[ROFI]

Hallo zusammen!

Ich wohne in einem Mehrfamilienhaus mit 6 Wohnungen, inmitten und gegenüber weiterer Mehrfamilienhäuser. Vor einigen Monaten begann ich mir mein WLAN mit meinem Nachbarn zu teilen, denn für mich alleine lohnt sich ein GB-Anschluss nicht, für uns beide zusammen ist das aber sehr günstig. Ich habe eine FritzBox 6591 Cable und habe darin ein Gastnetz für ihn erstellt. Das Netz ist WPA2 (CCMP) verschlüsselt, mit sehr langem, zufälligen, komplexen Passwort. Ich habe ihm bei der Einrichtung seiner Geräte geholfen und wir haben versucht ein Gerät über WPS (Taste) zu verbinden. Auf der Nutzeroberfläche stand Verbindung erfolgreich, das Gerät war jedoch nicht verbunden. Das machte uns stutzig, also haben wir sofort erneut das Passwort geändert.

Wir nutzen das nun schon eine Weile so, aber im letzten und aktuellen Monat habe ich auf der Nutzeroberfläche der FritzBox plötzlich den 10x! Traffic eines normalen Monats. Mein Nachbar macht eigentlich nicht viel im Internet und ich war im Urlaub, sodass mir dieser starke Trafficanstieg sorgen machte.
Ich betreibe auch ein Synology NAS und hatte zunächst sorge, dass jemand dort Zugang hätte und sich sämtliche Daten runterläd, aber eigentlich ist auch das NAS sehr gut abgesichert.

Mein Nachbar hat dann testweise all seine Geräte abgeschaltet und ich konnte auf der Oberfläche der FritzBox dennoch noch ein angemeldetes Gerät sehen. Leider zeigt die FritzBox nicht welches Gerät wieviel Traffic verursacht, sonst hätte ich es leichter.

Ich habe dann folgende Versuche unternommen um mehr über dieses ominöse, noch angemeldete Gerät herauszufinden:

- Hersteller der MAC-Adresse nachgeschlagen, Ergebnis: Offenbar zufällig generierte MAC (bleibt jedoch gleich)
- An- und Abmeldungen protokolliert, Ergebnis: Das Gerät meldet sich morgens zwischen 8 und 9 Uhr ab und gegen 15 Uhr wieder an. Eventuell ein Handy das mitgenommen wird?
- Traffic mitgeschnitten und in WireShark angeschaut: Das Gerät kontaktiert Apple und Microsoft Server, leider alles verschlüsselt

Mir ist noch aufgefallen, dass das Gerät sich fast nur im 2.4 GHz Band befindet. Es scheint jedoch manchmal in das 5 GHz Band zu wechseln, wenn meine Wohnungstür offen ist.

Ich würde gern einen "Fake Hotspot" mit der gleichen SSID und gleichem Key eröffnen, damit das Gerät "locken" und anhand der Signalstärke örtlich weiter eingrenzen. Leider zeigt weder Windows, noch mein Handy bei einem "mobilen Hotspot" die Signalstärke der verbundenen Clients.

Hat jemand Ideen, wie ich den ungebetenen Nutzer identifizieren kann?
Und kann mir jemand sagen wie der in das WLAN kommt? Dass er zufällig beim WPS den richtigen
Zeitpunkt erwischt hat erscheint mir doch sehr unwahrscheinlich.

Netzwerkspezialisten und Hobby-Detektive, ihr seid gefragt!

[Doodle]

Warum sperrst du das Gerät nicht einfach im Router? Ich vermute, dass dann eines von euren Geräten dann einfach nicht mehr funktioniert. Nach allem, was du geschrieben hast, ist es jedenfalls recht unwahrscheinlich, dass jemand Fremdes in deinem Netz ist. Probiere es doch einfach mal.

[Ruby3PacFreiwald]

Welchen Namen hat das Gerät, wenn es sich mit dem Router verbindet?
Bitte gib mal die MAC Adresse.

[ROFI]

Ich werde das Gerät noch sperren, aber ich würde auch gern erfahren wer die Dreistigkeit besitzt über 2 TB über mein WLAN zu ziehen und deshalb habe ich es noch nicht gesperrt. Es ist garantiert keines von unseren Geräten. Soviel Traffic verursachen wir nicht. Normalerweise liegen wir bei etwa 200 GB im Monat.


Das Gerät gibt sich gar keinen Net-Bios Namen und die MAC Adresse beginnt mit 66:B1:87. Den Hersteller gibt es nicht, das habe ich schon versucht...

[Doodle]

Nur eine Vermutung bzw. Möglichkeit, aber kannst du sicher ausschließen, dass eines eurer Geräte gehackt wurde?
Ich würde das Gerät sofort sperren.

[Hideko1994]

An sich würde ich auch empfehlen, die MAC-Filterung zu aktivieren..

Allerdings weiß ich nicht, ob die MAC-Filterung auch beim Gast-Netzwerk greift..

Zumal, ist der "ungebetene Gast" auch im Gastnetzwerk verbunden oder mit deinem Netzwerk?

Dieser Beitrag wurde von Hideko1994 bearbeitet: 18. November 2022 - 14:18

[ROFI]

Ich habe jetzt das Passwort und die SSID geändert. MAC Filter gibt es beim Gastzugang nicht, aber die MAC-Adresse lässt sich sehr einfach imitieren, von daher ist das eher kein Sicherheitsgewinn.

Ich werde mal abwarten ob der Traffic jetzt abnimmt. Unsere Geräte sind immer durchgeupdated und werden "mit offenen Augen" genutzt, daher denke ich eher nicht, dass wir das Leck sind. Bei den Nachbarn im Gastzugang bin ich mir nicht sicher, aber das wird die Trafficauswertung der kommenden Wochen zeigen.

[Doodle]

Zitat (ROFI: 18. November 2022 - 18:09)

Bei den Nachbarn im Gastzugang bin ich mir nicht sicher...

Ja, ja ... Vertrauen ist gut usw.

[ROFI]

Zitat (Doodle: 18. November 2022 - 18:36)

Ja, ja ... Vertrauen ist gut usw.

Es geht einfach darum, dass die Nachbarn vielleicht unbeabsichtigt diesen Traffic verursachen oder ihnen die Zugangsdaten abhanden gekommen sind.

Es stört mich auch nicht wenn die Internetleitung gut genutzt wird, aber wenn man sich den Traffic nicht erklären kann, dann wird es gruselig.

[Stefan_der_held]

Ähm... WLAN Namen/Zugangsdaten/Verschlüsselung ändern?

Wenns dann noch so ist, ist es jemand mit LAN Zugang zum Router inkl. Zugangsdaten... dann hast du es eingegrenzt.

Dieser Beitrag wurde von Stefan_der_held bearbeitet: 18. November 2022 - 19:11

[Doodle]

Zitat (ROFI: 18. November 2022 - 18:52)

Es stört mich auch nicht wenn die Internetleitung gut genutzt wird, aber wenn man sich den Traffic nicht erklären kann, dann wird es gruselig.

Und noch gruseliger wird es, wenn Polizei und Staatsanwaltschaft vor deiner Tür stehen, weil mit deiner IP ein paar Straftaten im Internet stattgefunden haben. Also das unbekannte Gerät bloß nicht im Router oder den Gastzugang sperren, sonst verpasst du den ganzen Spaß.

[Gispelmob]

Gatzugang deaktivieren.
MAC Filter aktivieren
WLAN-Zugang auf die bekannten WLAN-Geräte beschränken

Irgendeine Möglichkeit sollte es geben, nur eigene Geräte in das Netzt zu lassen.