xDSL.at

[Retro]

Hallo Leute !

Ich habe vor ca. 1 Monat bei einem Bekannten ein WLAN in Betrieb genommen mit einem WLAN Router WGT624 von Netgear.

Das WLAN ist mit WPA-PSK verschlüsselt, die Zugriffskontrolle über die MAC Adresse ist aktiviert und der SSID Broadcast ist abgeschalten.

Zum Glück prüft dieser Bekannte sein Download Volumen bei seinem Provider regelmäßig, denn trotz dieser Sicherheitsvorkehrungen schmarotzt hier jemand im WLAN mit. Das konnte eindeutig festgestellt werden, denn es fielen ca. 100 - 150 MB Downloadvolumen an an einem Tag, an dem dieser Bekannte überhaupt nicht zu Hause war (Router und ADSL Modem ließ er aber an). Ich habe dann die Verschlüsselung auf WEP zurückgestellt (Verzweiflungsaktion), aber gleich am nächsten Tag ohne Aktivitäten von ihm wurden wieder 100 MB runtergeladen.

Nun haben wir das WLAN abgeschalten und seitdem ist nun Ruhe.

Hat jemand schon ähnliche Erfahrung mit WPA gemacht, oder hat vielleicht der Netgear WGT624 Router eine besondere Schwachstelle ? Ich bin jetzt jedenfalls erschüttert, denn auf WPA habe ich bisher eigentlich vertraut.

Wenn in Zukunft bei jemandem ein Netzwerk aufzuziehen ist, werde ich aber wieder meine Bohrmaschine mitnehmen, denn zu einem WLAN werde ich jedem abraten.

[adsl]

Ich habe dann die Verschlüsselung auf WEP zurückgestellt (Verzweiflungsaktion), aber gleich am nächsten Tag ohne Aktivitäten von ihm wurden wieder 100 MB runtergeladen.

Ich kann mir schwer vorstellen dass jemand einen WEP Schlüssel an einem Tag knackt. Was sagt die Router Log???

LG

[Dark SoLdIeR]

Ich habe dann die Verschlüsselung auf WEP zurückgestellt (Verzweiflungsaktion), aber gleich am nächsten Tag ohne Aktivitäten von ihm wurden wieder 100 MB runtergeladen.

um einen wep key zu knacken, wären mindestens 1 - 2 Gb gesniffter traffic notwendig, wenn dein bekannter zu der besagten zeit nicht im wlan war, ist es praktisch unmöglich, den key zu entschlüsseln.
Eine weitere möglichkeit wären Wörterbuchattacken auf den key, aber bei gut gewählten, zufällig eingetippten keys wohl auch eine ausschließbare schwachstelle.

ich tippe eher auf irgend nen laufenden pc im lan, vielleicht mit nem filesharing tool oder d.g.

[preiti]

Ich habe dann die Verschlüsselung auf WEP zurückgestellt (Verzweiflungsaktion), aber gleich am nächsten Tag ohne Aktivitäten von ihm wurden wieder 100 MB runtergeladen.

um einen wep key zu knacken, wären mindestens 1 - 2 Gb gesniffter traffic notwendig, wenn dein bekannter zu der besagten zeit nicht im wlan war, ist es praktisch unmöglich, den key zu entschlüsseln.
Eine weitere möglichkeit wären Wörterbuchattacken auf den key, aber bei gut gewählten, zufällig eingetippten keys wohl auch eine ausschließbare schwachstelle.

ich tippe eher auf irgend nen laufenden pc im lan, vielleicht mit nem filesharing tool oder d.g.

Wie ist der Router konfiguriert?
1) Ist eine "Leerlaufzeit" eingestellt, nach der der Router die Verbindung trennen soll?
2) Welche Programme laufen auf PCs, die auch über diesen Router im Netz hängen bzw. Zugang zum Internet haben?
3) Sucht der Router vielleicht für sich selbst nach irgendetwas wie z.B. Updates oder ähnlichem?
4) Hast du UPnP deaktiviert?

[Retro]

Ich habe dann die Verschlüsselung auf WEP zurückgestellt (Verzweiflungsaktion), aber gleich am nächsten Tag ohne Aktivitäten von ihm wurden wieder 100 MB runtergeladen.

um einen wep key zu knacken, wären mindestens 1 - 2 Gb gesniffter traffic notwendig, wenn dein bekannter zu der besagten zeit nicht im wlan war, ist es praktisch unmöglich, den key zu entschlüsseln.
Eine weitere möglichkeit wären Wörterbuchattacken auf den key, aber bei gut gewählten, zufällig eingetippten keys wohl auch eine ausschließbare schwachstelle.

ich tippe eher auf irgend nen laufenden pc im lan, vielleicht mit nem filesharing tool oder d.g.

Wie ist der Router konfiguriert?
1) Ist eine "Leerlaufzeit" eingestellt, nach der der Router die Verbindung trennen soll?
2) Welche Programme laufen auf PCs, die auch über diesen Router im Netz hängen bzw. Zugang zum Internet haben?
3) Sucht der Router vielleicht für sich selbst nach irgendetwas wie z.B. Updates oder ähnlichem?
4) Hast du UPnP deaktiviert?

Wie Dark SoLdIeR schreibt, mir ist es auch unverständlich wie gleich am nächsten Tag nach einer Änderung des Keys wieder ein vermeindlicher Parasit in's Netz kommen soll, ohne lange mitgesnifft zu haben ?

Router Log:
In der Admin Console des Routers habe ich leider keine nützlichen Logs gefunden, die mir dazu etwas sagen könnten.

Rechner im Netzwerk:
Der Punkt, daß ein anderer Rechner im Netz den Traffic durch irgendein Filesharing Tool verursacht, fällt flach. Er besitzt zwei Rechner, einen stationären der über LAN Kabel an dem Router angeschlossen ist, und ein Notebook mit WLAN Verbindung.
Weder der Stationäre noch das Notebook sind Dauerläufer, und vor allem waren beide an den Tagen sicher abgeschalten, an dem die Download Volumen angefallen sind - bis auf Router und ADSL Modem, die sind (waren bisher) dauernd an.

Router Updates:
Das war zuerst auch eine Vermutung von mir, daß der Router nach irgendwelchen Updates sucht. Aber es sind einige Tage in recht kurzen Abständen (2-3 Tage) mit hohem Download Volumen aufgefallen, d.h. daß der Router ständig das gleiche Update runterladet glaub' ich nicht. Oder er hat dauernd Fehlversuche - keine Ahnung ?
Außerdem widerspricht dieser These der Umstand, daß seitdem das WLAN deaktiviert ist diese großen Downloadvolumen ausbleiben, allerdings testen wir das auch erst seit ca. 5 Tagen ?

Leerlaufzeit:
Bei den Versuchen mit WPA-PSK Verschlüsselung war die Leerlaufzeit des Routers auf 0 gestellt, d.h. laut Beschreibung sollte das Werkel andauern online bleiben und bei Verbindungsabbruch selbstständig wieder online gehen.
Nach der Umstellung auf WEB habe ich auch die Leerlaufzeit auf 5 Minuten eingestellt, damit er sich auch wieder mal abhängt.
Aber in beiden Fällen kam es zu den hohen Volumen.

UPnP:
Hmm, ich habe gerade in der Beschreibung nachgelesen, dieses Feature ist defaultmäßig deaktiviert. Ich habe es auch nicht extra eingeschalten, da ich die genaue Funktion dieses Zeugs auch nicht kenne, aber ich muß es bei Gelegenheit mal kontrollieren.
Können dadurch diese 100erte MBs an Download Volumen entstehen, wenn es aktiviert ist ? Aber, wie bei den Router Updates, seitdem WLAN aus ist, gibt's keine hohen Volumen mehr.

Danke euch schon mal !

[PeterPanner]

Eventuell ist es einfach eine Abrechnungsungereimtheit beim ISP?!

Ich würde das zumindest nicht ausschließen. WPA-PSK hat zwar auch Schwachstellen, aber der Aufwand den zu knacken steht in keinem Verhältnis zum gelegentlichen Mitsurfen beim Nachbarn.

[preiti]

Eventuell ist es einfach eine Abrechnungsungereimtheit beim ISP?!

Ich würde das zumindest nicht ausschließen. WPA-PSK hat zwar auch Schwachstellen, aber der Aufwand den zu knacken steht in keinem Verhältnis zum gelegentlichen Mitsurfen beim Nachbarn.

UPnP hat unter Windows Schwachstellen. Vielleicht hat auch UPnP am Router Schwachstellen.
Ich würde auch deinem Provider mal ordentlich auf die Zehen treten und eine exakte Abrechnung, auch mit den angesurften IP-Adresssen, verlangen. Dann kann man ja nachprüfen welche Seiten oder Rechner das gewesen sind.
Es gibt bei den Netgear-Routern eine "Hintertür". Mit einem bestimmten User und Passwort dazu kann man auf den Router hin um bei Probleme die Konfiguration zu überprüfen/verändern/...... . Vielleicht gehört dein Router dazu. Er braucht sich dann nur anzumelden und die WEP- bzw. WPA-Keys auslesen und kann sich dann ohne Spuren am Router zu hinterlassen am WLAN anmelden.
Hast du schon probiert eine MAC-Adressen-Beschränkung am Router für das WLAN einzurichten?

[Retro]

Eventuell ist es einfach eine Abrechnungsungereimtheit beim ISP?!

Ich würde das zumindest nicht ausschließen. WPA-PSK hat zwar auch Schwachstellen, aber der Aufwand den zu knacken steht in keinem Verhältnis zum gelegentlichen Mitsurfen beim Nachbarn.

UPnP hat unter Windows Schwachstellen. Vielleicht hat auch UPnP am Router Schwachstellen.
Ich würde auch deinem Provider mal ordentlich auf die Zehen treten und eine exakte Abrechnung, auch mit den angesurften IP-Adresssen, verlangen. Dann kann man ja nachprüfen welche Seiten oder Rechner das gewesen sind.
Es gibt bei den Netgear-Routern eine "Hintertür". Mit einem bestimmten User und Passwort dazu kann man auf den Router hin um bei Probleme die Konfiguration zu überprüfen/verändern/...... . Vielleicht gehört dein Router dazu. Er braucht sich dann nur anzumelden und die WEP- bzw. WPA-Keys auslesen und kann sich dann ohne Spuren am Router zu hinterlassen am WLAN anmelden.
Hast du schon probiert eine MAC-Adressen-Beschränkung am Router für das WLAN einzurichten?

@preiti
Die MAC Adressenbeschränkung ist übrigens aktiviert, d.h. nur das Notebook ist mit dessen WLAN MAC Adresse eingetragen. Neben aktivierter WPA-PSK Verschlüsselung ist auch das Broadcast der SSID abgeschalten. Diese drei Punkte befolge ich eigentlich immer, wenn ich ein WLAN irgendwo einrichte.

Ich habe auch sofort die Liste mit den für den Zugriff erlaubten MAC Adressen kontrolliert, nachdem mir das mit dem Downloadvolumen mitgeteilt wurde. Aber darin war nach wie vor nur das Notebook eingetragen. Ich dachte auch an eine Schwachstelle im Netgear Router.
Aber das Hintertürl, das Du erwähnt hast, könnte über WLAN ja erst dann jemand benutzen, wenn er zuvor schon WPA geknackt und die einzige erlaubte MAC Adresse für den Zugriff geklont hat, d.h. wenn er das eh schon hat, braucht er nicht mehr am Router nachzusehen.
Und über LAN kann keiner ran, es sei denn er bricht in die Wohnung ein .

Den Provider mal kontaktieren wird vielleicht der aussichtsreichste Punkt sein, allerdings muß ich es gut formulieren, denn eigentlich ist der Anschluß nur für den Einzelplatzzugang erlaubt .

Ohne mich jetzt auf meinen konkreten Fall beziehen zu wollen, will ich jetzt nur mal GANZ NEBENBEI wissen, ob z.Bsp. AON solche Protokolle zur Verfügung stellen kann, von inode, chello etc. will ich's im Moment nicht wissen .

[Retro]

Hallo Leute !

Neuigkeiten bez. Downloadvolumen.

Nachdem nun der Router seit 5 Tagen ohne WLAN läuft ist nun gestern erstmals wieder ein Volumen von über 100 MB angefallen, ohne daß jemand einen Rechner an diesem Tag eingeschalten hätte.

Sieht so aus als ob doch kein Einstein im WLAN mitgenascht hat, sondern das Problem irgendwo beim Router zu suchen ist oder vielleicht doch auch beim Provider. Werde nun mal eine Liste der angesurften Internetadressen verlangen, denn dann sehe ich leichter, was der Router da genau macht.

Wollte nur Entwarnung geben, das WLAN wurde nicht geknackt !

Danke für eure Mithilfe !

[preiti]

Hallo Leute !

Neuigkeiten bez. Downloadvolumen.

Nachdem nun der Router seit 5 Tagen ohne WLAN läuft ist nun gestern erstmals wieder ein Volumen von über 100 MB angefallen, ohne daß jemand einen Rechner an diesem Tag eingeschalten hätte.

Sieht so aus als ob doch kein Einstein im WLAN mitgenascht hat, sondern das Problem irgendwo beim Router zu suchen ist oder vielleicht doch auch beim Provider. Werde nun mal eine Liste der angesurften Internetadressen verlangen, denn dann sehe ich leichter, was der Router da genau macht.

Wollte nur Entwarnung geben, das WLAN wurde nicht geknackt !

Danke für eure Mithilfe !

Lass unbedingt wissen, was dein Provider zu dem ganzen sagt!!!!

[Dark SoLdIeR]

Nachdem nun der Router seit 5 Tagen ohne WLAN läuft ist nun gestern erstmals wieder ein Volumen von über 100 MB angefallen, ohne daß jemand einen Rechner an diesem Tag eingeschalten hätte.

das klingt sehr dannach, dass jemand die zugangsdaten deines bekannten missbraucht, ich würd mal das login passwort ändern. eventuell wär auch die möglichkeit, das modem einfach mal ein paar tage nicht einzuschalten.
gibts dann traffic auf der statistik, ist's wohl klar, dass da wer auf seine kosten surft.

[Retro]

So, den Abschluß von der ganzen Geschichte bin ich euch noch schuldig.

Jetzt läuft alles bestens. Was ich gemacht habe ist, den WGT624 Router des Bekannten durch (m)ein gleiches Modell ersetzt. Lustigerweise haben beide Router die gleiche Firmware drauf, auch sämtliche Einstellungen sind identisch, aber seitdem ich mein Teil zu ihm gegeben habe, sind diese riesigen Downloads nun nicht mehr aufgetreten, WLAN habe ich nebenbei auch wieder aktiviert.

Da ich seinen Router bei mir nicht als Router sondern nur als reinen WLAN AccessPoint verwende, habe ich auch keine Probleme mit anfallenden Downloads.

Seltsam, erklärbar ist es nicht wirklich, aber hauptsache nun ist Ruhe (schon fast drei Wochen und hoffentlich für immer).

PS: Beim Provider habe ich nicht mehr nachgefragt .

[adsl]

Sind beide V1, V2, V3 oder nicht?

LG

[preiti]

Lass hören, wenn wieder Probleme auftreten!!!