Unbekannte MAC-Adresse in WLAN

#1 Hallo,

habe heute im Logfile unseren Access-Points folgende Einträge gefunden:

...

Apr/06/2004 13:29:25 Unauthorized wireless PC try to connected 00-30-F1-AD-52-1C
Apr/06/2004 13:29:27 Unauthorized wireless PC try to connected 00-30-F1-AD-52-1C
Apr/06/2004 13:29:28 Unauthorized wireless PC try to connected 00-30-F1-AD-52-1C
Apr/06/2004 13:29:30 Unauthorized wireless PC try to connected 00-30-F1-AD-52-1C

...


Das bemerkenswerte daran ist, das keiner unserer WLAN-Rechner zu diesem Zeitpunkt lief und alle WLAN-Rechner (es sind nur zwei) eine andere Mac-Adresse haben.
Der Mac-Filter ist im AP aktiv, woran der "Eindringling" gescheitert ist. Habe auch noch die WEP-Verschlüsselung aktiv.
Zur Infrastruktur: Wir haben zwei 3Com-Switche an denen sämtliche Rechner und Server verbunden sind. Wir haben einen Rechner mit WLAN ausgestattet, der Räumlich weiter weg, Wetterdaten aufzeichnet.

Nun meine Frage (n): Was kann ich durch die MAC-Adresse Erfahren? Hersteller der Karte, Datum der Herstellung usw. Der Schwarzfahrer muß sich in der nächsten Umgebung aufhalten, wie kann ich ihn orten?

Gruß, VP

#2 Hi luwessen

Richtig, durch die MAC erfährst du den Hersteller der Karte. Durch das mitloggen der connect-versuche Erfährst du Datum+Uhrzeit.

Aber orten wirst du den wohl nicht können, auf jeden Fall nicht ohne spezielle Programme und Technik bzw. Aufstellung der PC's. Ich denke da bei der Ortung an dieses System das auch von GPS benutzt wird, also mehrere Sende/Empfangsstationen und Anhand der Winkel der Signale dann den Standort berechnen.
__________
Gruß Martin86
PS: Ich bin Irre und noch nie explodiert...

#3

Zitat

Was kann ich durch die MAC-Adresse Erfahren?

gegenfrage: woher willst du wissen, dass diese MAC nicht gefälscht wurden?

greez

#4

Zitat

Emba postete

Zitat

Was kann ich durch die MAC-Adresse Erfahren?

gegenfrage: woher willst du wissen, dass diese MAC nicht gefälscht wurden?

greez

Zunächsteinmal weiß ich das die MAC-Adresse nicht aus meiner Umgebung kommt.
D.h. es hat jemand fremdes versucht in unser LAN / WLAN einzudringen.

Gruß, VP

#5 schon klar, nur wie gesagt: du machst dich jetzt mit einem sniffer auf die spur und findest tatsächlich die MAC in deiner nähe (im haus, gegenüber der strasse, ... )

was machst du dann?
deine beweise reichen nicht aus, denn die tatsache besteht: die MAC könnte gefälscht sein und du unerlaubt in die privatssphäre eines anderen eingreifen

greez

#6 Jendenfalls bin ich jetzt in Alarmbereitschaft und beoachte verstärkt die Log-Datei des AP. Ich werde wohl weiter nichts ausrichten können außer besser aufzupassen und zu überwachen. Den AP schalte ich nachts aus und repliziere die Daten am frühen Morgen.

Gruß, VP

#7 Soweit du nur den zweien mit der fester eingetragener MAC zugriff gibst und alle anderen MAC's aussperrst bist du relativ sicher.

Eigentlich solange bis etweder dein AP eine Sicherheitslücke hat oder jemand die MAC in Erfahrung bringt.

p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#8 @luwessen

Bei deinen Überlegungen könntest du auch einbeziehen, dass es Benutzer geben soll, die gar nicht wissen, das ihr soeben erstandenes Gerät ein WLAN beinhaltet.
Dann gibt es da noch so schöne Treibereinstellunge, die dazu führen, dass sich das Gerät automatisch in das nächste verfügbare Netzt einwählt, und schon hast du einen nicht authorisierten Zugriff von einem Menschen, der gar nicht weis was er tut...

Also nicht nervös werden - offensichtlich hat die Abwehr doch funktioniert. Und wenn ihr dann noch in einen WPA - fähigen Router/Accesspoint investiert darfst du auch mal vergessen, dass Gerät nachts auszuschalten.

Gruß

Detlev