Forum: Haus & Smart Home fritzbox Gastzugang gelegentlich aktiv

Wegstaben V. schrieb:
> Eine MAC 7a💿eb ist wohl ofiziell keinem Hersteller zugeordnet.

Locally Administered Address. Wahrscheinlich ein Smartphone o.dgl. mit 
zufälliger MAC-Adresse, ist inzwischen der Normalfall.

Wegstaben V. schrieb:
> Die fantasierende google-KI meint jedoch: "Die MAC-Adresse 7a💿eb ist
> dem Hersteller ASUSTek COMPUTER INC. zuzuordnen"

"KI" halt, zusammengewürfelter Müll aus dem Netz mit einem Schuss 
Phantasie, verpackt in seriös klingende Worte.

Bei WPA 2 ist es so, dass sich das Gerät erst am Netz anmelden 
(=assoziieren) muss, und sich dann erst in einem 2. Schritt 
authentifiziert. Den ersten Schritt kann jeder in Reichweite machen, der 
2. Schritt geht aber nur wenn Du das Passwort kennst.

Ich weiß nicht wie die Fritzbox das genau umsetzet, also wann die 
Meldung kommt. Es könnte nämlich sein dass das schon beim ersten Schritt 
kommt.

Grund für diese Umsetzung ist die Evolution von WLAN, das wurde ja erst 
ganz ohne Verschlüsselung erfunden, dann kam das löchrige WEP dazu etc.

Gerd E. schrieb:
> …

Ist das auch ein KI-generierter Beitrag?

Oliver

Gerd E. schrieb:
> Es könnte nämlich sein dass das schon beim ersten Schritt kommt.

Es steht die zugewiesene IP-Adresse drin, ohne vollständige Verbindung 
kein DHCP.

Einen Hostname hat der Client leider nicht mitgeliefert, deshalb ist es 
der generische "PC-a-b-c-d", den die Fritzbox dann zuweist.

Ich tippe auf ein vergessenes Tablet o.dgl.

das putzige ist ja, das es IMMER dieselbe MAC-Adresse und Ip-Adresse 
ist, und nur genau dieses Gerät auf GAst-Zugang (kein anderes sonst). Es 
kann also wohl nur ein Gerät in maximal ein paar Meter Entfernung von 
der Box sein.

Ich werde mal demnächst reihum Geräte entfernen in "Wurfweite" zur Box 
und beobachten

Hmmm schrieb:
>> Es könnte nämlich sein dass das schon beim ersten Schritt kommt.
>
> Es steht die zugewiesene IP-Adresse drin, ohne vollständige Verbindung
> kein DHCP.

stimmt

Wegstaben V. schrieb:
> das putzige ist ja, das es IMMER dieselbe MAC-Adresse

Das ist der Normalfall, pro SSID wird immer dieselbe MAC-Adresse 
verwendet.

Wobei Windows 11 z.B. optional täglich neu würfeln kann, was bei langen 
Lease Times keine gute Idee ist.

Wegstaben V. schrieb:
> und Ip-Adresse ist

Solange die Lease gültig ist, wird die dem Client auch immer wieder 
zugeteilt.

Wegstaben V. schrieb:
> Es
> kann also wohl nur ein Gerät in maximal ein paar Meter Entfernung von
> der Box sein.

Es wird immer das gleiche Gerät sein, und es wird maximal die 
WLAN-Reichweite der FRITZ!Box weit weg sein.

Änder halt das Passwort für den Gastzugang, und schau, ob sich dann 
irgend eins deiner Geräte meldet.

Oliver

Wegstaben V. schrieb:
> Ich habe jetzt erst mal meinen Gast-Zuggang bzw. dessen PW geändert,
> aber neugierig bin ich schon

Da gibt es ja die unsäglichen Funktionen in verschiedensten 
Betriebssystemen, dass man gespeicherte Zugansdaten mit Freunden teilen 
kann.
Daher wird hier bei jedem aktivieren eines Gastzuganges ein neues 
Kennwort erzeugt.

Wegstaben V. schrieb:
> Ich werde mal demnächst reihum Geräte entfernen in "Wurfweite" zur Box
> und beobachten

In der Fritzbox unter Heimnetz/Netzwerk/Netzwerkverbindungen  bei der 
betroffenen aktiven Verbindung mit Koffer auf Bearbeiten klicken, unter 
WLAN-Verbindung steht die Empfangssignalstärke. Daran kann man die 
Entfernung abschätzen.
(Vergleich mit bekannten Geräten hilft die Entfernung einzuordnen)

Wegstaben V. schrieb:
> und nur genau dieses Gerät auf GAst-Zugang (kein anderes sonst)

Gast-WLAN aus und warten welches Gerät quiekt. Blöd wäre u.U. was 
Smarthomiges.

Wozu hat Otto Normaluser überhaupt den Gastzugang offen?

Old-Papa

Old P. schrieb:
> Wozu hat Otto Normaluser überhaupt den Gastzugang offen?
>
> Old-Papa

Für Gäste vielleicht? Die dürfen dann zwar ins Internet, sehen aber 
nicht die anderen Geräte im Heimnetzwerk.

Old P. schrieb:
> Wozu hat Otto Normaluser überhaupt den Gastzugang offen?

Je nach persönlicher Paranoia:
- Gäste
- Arbeits-IT
- Smart Home

Old P. schrieb:
> Wozu hat Otto Normaluser überhaupt den Gastzugang offen?

Damit die zu Besuch kommende Taylor-Brigitte ihr beim Kaffee-Discounter 
gebuchtes Datenvolumen schonen kann. Ist ja schon undemokratisch genug, 
dass es kein bundesweites, kostenloses Bürger-WLAN gibt und man z. B. in 
der U-Bahn Geld ausgeben muss, wenn man die Mitfahrenden durch 
Telefonieren oder Musik belästigen will.

Und man muss ja auch an die SilversurferInnen denken. Sollen die etwa 
gezwungen werden, auf die ihnen großzügig von US-Unternehmen auferlegte 
Cloud zu verzichten und die Fotos der Enkelchen stattdessen auf den nur 
ein paar Zehntausend Bilder fassenden Speicher des Smartphones zu 
quetschen? Gar nicht zu reden davon, dass man denen dann etwas verwehren 
würde, was alle Kinder auf den Schulhöfen tun – wo bliebe da die 
inklusierende gesellschaftliche Teilhabe?

Arno M. schrieb:
> Für Gäste vielleicht? Die dürfen dann (...) ins Internet

Genau. Man müsste sich ja sonst mit denen unterhalten. Womöglich per 
Mund und Ohren. Ist ja pervers sowas.

bei mir ist es ein finanziell schwacher Nachbar, der gerne mein (Gast-) 
Wlan mit nutzen darf.

Michael B. schrieb:
> Gast-WLAN aus und warten welches Gerät quiekt.


Das PW fürs Gast-WLAN hatte ich ja schon geändert, aber kein Gerät hat 
plakativ gemeldet, das es Probleme hätte. laut Fritzbox Protokoll 
versucht das fragliche Gerät (vergeblich) ab und an, in die Box rein zu 
gelangen.

14.10.25 23:20:59   WLAN-Gerät Anmeldung am Gastzugang gescheitert (2,4 
GHz): ungültiger WLAN-Schlüssel. MAC-Adresse: 7A:CD:EB:6D:77:B6.
14.10.25 23:20:55   WLAN-Gerät wurde vom Gastzugang abgemeldet (2,4 
GHz), ---, IP ---, MAC 7A:CD:EB:6D:77:B6. [2 Meldungen seit 14.10.25 
23:20:55]
14.10.25 21:36:25   WLAN-Gerät Anmeldung am Gastzugang gescheitert (2,4 
GHz): ungültiger WLAN-Schlüssel. MAC-Adresse: 7A:CD:EB:6D:77:B6.
14.10.25 21:25:32   WLAN-Gerät hat sich vom Gastzugang abgemeldet (2,4 
GHz), ---, IP ---, MAC 7A:CD:EB:6D:77:B6.

Beobachtung: Nur 2,4 Ghz. Das Gastnetz ist auf bei 3,4 und 5 Ghz. 
Vielleicht ein (älteres) Gerät, welches noch keine 5 Ghz kann. Da das 
schon ziemlich lange geht mit dem Gast-Netz, kann es wohl auch kein 
Batterie-betriebenes Gerät sein.

da gab es doch in der Fritzbox irgendwelche Mitschnitt-Möglichkeit des 
Netzwerk-Verkehrs. Ich glaube, in der Richtung werde ich mal weiter 
forschen

Was willst du denn außer der MAC-Adresse, die du ja schon hast, noch im 
log finden?

Oliver

Oliver S. schrieb:
> Was willst du denn außer der MAC-Adresse, die du ja schon hast, noch im
> log finden?

bei wieder freigemachtem Gast-Passwort Hiweise auf Zieladressen, mit 
denen das Gerät spicht

Wegstaben V. schrieb:
> da gab es doch in der Fritzbox irgendwelche Mitschnitt-Möglichkeit des
> Netzwerk-Verkehrs. Ich glaube, in der Richtung werde ich mal weiter
> forschen

http://fritz.box/html/capture.html
http://IP-derFritte/html/capture.html

Und dann mit Wireshark analysieren.

Wegstaben V. schrieb:
> hat jemand eine Erklärung für folgendes Verhalten?

Das fragliche, wahrscheinlich fremde Gerät kennt ein Netz mit der 
gleichen SSID, aber eben nicht deines. Die Fritten sind diesbezüglich 
weitgehend identisch vorkonfiguriert, mit SSIDs wie "Fritzbox 7590 xy" 
und "Fritzbox 7590 Gastnetz xy", wobei xy irgendeine Buchstabenfolge 
ist.

Ergo: SSID ändern und beobachten.

Wegstaben V. schrieb:
> Ich habe jetzt erst mal meinen Gast-Zuggang bzw. dessen PW geändert

Wegstaben V. schrieb:
> bei mir ist es ein finanziell schwacher Nachbar, der gerne mein (Gast-)
> Wlan mit nutzen darf.

Vergessenes und/oder dir nicht bekanntes Gerät des Nachbarn?

Max I. schrieb:
> Das fragliche, wahrscheinlich fremde Gerät kennt ein Netz mit der
> gleichen SSID, aber eben nicht deines.

Beziehungsweise dass jemand, vielleicht sogar er, bei der Einrichtung 
eines Gerätes versehentlich den Gastzugang AP ausgewählt hat. Danach 
wurde auf dem Gerät das richtige WLAN ausgewählt, aber das Gerät hat 
sich auch den Gastzugang und das dafür fälschlicherweise eingegebene 
Passwort gemerkt.

Immer dann wenn das richtige WLAN für das Gerät nicht erreichbar ist 
geht das Gerät dann die von ihm gespeicherten APs durch und probiert ob 
es irgendwo rein kommt.

Ich würde probeweise mal die SSID des Gastzugangs ändern.

Max I. schrieb:
> Vergessenes und/oder dir nicht bekanntes Gerät des Nachbarn?

Wenn das Ändern der SSID nichts ändert, dann könnte es so was sein. Zum 
Beispiel ein (Schrott) IoT- oder Smarthome- Gimmick, das gar nicht 
konfiguriert ist. Von dem der Besitzer eventuell nicht mal weiß dass es 
WLAN möchte. Das aber alle Nase lang versucht ins Netz zu kommen.

Max I. schrieb:
> Wegstaben V. schrieb:
>> hat jemand eine Erklärung für folgendes Verhalten?
>
> Das fragliche, wahrscheinlich fremde Gerät kennt ein Netz mit der
> gleichen SSID, aber eben nicht deines.

Oben steht
> 13.10.25   09:23:35   WLAN-Gerät über Gastzugang angemeldet (5 GHz), 866
> Mbit/s, PC-192-168-189-11, IP 192.168.189.11, MAC 7A:CD:EB:6D:77:B6.

Das Gerät hatte das Password, und den vollen Zugang.

Oliver

Wurde der Nachbar schonmal gefragt? Es ist ja heute eigentlich normal, 
dass man nicht nur ein Gerät im WLAN hat.

der Nachbar wohnt im Nachbar-Haus (eigentlich 3 Häuser weiter). Ich 
glaube nicht sehr, das er Funk-Empfang bis hier her hat. Manche 
Zeitpunkte des Anmeldens etc. sprechen auch gegen die Anwesenheit des 
NAchbarn

Oliver S. schrieb:
> Das fragliche, wahrscheinlich fremde Gerät kennt ein Netz mit der
>> gleichen SSID, aber eben nicht deines.

das kan ich nahezu ausschließen. Die SSID des Gast zugangs lautet (bsp) 
"HoppelPoppel-Gast". Das ist so schräg, das wird es kaum ein zweites mal 
geben

Oliver S. schrieb:
> Das Gerät hatte das Password, und den vollen Zugang.

Stimmt, zu schnell quergelesen.

Wegstaben V. schrieb:
>> Das fragliche, wahrscheinlich fremde Gerät kennt ein Netz mit der
>>> gleichen SSID, aber eben nicht deines.
>
> das kan ich nahezu ausschließen.

Hat sich wegen...

Max I. schrieb:
> Oliver S. schrieb:
>> Das Gerät hatte das Password, und den vollen Zugang.
>
> Stimmt, zu schnell quergelesen.

...sowieso erledigt.

Wegstaben V. schrieb:
> der Nachbar wohnt im Nachbar-Haus (eigentlich 3 Häuser weiter). Ich
> glaube nicht sehr, das er Funk-Empfang bis hier her hat.

Kabel durch die Gärten gezogen?

Ralf X. schrieb:
> Kabel durch die Gärten gezogen?

nee, netter alter Herr, der immer zu knapp mit seinem Prepaid-Handy 
telefonie und Daten Guthaben ist. Es bekam dann WLAN-Zugang, um per 
WhatsApp mit seinen "Leuten" zu chatten und zu telefonieren

Ein normales WLAN reicht keine 3 Hauser weit. Da müßte man schon was 
halb-illegales machen.

Ich habe das Meiste nur überflogen.
Die Frage die sich mir stellt, wenn ich das nicht möchte, wieso habe ich 
dann das Gast-Netz aktiv?
Und dann kann man auch nur die zugelassenen Geräte aktiv sein lassen. 
Das wäre die nächste Absicherung. Als drittes, das verhindert zwar nicht 
den Zugang zum Netz, kann man den Internetzugang für alle neuen Geräte 
sperren. So kann man beispielsweise den Zugang für Gäste offen lassen, 
aber andere ausschließen.

Abdul K. schrieb:
> Ein normales WLAN reicht keine 3 Hauser weit. Da müßte man schon was
> halb-illegales machen.

Das erzähl mal meinen Nachbarn, die hier mit locker 2 von 5 reinkommen 
und meine APs stören.
Natürlich 2,4GHz, aber dennoch, ein 30m Garten dazwischen stört mal gar 
nicht.

Oliver S. schrieb:
> 866 Mbit/s,

Das ist doch ein Hinweis.
Das Gerät dürfte was mechanisch größeres und recht 
modernes/leistungsfähiges sein, weil 866MBit m.W. nur mit 802.11ac (Wifi 
5) und 2 Antennen mit viel Abstand (so 10 cm) funktioniert.
Das ist also ein Laptop oder Tablet, oder ein großes Smartphone.

Störungen reichen ja auch viel weiter als Nutzdaten. "Hidden 
Station"-Problem nennt man das. So Faktor 5-20 Reichweite liegen da 
dazwischen.

Mit einem Spekki kann man den Störsockel über das gesamte 2.4GHz Band 
gut sehen. Links und rechts davon geht es locker 20dB mit dem 
Rauschteppich runter.

In einsamen Gegenden reicht das das WLAN dann plötzlich viel weiter.

Man kann ja auch mal die Kanäle wechseln. Meistens lassen die Nutzer 
alles so wie vorgegeben. 5GHz habe ich für mich alleine, weil hier nicht 
so viel ist und ich die freien Kanäle gesucht habe.

Frank O. schrieb:
> Die Frage die sich mir stellt, wenn ich das nicht möchte, wieso habe ich
> dann das Gast-Netz aktiv?

die Frage kann ja nicht an mich gehen, denn ich möchte das Gast-Netz ja 
aktiv lassen (habe ich oben begründet)

Jens M. schrieb:
> Das Gerät dürfte was mechanisch größeres und recht
> modernes/leistungsfähiges sein, weil 866MBit m.W. nur mit 802.11ac (Wifi
> 5) und 2 Antennen mit viel Abstand (so 10 cm) funktioniert.
> Das ist also ein Laptop oder Tablet, oder ein großes Smartphone.

ja, das wäre mal eine Spur. Es stehen 2 Laptop in Nähe rum. die werden 
zwar abends runter gefahren, aber könnten ja eventuell noch in einem 
Bereitschaftsmodus sein. Die werde ich mal über Nacht etwas weiter weg 
positionieren.

Naja, beim Laptop könnte man ja unter den gespeicherten Netzwerken 
nachsehen,  und die MAC sieht man da auch.

Frank O. schrieb:
> Als drittes, das verhindert zwar nicht
> den Zugang zum Netz, kann man den Internetzugang für alle neuen Geräte
> sperren. So kann man beispielsweise den Zugang für Gäste offen lassen,
> aber andere ausschließen.

Nö, das hält nur Anfänger draußen.

Frank O. schrieb:
> Man kann ja auch mal die Kanäle wechseln.

Du hast schon einmal mit WLAN zu tun gehabt? Mehr, als ein Handy dort 
anzumelden, wird es wohl nicht gewesen sein.

Wegstaben V. schrieb:
> Frank O. schrieb:
>> Die Frage die sich mir stellt, wenn ich das nicht möchte, wieso habe ich
>> dann das Gast-Netz aktiv?
> die Frage kann ja nicht an mich gehen, denn ich möchte das Gast-Netz ja
> aktiv lassen

Der Schreibdurchfall lässt keine Zeit, den Thread vollständig zu lesen.

Wegstaben V. schrieb:
> Es stehen 2 Laptop in Nähe rum. die werden
> zwar abends runter gefahren, aber könnten ja eventuell noch in einem
> Bereitschaftsmodus sein. Die werde ich mal über Nacht etwas weiter weg
> positionieren.

Auf der Kommandozeile "ipconfig /all" zeigt auch die MAC des Gerätes. 
"Weiter weg" ist nicht zuverlässig, besser den Akku raus.

Mal gucken, für 7A:CD:EB lässt sich kein Hersteller finden und es ist 
auch nicht der offizielle Raum für Zufalls-MACs.

Manfred P. schrieb:
> Du hast schon einmal mit WLAN zu tun gehabt? Mehr, als ein Handy dort
> anzumelden, wird es wohl nicht gewesen sein.

Dann erkläre mal!

Manfred P. schrieb:
> Mal gucken, für 7A:CD:EB lässt sich kein Hersteller finden

Richtig.

Manfred P. schrieb:
> es ist auch nicht der offizielle Raum für Zufalls-MACs.

Falsch.

Frank O. schrieb:
> Clipboard_10-15-2025_02.jpg

Selten dämlich.

Max I. schrieb:
> Nö, das hält nur Anfänger draußen.

Mindestens genauso dämlich.

Frank O. schrieb:
> Mindestens genauso dämlich.

Nein, dir fehlen schon die Basics.
Du darfst jetzt wieder Fritzbox spielen gehen.

Max I. schrieb:
> Nein, dir fehlen schon die Basics.

Dann spiele nicht den Schlaumeier aus der zweiten Reihe und lass mich 
dumm sterben. Raus damit!
Ich hatte das auf die "Störungen" geschrieben. Man hat halt weniger, 
wenn man die Kanäle meidet, die schon sowieso von allen anderen belegt 
sind.
Auch wenn ich nicht die Zeile aus dem vorhergehenden Beitrag zitiert 
hatte, es bezog sich auf den vorhergehenden Beitrag.

Hmmm schrieb:
> Manfred P. schrieb:
>> es ist auch nicht der offizielle Raum für Zufalls-MACs.
> Falsch.

Warum finde ich denn nichts, dass diese 7A:... als solchen beschreibt?

Max I. schrieb:
>> Clipboard_10-15-2025_02.jpg
> Selten dämlich.
Frank O. schrieb:
> Max I. schrieb:
>> Nein, dir fehlen schon die Basics.

So ist das.

> Dann spiele nicht den Schlaumeier aus der zweiten Reihe und lass mich
> dumm sterben. Raus damit!

Ein WLAN-Client (Laptop, Tablett) scannt den Frequenzbereich und ist 
niemals auf einen bestimmten Kanal fixiert. Die Feststation schaut ihr 
Umfeld an und wählt einen Kanal, der frei ist oder mit geringer 
Feldstärke kommt. Die Vorgabe eines festen Kanals macht nur in extrem 
seltenen Fällen Sinn.

Manfred P. schrieb:
> Warum finde ich denn nichts, dass diese 7A:... als solchen beschreibt?

Weil es dafür keine Blöcke a la RFC1918 gibt, sondern ein gesetztes Bit 
1 im ersten Byte für "locally administered" steht.

Erstmal danke Manfred!
Klar belegt die FritzBox auch bei mir mehrere Kanäle und das ist mir 
bewusst.
Z.B. bin ich im 2,4Ghz-Netz auf Kanal sieben umgezogen. Bei mir sind das 
die Kanäle 5-9. Auch da bin ich mir bewusst, dass das nicht immer so 
sein wird.
Bei 5GHz ist das 100-112.
Mein Beitrag bezog sich auf diese Aussage:

Abdul K. schrieb:
> Störungen reichen ja auch viel weiter als Nutzdaten. "Hidden
> Station"-Problem nennt man das. So Faktor 5-20 Reichweite liegen da
> dazwischen.

Währe sicher besser gewesen, wenn ich das zitiert hätte.

Aber da das nur quasi eine beiläufige Bemerkung war, habe ich den ganzen 
Aufriss darum nicht verstanden.

Bei mir macht es extrem viel Sinn die Kanäle auszuwählen, weil ich eh 
kaum Bandbreite habe (die Kabel sind nicht in Ordnung und die machen 
auch nichts dagegen, außer noch mehr Leistung runter zu drehen) und im 
Moment habe ich einen neuen Nachbarn im Gast-Netz, weil er noch keinen 
Anschluss hat.

Ich würde einfach mal überlegen, welchem Gerät ich mal einen Gastzugang 
eingerichtet habe.
Und wenn mein Wlan nicht bis zur Wohnung des Nachbarn reicht und auch 
kein Kabel liegt, würde ich mich fragen, ob der nette Nachbar 
regelmässig bei mir vor der Tür sitzt oder sogar in der eigenen Wohnung.

Ggf. würde ich auch überlegen, ob der TE ein klein wenig desorientiert 
sein könnte.

Ralf X. schrieb:
> Ggf. würde ich auch überlegen, ob der TE ein klein wenig desorientiert
> sein könnte.

Wie wir gerade feststellen konnten, sind wir ja alle schon etwas älter 
...🤣

Manfred P. schrieb:
> Die Vorgabe eines festen Kanals macht nur in extrem
> seltenen Fällen Sinn.

Das ist ja was ganz neues.
Seit wann weiß der AP, welche Netze ich an meinem Standort sehen kann?
Und warum gibt es die Empfehlung, sich feste Kanäle auszusuchen und zwar 
1-6-11 oder wenn alle Geräte das können und man in Europa ist 1-7-13 
oder evtl. auch 1-5-9-13, was geringere Bandbreite aber mehr Nachbarn 
zulässt (für 2,4GHz)?
Das könnte daran liegen das sich die Kanäle überlappen und sich stören, 
auch wenn 5 freie dazwischen sind.
Und wenn sich Nachbarn nicht an dieses Raster halten muss man sich eben 
ein passendes anderes Kanälchen suchen, nein keine Lücke dann wird man 
von beiden Nachbarn gestört, sondern einen "Flachen Hügel" im 
Spektrogramm, das man mit Apps angezeigt bekommt.
Das hat bei Fritz noch nie geklappt. Da wird der Kanal genommen, bei dem 
die Fritte am wenigsten andere WLANs zählt. Nicht die Mitte dieser 
Insel, der niedrigste. Geht, geht aber manuell fast immer besser.

Frank O. schrieb:
> Bei 5GHz ist das 100-112.

Da spielt doch auch noch die Radarerkennung rein. Warum nicht ab 36?

Jens M. schrieb:
> Warum nicht ab 36?

Weil diese Kanäle hier komplett frei sind. Da ist nichts drauf.
Jedenfalls zeigt die Fritzbox da nichts an.
Nach der Umstellung der Kanäle habe ich fast die komplette Bandbreite, 
wie sie aus dem Netz kommt. So viel hatte ich vorher nicht.

5GHz WLAN kommt ja auch nicht weit, aber >44 (oder 48?) ist ja alles 
voller Radar, DFS usw.
Aber gut, ist bei jedem anders. Hier, in der Nähe eines Flughafens 
brauchste dir keine Gedanken machen über die hohen Kanäle.

Jens M. schrieb:
> Das hat bei Fritz noch nie geklappt. Da wird der Kanal genommen, bei dem
> die Fritte am wenigsten andere WLANs zählt. Nicht die Mitte dieser
> Insel, der niedrigste. Geht, geht aber manuell fast immer besser

Echt jetzt? Das würde bedeuten die FB nutzt den Chipsatz nicht voll aus, 
denn die können meist das Hintergrundrauschen bewerten. Also FB 
optimiert für potentielle(!) Bitrate, nicht Reichweite. Für die dann 
fehlende Reichweite verkaufen sie ihre Repeater. Ist ja geradezu 
perverse Logik.

Bei mir ist WLAN an der FB aus und EIN TP-Link mit Richtantennen hängt 
dafür nach unten ausgerichtet im obersten Stockwerk vom Haus an der 
Decke. Überall Empfang!

Jens M. schrieb:
> Geht, geht aber manuell fast immer besser.

Da es, wie Du ja auch selber schreibst, im 2.4 Ghz-Band effektiv nur 3 
sich nicht überlappende Frequenzbereiche gibt, nimmt man doch lieber die 
halb-Optimale Automatik, die zumindest auf Änderungen in der Verteilung 
reagiert, statt einer „super-optimalen“ manuelle Einstellung, die ein 
paar Stunden später völlig daneben liegt.

Oliver

Abdul K. schrieb:
> Das würde bedeuten die FB nutzt den Chipsatz nicht voll aus,
> denn die können meist das Hintergrundrauschen bewerten.

Tja, meine Erfahrungen sind von der 7390 und 7490, und die steht bei mir 
ungünstig und hat daher immer einen Scheißkanal genommen.
Jetzt hab ich 7590 und 7690, aber da ist das WLAN aus weil ich extra-APs 
habe.
Die können das besser als das damalige Fritz-WLAN, aber selbst da ist 
vom baulich bedingten Ort des APs bis zum Mobilgerät ein Unterschied, so 
das die Kanalwahl so oder so nicht taugt.
Ob FritzOS!8 besser ist kann ich nicht sagen, und ansonsten bin ich mit 
den Geräten vollauf zufrieden, auch wenn sie bei mir nur noch Smarthome, 
ISDN-Adapter und DSL-Modem spielen.

Oliver S. schrieb:
> nimmt man doch lieber die
> halb-Optimale Automatik

Also bei mir hat die Automatik nur Müll gewählt. Zum einen weil sie das 
wohl tut (tat, ist lange her), zum anderen weil es baulich nicht anders 
geht und die Netzauswahl am Router/AP bzw. am Nutzerstandort wesentlich 
verschieden ist.

Oliver S. schrieb:
> die ein
> paar Stunden später völlig daneben liegt.

Ich nutze ebenso wie meine Nachbarn seit 15 Jahren die gleichen Kanäle, 
bis auf gelegentliche Experimente mit Hotspots gibts dieses Problem bei 
mir nicht.
Kleinstadt, Ortsrand, aber Siedlung voller 1GBit-Glasfaseranschlüsse mit 
"FRitzbox 7590 RT"-Netzen, selbst am Handy locker 8 Fremdnetze, der 
Laptop findet noch ein paar mehr.
Dummerweise mit doofen selbstgewählten Kanälen und starken Überlappungen 
so das kein Schema auf keinem Kanal weniger als 3 Partner findet.

Plus das neueste: Autos, die WLAN ausstrahlen, auch wenn sie parken. 
Zumindest deute ich SSIDs so, die vor allem nachts vorhanden sind und 
Kennzeichen ähneln.

Bei dir mag die Autokanal-Funktion klappen, vielleicht weil es 
mittlerweile bei Fritz geht, oder vielleicht hast du auch ein anderes 
Gerät das es besser kann.
Bei mir jedenfalls klappt es nicht.

Jens M. schrieb:
> Zumindest deute ich SSIDs so, die vor allem nachts vorhanden sind und
> Kennzeichen ähneln.

Richtig gedeutet, manchmal steht es sogar bei:"MyCupra-", "MyVW-", "MB-" 
(Mercedes...)

Als oller Wardriver kann ich sagen gibt's keine "Unikate" bei den WLAN 
Namen, ich hab hier bestimmt 5 "Lord Voldemodem" nur mit dem Handy auf 
dem Balkon in der Liste. Da ich sozusagen immer kismet am Handy laufen 
habe, kann ich dir sagen daß es zwar regionale Unterschiede gibt, aber 
keine Unikate.

Was ist sicher: der Client kennt deinen Schlüssel, sonst gäbe es keine 
IP.

Wenn du mal stöbern willst, Kali Linux live/Backbox Linux ect.. hab die 
letzten Jahre selten bis nie erlebt das man nicht mit dem internen 
Chipsatz des Laptop in den Monitor mode kommt.
Mir airodump (zur Sicherheit Option -w weg lassen und nur live gucken) 
bekommst schon mal ne Übersicht was abgeht.

Wer mal schauen will ob er schon auf der Karte ist, dem empfehle ich 
wigle.net

Ich würde übrigens die "üblich verdächtigen" Wörterbücher im gleichen 
Atemzug mal gegen den eigenen Handshake/PMKID laufen lassen, mit Hashcat 
auf einer halbwegs modernen GPU. Einfach um sicher zu sein das die der 
0815 Script Kiddy nicht zufällig knacken kann.

Warum Hashcat: Rules/Rulesets!

Das bringt nochmals mehr Variationen mit, da purzeln plötzlich 
Kombinationen in's potfile da wärst du selbst mit dem Motto:"Denke wie 
der dümmste DAU" nicht drauf gekommen. Aber auch welche wo du dir sagst, 
der hat sich Gedanken gemacht und einige ältere regeln bezüglich 
Passworterstellung dazu genutzt.


Der größte Feind des "Ottonormalo" bezüglich WLAN Sicherheit sind heute 
tatsächlich neugierig gewordene Kids die ihre ersten Versuche auf ihrer 
gaming Kiste starten, die haben die GPU mit ordentlich Power meist mit 
drin. Meine alte Hardware schafft 250.000(+/-)h/s. Also eine Viertel 
Millionen Passwörter pro Sekunde, je dicker die Grafikkarte um so mehr.

Und das nur unter der Vorraussetzung das nicht noch irgendwo ein Router 
mit mieser WPS Implementierung steht, je nach timeouts sind da binnen 
4-8h alle Kombinationen für durch und der Key liegt im Klartext vor.

Wenn man so denkt wie du, dann brauch man erst gar kein WLAN aufspannen. 
Die Kids hier sind zu mir freundlich, weil sie an der Bushalte bei mir 
kostenlos surfen können.
Andererseits kosten GByte ja auch nicht mehr wirklich viel. Man könnte 
fast WLAN abschalten.

Abdul K. schrieb:
> Die Kids hier sind zu mir freundlich, weil sie an der Bushalte bei mir
> kostenlos surfen können.

Du darfst dein Netzwerk von mir aus teilen mit wem du möchtest.

Aber wenn man nun mal ergründen möchte wieso sporadisch ein Gastzugang 
aktiv wird, weil das ja auch ein ungeladener gast sein könnte, dann 
sollte man halt mal Gucken.

Und um sicher zu sein, sollte es ein ungeladener gast sein, sollte man 
sein Passwort auf Sicherheit prüfen, sollte das auch mit allen Kniffen 
(Rulesets zb.) nicht in den "Standard Passwortlisten" stehen, so bleibt 
nur was eigenes, sofern der Nachbar das Passwort nicht noch mit jemandem 
geteilt hat oder ein Zweitgerät hat ect...

Eben, das Problem Paßwortweitergabe und unbekannte gleiche Hashes für 
verschiedene Passwörter.
Im professionellen Umfeld bekommt jeder Client ein eigenes Passwort. FB 
unterstützt das aber nur rudimentär eben über deren NUR ZWEI WLAN-Zonen.

Ich habe das zwar noch nicht ausprobiert, aber bei der Fritz Box kann 
man die Zugänge über die Fritz Box protokollieren. Man kann den Zugang 
zeitlich begrenzen und eine Anmeldeseite davor schalten.
Eigentlich sollte die Kontrolle über die Geräte damit abgedeckt sein.

Kilo S. schrieb:
> Der größte Feind des "Ottonormalo" bezüglich WLAN Sicherheit sind heute
> tatsächlich neugierig gewordene Kids die ihre ersten Versuche auf ihrer
> gaming Kiste starten, die haben die GPU mit ordentlich Power meist mit
> drin.

Wie lange brauchen die Kids denn so für mein 63 Zeichen langes Passwort 
aus zufällig zusammengewürfelten Buchstaben und Ziffern?

Gibt immerhin (26+26+10) hoch 63 Möglichkeiten. Laut Windows-Rechner 
sind das circa 8 mal 10 hoch 112. Das erleben selbst die Ururenkel eines 
Kids nicht mehr. :-)

Am Gastzugang ist das Passwort normalerweise kürzer und "ein Wort" weil 
man das ja dem Gast erklären/sagen müsste.
Passwortweitergabe mittels QR werden die wenigsten machen.

Frank O. schrieb:
> Man kann den Zugang
> zeitlich begrenzen und eine Anmeldeseite davor schalten.
> Eigentlich sollte die Kontrolle über die Geräte damit abgedeckt sein.

Das verhindert nicht den Zugang zum WLAN wie er jetzt auch besteht (und 
gelogt wird), sondern nur den Zugang zum Internet.
Dann kann man auch einfach mal die SSID und das PW wechseln und gut.

Rolf schrieb:
> Wie lange brauchen die Kids denn so für mein 63 Zeichen langes Passwort
> aus zufällig zusammengewürfelten Buchstaben und Ziffern?

Meine 20GB Wordlist hat mit 250kh/s und Rulesets ~30% Success Rate "on 
the Wild". Weil ich autodidaktisch "Research" betreibe, schreib ich 
natürlich captures mit, natürlich will ich nach vielen Jahren Arbeit 
auch wissen wie gut meine eigens modifizierte Wordlist ist...

Kein Endverbraucher tut sich 63/64(Max) stellen an, ohne extreme 
paranoia oder Not.

Die aktuellen Standard Keys der unterschiedlichen Geräte (egal ob 
Vodafone, Fritzbox usw..) sind so genau das Mittelmaß das es braucht, 
damit Kids nicht rein kommen und so jemand wie ich auch durch Hunderte, 
wenn möglich tausende Schlüssel kein "Muster" entdeckt.

Das reduziert das ganze auf so Sachen wie bei den 16-20 stellen 
Numerische Keys der Fritzbox, keine Dreiergruppen im Key, somit lassen 
sich alle Zahlenkombinationen ausschließen die drei mal hintereinander 
die selbe Zahl verwenden, mehr ist da aber auch nicht bekannt und bei 16 
stellen reden wir über PB an Speicher.

Natürlich geht das per Pipe, generiert von einem Script usw. Dauert aber 
auch Ewigkeiten.

Jens M. schrieb:
> Am Gastzugang ist das Passwort normalerweise kürzer und "ein Wort" weil
> man das ja dem Gast erklären/sagen müsste.
> Passwortweitergabe mittels QR werden die wenigsten machen.

Nicht nur da, die Bequemlichkeit siegt hier in DE weil keiner damit 
rechnet das jemand das "know how" hat. Kurze (8-10, maximal 12 Zeichen) 
Passwörter, sind mit 30% häufig, häufig auch eigentlich "gute" 
Passwörter, aber das Schema ist zu alt und lässt sich über die Rulesets 
generieren.

Normale Listen kommen auf <=~20-28%, unter Zuhilfenahme der Rulesets. 
Blank, also nur das reine Wörterbuch reden wir aktuell von 3-7%

Kilo S. schrieb:
> Blank, also nur das reine Wörterbuch reden wir aktuell von 3-7%

Kurze Anmerkung: von mir getestet Wordlists, nur das was "visible" ist. 
Also keine privaten listen. Quellen sind u.a GitHub, Google Drive, 
Mega... Links aus diversen Foren zusammengesucht.

3% aus 957 "Good quality" 4/Way bzw. PMKID.

Abdul K. schrieb:
> Im professionellen Umfeld bekommt jeder Client ein eigenes Passwort.

Im professionellen Umfeld verlässt man sich nicht auf das WLAN-Passwort 
wie am heimischen Fritz, sondern hat einen Radius-Server laufen.

Frank O. schrieb:
> Ich habe das zwar noch nicht ausprobiert, ...

Niemand braucht Deine 'Ratschläge', hinter denen keine eigene Erfahrung 
steckt.

Frank O. schrieb:
> Man kann den Zugang
> zeitlich begrenzen und eine Anmeldeseite davor schalten

Wer ist denn "Man" - kannst Du das und uns erklären, wie das im privaten 
Umfeld umsetzbar ist?

Manfred P. schrieb:
> Im professionellen Umfeld verlässt man sich nicht auf das WLAN-Passwort
> wie am heimischen Fritz, sondern hat einen Radius-Server laufen.

Das dürfte sein was er meint.

Manfred P. schrieb:
> Wer ist denn "Man" - kannst Du das und uns erklären, wie das im privaten
> Umfeld umsetzbar ist?

In dem man in der Fritte den Haken anmacht, das es im Gastnetz erst AGB 
anzeigen soll.
Die kann man m.E. sogar mit eigenem Text nud Logo machen.
Die zeitliche Begrenzung hats in den Regeln oder Kinderschutz.

Kilo S. schrieb:
> Kein Endverbraucher tut sich

Ich kenne mehrere, die nur so einigermaßen IT-Affin sind und dennoch 
einfach mal auf 63x Zufall geklickt haben.

Ich würde dir gerne mal mein Gastnetz und Normalnetz-Passwort geben und 
dich bitten es zu knacken.
Würde mich interessieren ob das funzt.

Manfred P. schrieb:
> Abdul K. schrieb:
>s> Im professionellen Umfeld bekommt jeder Client ein eigenes Passwort.
>
> Im professionellen Umfeld verlässt man sich nicht auf das WLAN-Passwort
> wie am heimischen Fritz, sondern hat einen Radius-Server laufen.

Jepp. Weitere Möglichkeiten:
1. Gibt auch APs mit mehreren SSIDs und jeden Client in sein eigenes 
WLAN  Ist natürlich etwas ineffizient, da alle SSID 10x pro Sekunde ihre 
Kennung blöken...
2. AP von z.B. Ruckus, die können sowas wie Radius lokal erzeugen.

Jens M. schrieb:
> In dem man in der Fritte den Haken anmacht, das es im Gastnetz erst AGB
> anzeigen soll.
> Die kann man m.E. sogar mit eigenem Text nud Logo machen.
> Die zeitliche Begrenzung hats in den Regeln oder Kinderschutz.

Genau!
Sag ich die ganze Zeit.
Natürlich gibt es bestimmt irgendwelche Leute die solche Hürden 
überwinden können, aber alle die hier behaupten wie einfach das ist, die 
können das bestimmt nicht und da bin ich mir ziemlich sicher.

Das ist MAC-basiert, wenn man die MAC wechselt kommt man ins Default.
Da ist leider "immer alles erlaubt" vorgegeben, aber wenn man als 
Fritzadmin normal alles sperrt und seine User einzeln freigibt ist das 
m.E. sicher.
Entweder so wie eingestellt oder nix.

Ich habe für gewöhnlich "WLAN-Zugang auf die bekannten WLAN-Geräte 
beschränken" eingestellt.
Das halte ich, neben den anderen Maßnahmen für die beste Möglichkeit.
Außerdem bekommen alle neuen Nutzer nicht ins Internet,  solange ich den 
"Standard" in der Kindersicherung nicht umgestellt habe.
Wenn nicht gerade Geheimdienste hier rein wollen,  dürfte das für 
normale Nutzer nicht möglich sein.
Da hier keine Server laufen, kann auch niemand in meiner Abwesenheit auf 
meine Rechner zugreifen, denn die sind dann aus.

Manfred P. schrieb:
> kannst Du das und uns erklären, wie das im privaten
> Umfeld umsetzbar ist?

Kannst du dir sogar auf Youtube ansehen.
Und nur weil ich für gewöhnlich kein Gastnetz laufen habe, ist das 
Wissen  über die Möglichkeiten nicht nutzlos. Viele Leute kennen die 
vielen Einstellungen in der Fritzbox nicht.

Frank O. schrieb:
> Ich habe für gewöhnlich "WLAN-Zugang auf die bekannten WLAN-Geräte
> beschränken" eingestellt.

Das hält nur Oma Paschulke und Anfänger ab.

> Außerdem bekommen alle neuen Nutzer nicht ins Internet,  solange ich den
> "Standard" in der Kindersicherung nicht umgestellt habe.

> Viele Leute kennen die
> vielen Einstellungen in der Fritzbox nicht.

Und du verstehst sie nicht mal ansatzweise.

Wahrscheinlich gehörst du in die Kategorie "NAT ist ein 
Sicherheitsfeature" und "ICMP Echo Reply (aka Ping) abschalten ist voll 
toll und stealth".

Max I. schrieb:
> Das hält nur Oma Paschulke und Anfänger ab.

Teile bitte deine Weisheit.

Max I. schrieb:
> Das hält nur Oma Paschulke und Anfänger ab.

Dann zeig mal dein Können und hinterlasse mir eine Nachricht auf dem 
Gerät,  welches ich gerade benutze!
Ich denke du kannst das dann auch übers Internet.
Mir ist klar, das schrieb ich mehrmals,  dass es Leute gibt,  die können 
das. Das sind aber alles andere über den Anfängern
Und wer will schon bei mir rein?
Es gibt immer "den großen Schlüssel".

Jens M. schrieb:
> Das ist MAC-basiert, wenn man die MAC wechselt kommt man ins Default.
> Da ist leider "immer alles erlaubt" vorgegeben, aber wenn man als
> Fritzadmin normal alles sperrt und seine User einzeln freigibt ist das
> m.E. sicher.

Daran ist gar nichts sicher. Die MAC-Adresse kann man mit geeigneten 
Endgeräten nach Lust und Laune wechseln, und um herauszufinden, welche 
MAC-Adressen im Gegensatz zur eigenen freigegeben sein könnten, muss man 
nur eine Weile passiv mitlauschen, wer sich so mit Deinem AP unterhält.

Sicher wäre sowas nur, wenn man einer freigeschalteten MAC-Adresse ein 
individuelles PSK zuteilen könnte. Das kann die Fritzbox aber meines 
Wissens nicht.

Frank O. schrieb:
> Dann zeig mal dein Können und hinterlasse mir eine Nachricht auf dem
> Gerät,  welches ich gerade benutze!

Spinner. Kontext ist "WLAN".
Aber bitte, unterschreibe und bezahle den Auftrag für einen 
Penetrationstest. Ich sage dir aber jetzt schon: Die Fritten sind alles 
andere als gut gehärtete Systeme, da steckt zu viele "anstecken und geht 
für jedermann" drin.

Hmmm schrieb:
> Die MAC-Adresse kann man mit geeigneten
> Endgeräten nach Lust und Laune wechseln

Erstens das und zweitens sausen die MACs unverschlüsselt durch die Luft.

> muss man
> nur eine Weile passiv mitlauschen, wer sich so mit Deinem AP unterhält.

Eben.

Jens M. schrieb:
> Teile bitte deine Weisheit.

Das sind keine "Weisheiten" und das ist auch kein besonderes Können. 
Specs lesen und verstehen reicht, s.o.

Hmmm schrieb:
> Die MAC-Adresse kann man mit geeigneten
> Endgeräten nach Lust und Laune wechseln,

Hier geht es nicht um Geheimdienste, sondern nur darum,  dass sich 
irgendwer in dein Gastnetz einloggt und auch nicht um kriminelle 
Machenschaften.
In meinem gesamten Umfeld kenne ich niemder so viel (oder auch so wenig) 
über diese Sachen weiß wie ich. Das sind alles nur Anwender und keine 
Höcker.
Wenn das alles so einfach wäre, würde man mehr über diese 
Sicherheitslücken lesen.

Frank O. schrieb:
> Hmmm schrieb:
>> Die MAC-Adresse kann man mit geeigneten
>> Endgeräten nach Lust und Laune wechseln,
>
> Hier geht es nicht um Geheimdienste

Oh man, du bist kilometerweit von den Basics entfernt. Das kann jede 
0815 Windowsbüchse.

> In meinem gesamten Umfeld kenne ich niemder so viel (oder auch so wenig)
> über diese Sachen weiß wie ich. Das sind alles nur Anwender

ROFL. Dunning-Kruger.

Dann erzähle doch mal!
Bist übrigens nicht nur von mir dazu aufgefordert worden.
Klar weiß ich nicht wie das geht. Deshalb mach uns mal schlau!

Max I. schrieb:
> Das sind keine "Weisheiten" und das ist auch kein besonderes Können.
> Specs lesen und verstehen reicht, s.o.

Nebulöses Geschwafel.

Frank O. schrieb:
> Dann erzähle doch mal!

Was willst du wissen? Alles, was deine "Sicherheitsmaßnahmen" ad 
absurdum führt, steht oben bereits geschrieben. Du musst nur lesen und 
verstehen.

> Klar weiß ich nicht wie das geht.

Lerne mal zitieren, dann erkennt man auch, um was genau es geht. Wenn's 
um die "Geheimdienst-MAC-Adresse" geht, scheint selbst "mac adresse 
unter windows ändern" in eine Suchmaschine einwerfen zu schwer für dich 
zu sein.

Aber gut, dass du sooooo viel weißt.

Max I. schrieb:
> Aber gut, dass du sooooo viel weißt.

(oder so wenig) stand in den Klammern.
Nur mit Wissen über die MAC kommst du bei mir nicht rein.

Frank O. schrieb:
> Max I. schrieb:
>> Das sind keine "Weisheiten" und das ist auch kein besonderes Können.
>> Specs lesen und verstehen reicht, s.o.
>
> Nebulöses Geschwafel.

Du bist offensichtlich zu blöd zu erkennen, dass eine 
Sicherheitsmaßnahme, die einfach und unverschlüsselt mithörbare Dinge 
wie MAC-Adressen als Kriterium nutzt, eben deswegen keine 
Sicherheitsmaßnahme ist.

"Hmmm" hatte das weiter oben auch schon ausgeführt.

Deswegen ist für mich hier EOD.

Max I. schrieb:
> Deswegen ist für mich hier EOD.

Gott sei Dank!

Frank O. schrieb:
>> Deswegen ist für mich hier EOD.
> Gott sei Dank!

Hoffentlich auch bald für Deinen Schreibdurchfall. Keine Ahnung von 
garnichts, aber jede Menge hohler Kommentare.

Frank O. schrieb:
> Nur mit Wissen über die MAC kommst du bei mir nicht rein.

Du bist echt nicht fähig mitzudenken. Du meinst, du könntest anhand 
der MAC (nur bekannte Geräte zulassen blabla") anderen den Zugang 
verwehren. Das geht (nur damit) nicht.

Frank O. schrieb:
> Max I. schrieb:
>> Deswegen ist für mich hier EOD.
>
> Gott sei Dank!

Ja ja.

Manfred P. schrieb:
> Hoffentlich auch bald für Deinen Schreibdurchfall. Keine Ahnung von
> garnichts, aber jede Menge hohler Kommentare.

Ach Manfred,  du auch wieder?😂

Ihr müsst vielleicht mal den ersten Beitrag lesen.
Da geht es um ein Gerät,  welches sich sporadisch am Gastnetz anmeldet.
Und wo sind wir jetzt? Dass sich ominöse Menschen mit Macht in dein Netz 
hacken.
Ich bestreite doch gar nicht, dass das nicht möglich ist und natürlich 
hat Max hier recht:

Max I. schrieb:
> dass eine
> Sicherheitsmaßnahme, die einfach und unverschlüsselt mithörbare Dinge
> wie MAC-Adressen als Kriterium nutzt, eben deswegen keine
> Sicherheitsmaßnahme ist.

Aber erstmal haben sowieso alle eigene Netze und wollen grundsätzlich 
doch gar nicht in ein fremdes Netz und die das gezielt wollen,  die 
werden es wahrscheinlich schaffen.  Aber alle die es zufällig tun, 
müssen dann auch zufällig bei deinem Netz sein.
In meinen Augen ist das die Nadel im Nadelhaufen suchen.
Aber ich habe auch keinen Bock mehr auf diese Beleidigungen und bin 
jetzt auch raus.

Jens M. schrieb:
> Ich würde dir gerne mal mein Gastnetz und Normalnetz-Passwort geben und
> dich bitten es zu knacken.

Wo ist das Problem? Ich kann gerne mal meine Liste gegen deinen 
Handshake laufen Lassen.
Sollte halt kein Beifang dabei sein, Dateigröße wird winzig wenn du es 
mit hcxpcapngtool auf das Wesentliche 
beschränkst:https://hashcat.net/cap2hashcat/

Ich vermute, wenn es vernünftig gewählt ist, ist es auch mit Rulesets 
nicht von mir knackbar.

Würde ich auch sehr Begrüßen!

So soll's ja sein.

Jens M. schrieb:
> Würde mich interessieren ob das funzt.

Ja, es funktioniert wirklich, es gibt halt eine wichtige 
Grundvoraussetzung dafür, ich muss das Passwort oder eine Grundform die 
für die Rulesets als Grundlage ausreichend ist bereits in meiner Liste 
haben und mein Ruleset muss die passende Regel beinhalten. Die Rulesets 
machen aus der Grundform je nach dem dann weitere *n Passwörter mit 
variablen Längen und Veränderungen.

Bruteforce ist bei so langen Schlüsseln sowieso Glückssache, selbst bei 
12 stellen ist das bereits so richtig "PITA".

Ich muss wohl ein bisschen zurück rudern.

Habe gerade einen eklatanten Fehler gefunden, den ich so nicht im Kopf 
hatte.

Die Verschlüsselung ist nicht WPA3, sondern WPA2 + WPA3.
Ich war mir eigentlich sicher, dass man nur WPA3 einstellen kann.
Das ist tatsächlich eine bekannte Lücke.

Also Max, auch wenn die beleidigende Art nicht sein muss, du hattest 
recht. Es ist relativ einfach möglich.

Max I. schrieb:
> Das sind keine "Weisheiten" und das ist auch kein besonderes Können.

Ach so, ich dachte Oma Paschulke könnte das.
Die müsste also nur die MAC wechseln, und zwar auf eine 
bewusste/bekannte, und das auch noch so das sie erkennt das dieses 
Originalgerät gerade außer Reichweite ist, und dann kann sich ihr Gerät 
als das einer anderen priviliegierteren Person ausgeben, um dann im Netz 
des beliebigen Routers als eben dieses aufzutreten und das Netz zu 
nutzen.

Alles andere als Oma Paschulke, wenn auch nicht unmöglich.
Und: es gibt keine Möglichkeit die MAC-Sperre zu umgehen. Du umgehst sie 
nicht, du schmückst dich mit fremden Federn.
In dem Sinne ist die Variante Default zu sperren und nur bekannte MACs 
ins Internet zu lassen "Sicher".
Das dürfte bei allen Routern auch im professionellen Umfeld so sein: 
Wenn ein Einbrecher nicht einbricht sondern Karneval spielt wird's schon 
passen.
Kein Fritzproblem, und sicher nichts um was man sich zuhause Gedanken 
machen muss.

Ja, jeder PC kann seine MAC am WLAN ändern, aber die Frage ist doch: 
wohin? und Wann (ohne das es knallt)?

Kilo S. schrieb:
> Ich vermute, wenn es vernünftig gewählt ist, ist es auch mit Rulesets
> nicht von mir knackbar.

Mein normales WLAN hat 63 zufällige Zeichen -> Safe
Mein Gastnetz hat ein Wort, das man ohne viel Federlesen mündlich 
übergeben kann, das nicht allzu lang ist, und dennoch würde es mich 
wundern wenn es in irgend einem Wörterbuch stände oder via Regeln aus 
einem normalen Wort erstellt würde.
Zudem ist das Gastnetz nur aktiv wenn Gäste da sind, und ich habe einen 
Mac-Filter im Router, der nur auserwählten Geräten die Kommunikation 
erlaubt. (Ja, ich muss meine Gäste zusätzlich im Router freigeben. 
WLAN-Passwort teilen ist in modernen Androids so einfach das man das aus 
Versehen kann...)
Ich glaube, ich bin sicher. :D

Kilo S. schrieb:
> Ja, es funktioniert wirklich

Ich meinte "kann kilo mein Gastnetz-PW erraten?", im Sinne von "dieses" 
nicht im Sinne von "überhaupt".

Ob ich diesen Hashcat-Kram sinnvoll zum laufen bekomme, weiß ich aber 
nicht.
Bin sicherlich nicht unbeleckt mit PCs, aber halt nicht Oma Paschulke.

Frank O. schrieb:
> Ich muss wohl ein bisschen zurück rudern.

Selbst WPA3 hat bzw. hatte Lücken:https://wpa3.mathyvanhoef.com/

Ich weiß aktuell nicht ob dragonblood noch funktioniert. Richten wir uns 
aber darauf ein daß es noch weitere geben kann.

Jens M. schrieb:
> Die müsste also nur die MAC wechseln, und zwar auf eine
> bewusste/bekannte, und das auch noch so das sie erkennt das dieses
> Originalgerät gerade außer Reichweite ist, und dann kann sich ihr Gerät
> als das einer anderen priviliegierteren Person ausgeben, um dann im Netz
> des beliebigen Routers als eben dieses aufzutreten und das Netz zu
> nutzen.

Vor ~20 Jahren, hat genau das bei meiner damaligen im Mädcheninternat 
funktioniert. Ab 22 Uhr war es nicht mehr möglich den PC in Gruppenraum 
zu nutzen, den eigenen PC auf dem Zimmer haben dürften die damals aber 
bereits. Ich hab in Windows über Regedid (XP!) die MAC des Stick zu der 
des Gruppen PC geändert. Ab 22 Uhr konnte ich so mit der über diverse 
Plattformen Chatten.
Das lief vom Einzug, bis zum Auszug ca. 3 Jahre problemlos.
Da war auch nur ein "Macfilter" zugange, nicht mal WEP verschlüsselt!

"Nur zugelassene Geräte" ist ein Flachwitz unter dem Teppich, da sind 
schon so viele drüber gelaufen das man über den nicht mehr wirklich 
stolpern sollte.

Jens M. schrieb:
> Ob ich diesen Hashcat-Kram sinnvoll zum laufen bekomme, weiß ich aber
> nicht.

Locker, gaaanz locker bekommst das zum laufen. 
https://hashcat.net/hashcat/ gibt sogar ne GUI für windows . Braucht 
aber (also hätte natürlich gerne) ne gute Grafikkarte. Auf einer CPU 
läuft es halt sonst sehr langsam.

Wenn deine Grafikkarte (CUDA Treiber!) richtig installiert ist, Hashcat 
installieren, anwerfen,fertig.

Ich hab vor Jahren schon angefangen Passwortlisten zu sammeln und 
duplikatfrei zusammen zu führen. Gesamt mit allen Längen bin ich bei 
meiner liste aktuell bei 79GB, davon erfüllen rund 20GB die 
Anforderungen für WPA2 geeignet zu sein.

Das dürfte das größte Stück Arbeit sein, sich so eine Liste anzulegen. 
Ist aber mit schneller Verbindung heute in kurzer Zeit trotzdem möglich.

Was hat eigentlich dieses "nein, ich hab den längsten" noch mit dem 
thread zu tun?

Die Anmeldeseite würde jedenfalls helfen herauszufinden, ob sich ein 
Mensch bewußt einwählt oder es ein vergessenes Gerät ist.

Jens M. schrieb:
> Ich meinte "kann kilo mein Gastnetz-PW erraten?"

50/50, ich hab definitiv NICHT den kompletten Duden drin, Wörter aus dem 
medizinischen Bereich oder Latein ect.

Das ist keine Liste für den "produktiven Einsatz als Pentester". Nur 
eine "Dauchecker" Liste, hat den Hintergrund das solche Netzwerke rein 
rechtlich als unverschlüsselt gelten weil das Passwort öffentlich 
bekannt ist, da relativiert sich auch das ausspähen und ist eher als 
"Privates Weiterbildungsprojekt" zu Akzeptieren. Für den Fall daß mir 
einer an den Karren pissen will.

Aber wäre das hier ein "Grey Hat" Auftrag: Ich würde jetzt schätzen es 
ist ein Wort das selten aber alltäglich ist und höchstens 12-14 stellen 
hat. Anhand dessen würde ich jetzt per crawler verschiedene Seiten 
anhand der Häufigkeit der Worte absuchen und alles zwischen 8-14 stellen 
das von der Häufigkeit der Nutzung im Sprachgebrauch möglichst selten 
vorkommt.

Technische Bereiche, Literatur, Film/Medien... Da würde ich mir die 
Worte fürs erste raussuchen.

Von da an geht's dann mit den Regeln zusätzlich weiter.

Schwierig schrieb:
> Was hat eigentlich dieses "nein, ich hab den längsten" noch mit dem
> thread zu tun?

Sowas zu sagen wenn offensichtlich Hilfestellungen zum Umgang mit 
Programmen zur Überprüfung der eigenen Passwort/Netzwerk-Sicherheit 
gegeben werden, mehr ist es nicht, zeugt davon das du der einzige bist 
der hier bisschen zu kurz geraten scheint.

Entschuldige wenn meine Antworten dich etwas "gekränkt" haben.

Grundlegend ist WLAN Hacking (WPA2/WPA2/3-Mixed Mode) Recht einfach, 
komplex wird es bei den Passwortlisten. Die Hilfestellungen zur 
Erstellung solcher listen und der Vergleich meiner Liste mit 
öffentlichen dient dazu zu zeigen das jemand mit bisschen mehr Grips bei 
sowas sogar minimal im Vorteil sein könnte, wenn er wie ich eben zb. 
Informationen zur Komplexität des Passwort bekommt.

So denke ich zb. es ist ein alltägliches, seltenes Wort das erst in 
"Erinnerung" gerufen werden muss, in dem man es dem Gegenüber nennt. Das 
verringert die Chancen das es zufällig erraten wird und eliminiert es 
zusätzlich aus solchen DAU listen, Worte die nur von Menschen mit leicht 
überdurchschnittlichem Allgemeinwissen verwendet werden ect.. gibt's da 
selten drin.

Kilo S. schrieb:
> Nicht nur da, die Bequemlichkeit siegt hier in DE

Warum sollte man sein WLAN großartig komplex absichern?

Meine Wohnungstüre ist auch nur einfach gesichert. Ein Einbrecher könnte 
auch einfach durch die Gipskarton-Wand neben der Türe gehen.

Solange mein WLAN funktioniert, ist doch alles gut. Falls mein Anschluss 
für Verbrechen missbraucht wird, möchte ich mich darauf berufen können, 
dass er wahrscheinlich gehackt wurde. Mit außergewöhnlichen 
Schutzmaßnahmen (die auf einen besonders sensibilisierten Experten 
hinweisen würden) wäre das Argument unglaubwürdig.

Nemopuk schrieb:
> Warum sollte man sein WLAN großartig komplex absichern?

Das ist ganz einfach, benutzt du ein Passwort das in einer öffentlichen 
Liste auftaucht und an deinem Anschluss passiert "Mist", bist du mit 
Schuld weil du für die Absicherung deines Netzwerk verantwortlich bist.

Da kannst du nicht drauf hoffen das jemand sagt:"Armer Anwender, das 
kann man ja nicht Wissen"

Nemopuk schrieb:
> Falls mein Anschluss für Vernrechen missbraucht wird, möchte ich mich
> darauf berufen können, dass er wahrscheinlich gehackt wurde. Mit
> außergewöhnlichen Schutzmaßnahmen würde dieses Argument schwach sein.

Nein, eben nicht. Es ist rechtlich ein Unterschied wie der Angreifer an 
dein Passwort kommt.

Muss er selbst eine ausreichend "starke" Liste erstellen, also "Aktiv" 
am Angriff arbeiten= Absolut strafbar!

Öffentliche Liste runterladen und durch das Programm Jagen, Treffer= 
Dein WLAN war nie sicher verschlüsselt! Die Nutzung ist so eine 
"Grauzone", die Mitschuld hast du sicher.

Glaub es, lass es, Handhabe es wie du willst.

WPA2 kann man heute noch als relativ sicher betrachten wenn du ein 
entsprechendes Passwort verwendest, dessen Komplexität und Länge einen 
Angreifer nötigt, mit "Abartig" viel Rechenleistung in Form vieler GPU 
da dran zu gehen. Hier reichen uns 18 stellen, Random: Buchstaben, 
Zahlen, Sonderzeichen, groß, klein.

Es geht nur darum daß es ihn mehr Zeit/Strom kostet als er nutzen davon 
hätte.

Selbst 8 Stellen in den Format sind ohne besonderen Anlass und viel 
Rechenleistung eine Herausforderung.

Jens M. schrieb:
> Mein normales WLAN hat 63 zufällige Zeichen

Das Problem ist, dass WPA2 nicht mehr so sicher ist. Aber genau diese 
langen Passwörter sind die Antwort darauf. Damit dürfte auch, trotz 
dieser Lücke in WPA2 dein Netz ziemlich sicher sein, auch gegen Profis.
Aber die kommen dann sowieso in deine Wohnung und stecken ein Kabel in 
die Fritz oder haben schon alles von der G-KLAUT.

Kilo S. schrieb:
> Ich weiß aktuell nicht ob dragonblood noch funktioniert. Richten wir uns
> aber darauf ein daß es noch weitere geben kann.

Ich gehe nicht davon aus.
Aber man muss auch dabei sagen, dass die beiden ausgewiesene Top-Profis 
sind und keine Hinterhof cracker.

Frank O. schrieb:
> Aber die kommen dann sowieso in deine Wohnung und stecken ein Kabel in
> die Fritz

Fester Bestandteil, bei Leuten die es ernst meinen, sind sowieso ein 
oder mehrere, mit DD-WRT/Open-WRT ausgestattete Router.

Ich habe Zwei, der Mini im Bild spannt sein eigenes Hidden SSID Netzwerk 
auf das mich dann machen lässt was ich will.

Versorgt aus dem USB Port des Router und mit einem kurzen Patchkabel 
leicht hinter einem Schrank o.ä zu verstecken.

Reingehen, Anstecken, Loslegen.

Kilo S. schrieb:
> Fester Bestandteil

Genau so!

Durch meinen Job bin ich in die verschiedensten Buden gekommen und unter 
anderem auch bei der Polizei, eine Werkstatt in der sie Autos von Leuten 
oder für Leute umgebaut haben mit Überwachungssystemen.
Der durfte und wollte mir natürlich nichts sagen und deshalb weiß ich 
nicht wie die an die Autos kommen. Jedenfalls kommen die da dran und ich 
habe mir eine umgebaute Karre angesehen. Mit dem Wissen, dass das 
umgebaut ist und trotzdem konnte ich nichts Auffälliges finden.
Deshalb schrieb ich auch, dass die Profis das ganz anders machen.

Frank O. schrieb:
> Durch meinen Job

Und ich war früher so "Broke" das ich für Zugang zum Internet kreativ 
werden musste. Im blackbook stehen heute noch die Angriffe für WEP in 
Handschrift.

Heute mach ich das nur noch als Hobby:"Kann ich es noch?"...
Und zur Aufklärung bei Freunden und Bekannten. Gerade der Bereich 
Kamerasicherheit und WLAN ist da sehr überrepräsentiert. Die gucken 
immer doof wenn sie nicht mitbekommen wie ich auf das Grundstück laufe 
weil ich die Kameras mit deauth "blind" mache.

Kabel ziehen will aber trotzdem keiner, irgendwie doof!

Kilo S. schrieb:
> Wenn deine Grafikkarte

Da geht's ja schon los.
Viele Leute inklusive mir sind mit Chipsatzgrafik zufrieden, mein PC hat 
aktuell einen i5-6xxx mit Chipsatz und ist immer noch gut genug, leider 
nur W10.
Mein Lappy hat bewusst keine Graka, dafür mehr Akkulaufzeit. Core 155H 
ist schon was moderner aber auch kein cuda.
Die letzte Grafikkarte die ich eingesetzt hatte war eine der ersten 
3-stelligen Geforce, das ist aber schon locker über 10 Jahre her und 
auch das nur weil da Boards mit taugender onboard noch selten waren, 
also kamen billigste passive Geforce rein.

Frank O. schrieb:
> Das Problem ist, dass WPA2 nicht mehr so sicher ist.

Tja leider habe ich Geräte die ich ähnlich wie meinen W10-PC nur ungerne 
entsorgen würde nur weil sie kein WPA3 sprechen. Ist ja auch ne Frage 
des Budgets.

Frank O. schrieb:
> Ich gehe nicht davon aus.

Das ist eine gewagte Annahme.
Die Wahrscheinlichkeit ist hoch, das es noch nicht öffentlich bekannte 
Hintertüren gibt, damit gewisse Institutionen dennoch was machen können.
Und die werden einen Teufel tun das bissle Bug Bounty abzustauben, wenn 
es überhaupt eine gibt.

Kilo S. schrieb:
> Fester Bestandteil, bei Leuten die es ernst meinen, sind sowieso ein
> oder mehrere, mit DD-WRT/Open-WRT ausgestattete Router.

Nur zum Verständnis: du meinst "ein solches Gerät wird beim Lauschopfer 
irgendwo installiert damit ich dann Fernzugriff auf's LAN habe", oder?

Frank O. schrieb:
> Mit dem Wissen, dass das
> umgebaut ist und trotzdem konnte ich nichts Auffälliges finden.

Nicht gut genug gesucht.
Ob ausreichend für das Opfer ist fraglich, dessen Level ist 
entscheidend.
Ähnlich wie beim Tüff, was bei dem einen so gerade noch für ein Pepperl 
gut ist kann beim anderen ein "so wird das nix, auch mit 
Wiedervorstellung" sein.
Aber da Autos von vorne bis hinten voller im Wortsinne Black Boxes 
stecken, kann man Kilo an Gerät (oder sogar einfach neue Firmware) 
verstecken, das maximal durch Zufall gefunden wird. Oder sich verrät 
durch z.B. Strahlung.

Kilo S. schrieb:
> Im blackbook stehen heute noch die Angriffe für WEP in
> Handschrift.
Verjährungsfrist schon rum?
Aber ich glaube das haben wir alle schon ausprobiert.
Als ich noch ein Haus hatte und viele Passwörter noch 0000 waren, da 
habe ich bei diesen Nachbarn die Telefonie abgestellt, um denen zu 
zeigen wie wichtig das ist. Natürlich mit deren Einverständnis.

Jens M. schrieb:
> Nur zum Verständnis: du meinst "ein solches Gerät wird beim Lauschopfer
> irgendwo installiert damit ich dann Fernzugriff auf's LAN habe", oder?

Exakt so wird das kleine Teil eingesetzt, ab da muss ich mich nur noch 
drum kümmern Zugang zum Hauptrouter zu bekommen.

Der zweite ist dann einer mit externen Antennenanschlüssen ect. Der 
dient zusammen mit entsprechenden Antennen als Reichweitenverlängerung, 
Fake AP usw..

Jens M. schrieb:
> (oder sogar einfach neue Firmware)

Würde mich nicht ein mal wundern wenn da ein echter "Hidden AP" drinnen 
steckt. Virtuelles Interface im Auto eigenen WLAN, wird erst wach und 
sendet aktiv wenn es durch eine empfangene aufwachsequenz geweckt wird.

Das wäre mein Weg das unauffällig über Firmware zu lösen.