzen Systemadmins etc. Ich hab dann halt versucht mich mit falschen Daten anzumelden und da kam dann kein DNS-Eintrag. Ich vermute das könnte eine MITM attacke gewesen sein. Allerdings hab ich das jetzt auch nicht nachgestellt, deshalb weiß ich nicht genau wie das dann in den logs aussieht. Es ist halt auch nicht für alles in meinem Netzwerk TSL verfügbar und das hat mich dann halt verunsichert. Das kann man ändern, ist aber eine Snakeoil lösung weil keine Domain vorhanden ist, aber jaaa ich weiß doch auch nicht.


    Kann man die Hotspot-Welcomeseite nicht auch mit MAC-spoofing umgehen? Wenn nicht, können dann die Geräte noch untereinander kommunizieren?


    Das pw war vorher eig schon sicher, aber jetzt ist es halt die maximale Sicherheitsstufe :face_with_tongue:


    LG

    Si, die Hotspotseite ist wie der Macfilter im Switch.

    Da wäre dann Radius eine bessere Alternative.