Fremdes Gerät in WLAN - welche Informationen wie gewinnen?

[mosquito87]

Hallo.

Nehmen wir mal an ich betreibe ein WLAN, das ordnungsgemäß verschlüsselt ist.
Nun habe ich - wie auch immer - herausgefunden, dass sich ein fremdes Gerät in meinem WLAN befindet und meine Internetverbindung nutzt.

Welche Informationen kann ich mit einem "handelsüblichen" Router theoretisch herausfinden?

Ich nehme mal an:

Per Router:
- Je nach Router vermutlich nur die MAC-Adresse

Per aufgerufener Website (falls ich an diese herankommen kann):
- IP-Adresse (die ja aber nur zu mir führt)
- Alles, was der User Agent so liefert (vermutlich Browser, Auflösung, Sprache, Gerätetyp, evtl. sogar Gerät)

Was kann ich sonst noch wie über das fremde Device herausfinden?

Danke & viele Grüße

P.S.: Ich weiß, dass ich auch einfach das WLAN-Passwort ändern könnte. Aber mich würde schon mal interessieren, was man so herausfinden kann.

 

[Thalus]

Theoretisch kannst du den gesamten Traffic über deinen PC leiten und alle unverschlüsselten Daten, die vom betreffenden Gerät gesendet bzw. empfangen werden, auslesen. Auch die verschlüsselten Daten, diese sind aber im Normalfall nicht bzw. nur mit viel Aufwand zu entschlüsseln.
Ob das allerdings rechtlich legal ist weiß ich nicht.

 

[inge70]

Wenn du MAC-Adresse kennst, kannst sie im Router ansich sperren, so das das gerät draußen bleibt.

 

[mosquito87]

Hi.
Mir geht es vor allem um Metadaten. Also Informationen über das Gerät und den Besitzer, wenn man mal annimmt, dass sich solche nicht aus dem (wie auch immer mitgeschnittenen oder getrackten) "Surfverhalten" gewinnen lassen können.

 

[helionaut]

Mit der Fritzbox lässt sich der ganze Datenverkehr aufzeichnen, dann hättest du alle Daten die unverschlüsselt übermittelt werden.
Man könnte auch einen Portscan auf den Eindringling laufen lassen und schauen ob man über evtl. offene Ports was raus bekommt.

 

[DeusoftheWired]

http://fritz.box/html/capture.html

https://en.wikipedia.org/wiki/Burp_suite

 

[Jesterfox]

Du kannst mal die ersten 6 Ziffern der MAC-Adresse durch Google jagen, dann weißt du den Hersteller des Netzwerkchips. Das kann manchmal auch schon Anhaltspunkte liefern.

 

[nitech]

Sollte das Gerät noch im Wlan sein kannst du evt. von deinem Smartphone mit der App FING ein paar Informationen gewinnen.
mfg

 

[chrigu]

Jenachdem, welches Betriebssystem der Eindringling hat und wie er sein Gerät eingestellt hat, kannst du den „für alle“ Ordner seines Gerätes oder sogar seine komplette Festplatte abklappern. Vorsichtig, dabei verstösst du gegen das Datenschutzgesetz (egal ob er dein wlan benutzt oder nicht). Vorsicht 2... vielleicht ist das ein Profi und er spioniert dich aus, entweder dank falscher dateienfreigabe deinerseits oder er schleust ein Trojaner auf dein pc..... deshalb mein dringender Tipp! Ändere sofort das wlan-passwort...
​deutschlich: was du bei ihm sehen kann, kann er auch bei dir sehen....

 

[helionaut]

Mit einer Richtantenne kannst du versuchen herauszufinden woher das Signal kommt. Ist im Gebäudeinnern allerdings nicht immer trivial (multipath)

 

[owned_you]

einfach mal kurz den Datenverkehr aufzeichnen ... rein für den Fall das du irgendwann was beweisen musst und dann ganz schnell dicht machen und PW ändern.
Den wenn der schon in dein geschütztes Netzwerk kommt hat der mehr drauf als du und der Schaden den er anrichten kann ist damit groß!

Das reine aufzeichnen zur Beweissicherung kann man dir nämlich nicht negativ auslegen ... mit allem anderen machst du dich selber strafbar!

Auch sicher ein fremdes Gerät? oftmals vergessen die Leute ihre smarte Umgebung

 

[Jesterfox]

Auch sicher ein fremdes Gerät? oftmals vergessen die Leute ihre smarte Umgebung

Jepp, deswegen auch mein Tipp mal die MAC Adresse nach dem Hersteller aufzulösen, gerade bei den Smart-Geräten ist das oft recht aufschlussreich.

 

[ElGonzo]

"Wie auch immer"?!?!
Informationen zurück halten ist immer besonders clever, wenn man Hilfe sucht.
Falls du das Gerät in der Windows Netzwerkumgebung gefunden hast, dann muss es z.B. nicht in deinem Netzwerk sein!

 

[Paradox.13te]

Hallo.

Nehmen wir mal an ich betreibe ein WLAN, das ordnungsgemäß verschlüsselt ist.
Nun habe ich - wie auch immer - herausgefunden, dass sich ein fremdes Gerät in meinem WLAN befindet und meine Internetverbindung nutzt.

In dem Fall würde ich mir noch einmal Gedankem mit ordnungsgemäß machen. Passwort ändern wäre der erste Schritt.
Oder wolltest du nur wissen was man herausfinden kann, weil du selber das WLAN von jemanden benutzt ?

 

[smart-]

Wenn du MAC-Adresse kennst, kannst sie im Router ansich sperren, so das das gerät draußen bleibt.

MAC-Adresse kann man einfach ändern, allerdings wäre in dem vom TE beschriebenen Fall wohl noch wichtiger anzumerken, dass dem Angreifer das Passwort bekannt wäre und er sich jederzeit einloggen könnte.

einfach mal kurz den Datenverkehr aufzeichnen ... rein für den Fall das du irgendwann was beweisen musst und dann ganz schnell dicht machen und PW ändern.

Es ist grundsätzlich nicht falsch den Netzwerkverkehr aufzuzeichnen, aber Profis können selbst diesen manipulieren und selbst wenn sie das nicht tun, abgesehen von Anfängern verschleiert jeder seine Identität. Man kann höchstens irgendwo was nach Russland auf einen Server verfolgen und da ist es oft vorbei. Die Polizei macht im Grunde auch gar nichts, selbst wenn du da mit Seitenweise Logs und wirklichen Beweisen ankommst, da müsstest du selbst irgendjemand Dingfest machen und zur Anklage bringen, was extrem schwierig ist. Ich habe schon viel in dem Fachbereich mit solchen Fällen speziell mit Firmen zu tun, die großen Angriffen ausgesetzt sind. In aller Regel wird darauf gesetzt die Infrastruktur wieder zum laufen zu bringen und die Täter werden nicht weiter verfolgt, da man sich entscheiden muss. Entweder oder. Es werden bei der Wiederherstellung schließlich Beweise vernichtet, aber Ausfallzeit ist eben auch Geld und die Aussicht auf Erfolg ist sehr gering, selbst wenn die Firma Anwalt und IT-Experten ruft, was oft genug übrigens sogar geschieht. Wenn das nicht konkret ein 100% beweisbarer Inside-Job war wo natürlich der Kollege Dingfest gemacht werden kann ist die Chance auf Erfolg einfach sehr gering. Daher finde ich es geradezu lachhaft hier als Privatuser zu kommen und man hätte da großartig Beweise wenn man was mitschneidet. Selbst wenn du die wie gesagt hast und das Material wirklich was taugt (99% nicht) die Polizei macht gar nichts, außer du investierst nen haufen Geld in die Strafverfolgung.




@TE
Also man kann auf dem Router selbst den Log auslesen und da ist sicherlich die wichtigste Info die MAC und die Login-Zeiten des Gerätes, bei besseren Routern lassen sich noch mehr Dinge auslesen wie Traffic, etc... ansonsten müsste man seperat mit einem Client den Netzwerkverkehr mitschneiden, was aber auch nicht so wirklich viel bringt. Im Grunde wäre tatsächlich die wichtigste Info der Log des Routers und die erste Maßnahme wäre das Netz offline zu nehmen, sofort alle PW ändern und auch zu überprüfen, ob der Angreifer was am internen Netzwerk gemacht hat, in dem Fall auch den Router zurück setzen, bzw. die verwendeten Geräte. Wenn es sich um einen Profi handeln würde (jetzt mal rein theoretisch) kann dieser ziemlich leicht Schadsoftware im Netzwerk platzieren, wenn er Zugriff hat.

 

[owned_you]

@smart-
das aufzeichnen sollte auch eher dazu dienen um einen "Einbruch/Hack" zu dokumentieren, wenn da noch Schmuh getrieben wurde um deine Unschuld beweisen zu können ... mal angenommen dein Account wurde über den gehackten WLAN missbraucht um damit Terrordrohungen zu verbreiten ... bist du sonst nämlich im Fadenkreuz der Ermittler ... oder sonstige Verleumdungen, Beleidigungen, Straftaten, dann ergeben nämlich die Ermittlungen deinen Anschluß und da ist es extrem hilfreich einen Einruch/Hack nachweisen zu können .... die Ermittlung des Überltäters braucht dich dann nicht zu interessieren.