Merkwürdige Aktivitäten in meinem Netzwerk [DHCP-Server, WLAN spackt]

Sanity01

Member
Hay hoffe ist im richtigem Forum bzw. Unterforum undzwar haben wir seit paar Tagen viele Probleme mit unserem WLAN allgemein mit dem Netzwerk usw. Erstmal zum Router ist ne Fritzbox 7362 SL recht alt aber ging nicht anders ^^ und ich hab bemerkt dass unter Ereignisse ein bestimmter PC sich Zugriff verschafft hat. Das ganze hab ich schon geklärt mit Kennwort ändern, WLAN passwort ändern, Benutzername hinzufügen und höhere Sicherheit allgemein (hatte das ganze schonmal probiert aber aufm PC und ich denke mal dass iwer Zugriff auf meinen PC hat oder Informationen auslesen kann da er sich direkt anmelden konnte als ich das WLAN Passwort geändert habe kann aber auch sein dass ich mich irre). Hab dann immer unter Ereignisse mich umgeschaut und kam nix außer eine Aktivität als er sich versucht hat als admin sich einzuloggen in ein FTP Dienst natürlich fehlgeschlagen. Und dachte dass wärs dann eigentlich aber es muss ja irgendwo ein Ursprung haben hab mich bissl umgesetzt mit dem ganzen Thema kenne mich leider so garnicht aus aufjedenfall hab ich dann die Active Directory abefragt mit nem Network Scanner dort sah man dann 4 DHCP-Server eine mit der Fritzbox IP sollte denke ich passen hänge auch paar Screenshots an. Öhm ja gab dann noch 2 ipv6 Adressen wozu ich nicht wirklich was gefunden hab und eine besondere die sehr rausgestochen hat die [192.168.228.41 192.168.228.42 0.0.0.0 185.123.227.250] hab die IP direkt angepingt und komischerweise bekommt man eine öffentliche ipv4 adresse und wenn man die googlet dann sieht man dass es von einem Telekom Anbieter stammt und da ich nichts mit Telekom zutun hab kann es doch nur eine andere Person ausm Internet sein wenn ich mich nicht irre. Hab auch den DNS-Server überprüft von der IP und es kam raus dass es von Avira stammt hatte auch damit nix zutun Hab vor paar Minuten nochmals die Active Directory abgefragt und der DHCP-Server scheint verschwunden zu sein die anderen 3 sind noch da grad beim Thread schreiben ist noch ein DHCP Server verschwunden diesmal eine ipv6 die mit fe80 beginnt scheint als würden die verschwinden und wieder herkommen auch der DHCP-Server der Fritzbox war kurz weg und dann wieder da, die aufälligste IP ist jedoch immernoch weg und scheint nicht wiederzukommen. Hat er was bemerkt oder warum ist es nichtmehr da? Kann er wieder daraufzugreifen oder bin ich erstmal sicher? Oder hat es garnix mit einer dritten Person zutun? Kenne mich wie gesagt nicht aus und bin für jede Antwort dankbar :) find es nur komisch dass man beim anpingen eine öffentliche ipv4 Adresse findet die nix mit mir zutun hat.

Hoffe mal ist im richtigen Forum bzw. Unterforum sorry falls nicht :/
 

Anhänge

  • vorheractivedirectory.PNG
    vorheractivedirectory.PNG
    5,9 KB · Aufrufe: 203
  • nacheractivedirectory.PNG
    nacheractivedirectory.PNG
    4,9 KB · Aufrufe: 212
  • nacheractivedirectory2.PNG
    nacheractivedirectory2.PNG
    4,5 KB · Aufrufe: 198
Ich weiss nicht ob es anderen auch so geht, aber dein langer, wie ich finde, unstrukturierter Text ohne Absätze macht es mir beinahe unmöglich deinen Text zu lesen oder zu verstehen.
 
  • Like
Reaktionen: lme
Also das "Unterforum" stimmt, aber das Forum allgemein evtl. nicht - ich sehe nicht so ganz wo da ein *BSD Betriebsystem beteiligt ist - andererseits sind hier viele freundliche Menschen die allgemein gerne versuchen zu helfen :)

Ich weiss nicht ob es anderen auch so geht, aber dein langer, wie ich finde, unstrukturierter Text ohne Absätze macht es mir beinahe unmöglich deinen Text zu lesen oder zu verstehen.

Dem kann ich nur zustimmen.

Ich ... will dir nicht zu nahe treten, aber selbst wenn man das auseinander nimmt kommt nicht viel sinnvolles dabei heraus.

Active Directory ... ist das ein Firmennetz um das es hier geht, dein Privates netz?

Verstehe ich das richtig das du auf der FritzBox erst ein fremdes Gerät gesehen hast und jetzt vermutest das derjenige, der da ja irgendwie in deiner Nähe sitzen muss, deinen PC (Welches Betriebsystem?) gehackt haben könnte?
Das sind ja zwei sehr unterschiedliche dinge, bist du dir da sicher, und wenn ja, warum?
Was für einen Sicherheitsstandard (WPA2? WEP?) Verwendet das WLAN? War der schlüssel "sicher"?

Hast du nur das Lokale Netzwerk mit dem Scanner gescant? Mit welchen Optionen?
 
Wie erklärst du dir dann deinen Zugriff aus dem Netz der Tkom zu uns?
Was meinst?

Ich weiss nicht ob es anderen auch so geht, aber dein langer, wie ich finde, unstrukturierter Text ohne Absätze macht es mir beinahe unmöglich deinen Text zu lesen oder zu verstehen.

Sorry war aber recht spät und wollte so schnell wie möglich zusammenfassen was ich alles so bemerkt hab.

Also das "Unterforum" stimmt, aber das Forum allgemein evtl. nicht - ich sehe nicht so ganz wo da ein *BSD Betriebsystem beteiligt ist - andererseits sind hier viele freundliche Menschen die allgemein gerne versuchen zu helfen :)



Dem kann ich nur zustimmen.

Ich ... will dir nicht zu nahe treten, aber selbst wenn man das auseinander nimmt kommt nicht viel sinnvolles dabei heraus.

Active Directory ... ist das ein Firmennetz um das es hier geht, dein Privates netz?

Verstehe ich das richtig das du auf der FritzBox erst ein fremdes Gerät gesehen hast und jetzt vermutest das derjenige, der da ja irgendwie in deiner Nähe sitzen muss, deinen PC (Welches Betriebsystem?) gehackt haben könnte?
Das sind ja zwei sehr unterschiedliche dinge, bist du dir da sicher, und wenn ja, warum?
Was für einen Sicherheitsstandard (WPA2? WEP?) Verwendet das WLAN? War der schlüssel "sicher"?

Hast du nur das Lokale Netzwerk mit dem Scanner gescant? Mit welchen Optionen?

Sorry dass es im falschen Forum ist hab einfach nach DHCP Forum gegoogelt und dann kam die Seite raus und hab sonst keinen gefunden. Meine das Active Directory in meinem privatem Netz.

Und ja ich hab ein fremdes Gerät gesehen aber denke nicht dass es irgendjemand in der Umgebung ist sondern eher per remote Zugriff auf den DHCP-Server zugreift wie auch immer und sich so Information verschafft aber bis jetzt ist der DHCP-Server der "fremden" Person nicht wieder aufgekommen und sonst auch keine Probleme mehr.

Hab ein Windows 10 Pro und hatte schon paar Probleme seit paar Tagen da auch mein Arbeitslaptop "gehackt" wurde oder es ist einfach Zufall, aber seitdem macht das Laptop ein eigenes WLAN auf und stört unser Kanal. Aber dass sollte morgen geklärt werden von meinem Arbeitgeber.

Wie gesagt hatte ich schon paar Probleme seit einigen Tagen und deswegen bin ich mir Recht sicher, dass hier etwas abläuft kann natürlich sein dass er sich aber jetzt schon verzogen hat.

Nutze WPA2 dass Schlüssel war nicht sicher doch bei der 2. Änderung hatte ich ein sicheres Schlüssel aber kein Benutzernamen dort hatte er sich noch verbunden mit dem Netzwerk aber nun mit Benutzername und sicherem Schlüssel kam keine Aktivität mehr außer ein login mit dem Benutzerkonto admin was nicht existiert.

Genau, hab das lokale Netzwerk gescannt mit dem Programm was ich habe kann man nicht wirklich Optionen einstellen man klickt auf Active Directory scan und es scannt.

Nächste Frage: gibt es überhaupt einen Plan wie das Netz aufgebaut ist oder ist das "Wildwuchs"

Was meinst genau?


Danke für alle Antworten und sorry dass es im falschen Forum ist...
 
Sorry dass es im falschen Forum ist hab einfach nach DHCP Forum gegoogelt und dann kam die Seite raus ...
Wenn Du in einem Forum unterwegs bist, kann der admin deine externe/öffentliche IP-Adresse sehen. Die ist i. d. R. von deinem Internet Provider deinem border device (Router?) zugewiesen. Es könnte aber auch sein, dass Du über ein proxy (oder gleichwertig), im Internet unterwegs bist.

Ich denke, dass dein Gerät (PC/Laptop), warum auch immer, Zugang zu mehreren/verschiedenen DHCP-Servern hat. Such mal nach einem für dein Betriebssystem geeignetem tool, mit dem Du scannen bzw. feststellen kannst, zu welchen DHCP-Servern dein Gerät z. Zt. Zugang hat oder hätte.
 
Dass in deinem Netz mehrere dhcp-Server existieren spricht nicht gerade dafür, dass Du das Netz systematisch (nach Plan) aufgebaut hast. Eher dafür, dass es über die Zeit einfach "weitergewachsen" ist in dem immer neue Geräte hinzugefügt wurden ohne die zweckmäßig zu konfigurieren.
Und wenn ich mir deinen Ausgangspost durchlese, sieht es für mich auch danach aus, als ob Du keinen richtigen Überblick hast, wie dein Netz konfiguriert ist.
Wenn es ein privates Netz ist, sollte es kein Problem sein, erstmal Bestandsaufnahme zu machen:
Was ist vorhanden
Wie ist es konfiguriert
Nur ein dhcp-Server (am besten die Fritzbox)
evtl. alles was geht auf statische IP umstellen
evtl IPv6 erstmal komplett abschalten wenn möglich
Einloggen von außen (aus dem Internet) extrem reglementieren oder ganz unterbinden

alles was sich nicht konfigurieren lässt entweder abschalten oder in Gastnetz einsperren
das gleiche mit bisher unbekannten Geräten die neu hinzukommen.

Dann sollte es einfacher sein, herauszufinden von wo die Störungen ausgehen
 
Wenn Du in einem Forum unterwegs bist, kann der admin deine externe/öffentliche IP-Adresse sehen. Die ist i. d. R. von deinem Internet Provider deinem border device (Router?) zugewiesen. Es könnte aber auch sein, dass Du über ein proxy (oder gleichwertig), im Internet unterwegs bist.

Ich denke, dass dein Gerät (PC/Laptop), warum auch immer, Zugang zu mehreren/verschiedenen DHCP-Servern hat. Such mal nach einem für dein Betriebssystem geeignetem tool, mit dem Du scannen bzw. feststellen kannst, zu welchen DHCP-Servern dein Gerät z. Zt. Zugang hat oder hätte.
Weiß jetzt nicht genau was du meintest aber ich habe einfach mal mit Wireshark alles was mit DHCP zutun hat auf meine Gerät durch ein YT Tutorial wo er erklärt wie man rogue dhcp-server rausfindet gemacht. Und man sieht im Anhang viele IPv4 Adressen und scheinen sich immer zu vermehren.

Ist doch nicht normal oder? Was kann man dagegen machen? Kann auch sein dass ich komplett aufm Holzweg bin :/

edit: grad nach den IPs im Internet gegooglet und viele sind von Avast paar Unbekannte also wahrscheinlich harmlos.

Dass in deinem Netz mehrere dhcp-Server existieren spricht nicht gerade dafür, dass Du das Netz systematisch (nach Plan) aufgebaut hast. Eher dafür, dass es über die Zeit einfach "weitergewachsen" ist in dem immer neue Geräte hinzugefügt wurden ohne die zweckmäßig zu konfigurieren.
Und wenn ich mir deinen Ausgangspost durchlese, sieht es für mich auch danach aus, als ob Du keinen richtigen Überblick hast, wie dein Netz konfiguriert ist.
Wenn es ein privates Netz ist, sollte es kein Problem sein, erstmal Bestandsaufnahme zu machen:
Was ist vorhanden
Wie ist es konfiguriert
Nur ein dhcp-Server (am besten die Fritzbox)
evtl. alles was geht auf statische IP umstellen
evtl IPv6 erstmal komplett abschalten wenn möglich
Einloggen von außen (aus dem Internet) extrem reglementieren oder ganz unterbinden

alles was sich nicht konfigurieren lässt entweder abschalten oder in Gastnetz einsperren
das gleiche mit bisher unbekannten Geräten die neu hinzukommen.

Dann sollte es einfacher sein, herauszufinden von wo die Störungen ausgehen

Falls du die Fritzbox meinst wie sie konfiguriert ist, die war damals auf Standard-Einstellungen aber nachdem ich mich bissl umgeschaut hab, hab ich alles versucht sicherer zu konfigurieren wie es auch im Internet steht. Hab jetzt auch wie du meintes die IPv6 komplett ausgeschaltet. Den DHCP-Server unter Fritzbox verstehe ich leider nicht ganz da man auswählen kann von welche IP bis welche IP einstellen kann mehr nicht. Man könnte den DHCP-Server jedoch komplett deaktivieren sollte ich dass mal machen? Frage lieber nach bevor ich irgendwas verhaue.

Schaue mir mal noch die anderen Punkte an.

Danke für die Antworten
 

Anhänge

  • wireshark01.PNG
    wireshark01.PNG
    20,8 KB · Aufrufe: 208
Zuletzt bearbeitet:
Weiß jetzt nicht genau was du meintest aber ich habe einfach mal mit Wireshark alles was mit DHCP zutun hat auf meine Gerät durch ein YT Tutorial wo er erklärt wie man rogue dhcp-server rausfindet gemacht. Und man sieht im Anhang viele IPv4 Adressen und scheinen sich immer zu vermehren.

Ist doch nicht normal oder? Was kann man dagegen machen?
Ich weiß jetzt nicht welches tool für dein OS geeignet ist, aber ich mache das z. B. in der Kommandozeile mit:
Code:
nmap --script broadcast-dhcp-discover
Damit wird ein DHCP-request an die broadcast-Adresse 255.255.255.255 gesendet und die Antwort(en) ausgewertet. Eigentlich sollte nur ein einziger DHCP-Server antworten. Wenn es mehrere sind, stimmt etwas mit der Netzwerk-Konstellation/-Konfiguration nicht.
Poste mal von deinem Gerät, die Ausgabe von:
Code:
arp -a
 
Oh je, Oh je . . .
Bitte nimms mir nicht übel, aber so wie es aussieht wäre es wahrscheinlich besser, wenn Du dir einen Fachmann vor Ort suchst, der sich das mal anschaut.
Du mußt Dir erstmal darüber klar werden, wie Du das Netz gestalten willst.
Wenn Du nicht ausnahmslos alle Geräte mit statischen IPs konfigurieren kannst, brauchst Du einen dhcp-Server.

Was heißt überhaupt
sicherer zu konfigurieren wie es auch im Internet steht

Ganz allgemein gesagt:
So wie es aussieht wirst Du das nicht lösen können in dem Du "an einer Schraube drehst". Das Ding ist komplett vermurkst. Du wirst erstmal jedes Gerät einzeln überprüfen und konfigurieren müssen. Falls Du dich entschließt IPv6 zu deaktivieren, dann auch bei jedem Gerät. Sonst tauchen z.B. die fe80.. Adressen immer wieder auf - das sind sogenannte "link locale".

Zu deinem Wireshark-Mitschnitt: Hast Du mal ein "who is" auf die Adressen gemacht. Falls Du das nicht direkt von deinem Rechner aus machen willst, kannst Du das z.B. auch bei heise.de machen (im Menü unter Netzwerktools zu finden)
 
Ich weiß jetzt nicht welches tool für dein OS geeignet ist, aber ich mache das z. B. in der Kommandozeile mit:
Code:
nmap --script broadcast-dhcp-discover
Damit wird ein DHCP-request an die broadcast-Adresse 255.255.255.255 gesendet und die Antwort(en) ausgewertet. Eigentlich sollte nur ein einziger DHCP-Server antworten. Wenn es mehrere sind, stimmt etwas mit der Netzwerk-Konstellation/-Konfiguration nicht.
Poste mal von deinem Gerät, die Ausgabe von:
Code:
arp -a

Internetadresse Physische Adresse Typ
192.168.178.1 5c-49-79-7e-12-e7 dynamisch
192.168.178.255 ff-ff-ff-ff-ff-ff statisch
224.0.0.22 01-00-5e-00-00-16 statisch
224.0.0.251 01-00-5e-00-00-fb statisch
224.0.0.252 01-00-5e-00-00-fc statisch
239.255.255.250 01-00-5e-7f-ff-fa statisch
255.255.255.255 ff-ff-ff-ff-ff-ff statisch

Ich versuch das mit nmap gleichmal

Danke für die Antwort

Oh je, Oh je . . .
Bitte nimms mir nicht übel, aber so wie es aussieht wäre es wahrscheinlich besser, wenn Du dir einen Fachmann vor Ort suchst, der sich das mal anschaut.
Du mußt Dir erstmal darüber klar werden, wie Du das Netz gestalten willst.
Wenn Du nicht ausnahmslos alle Geräte mit statischen IPs konfigurieren kannst, brauchst Du einen dhcp-Server.

Was heißt überhaupt


Ganz allgemein gesagt:
So wie es aussieht wirst Du das nicht lösen können in dem Du "an einer Schraube drehst". Das Ding ist komplett vermurkst. Du wirst erstmal jedes Gerät einzeln überprüfen und konfigurieren müssen. Falls Du dich entschließt IPv6 zu deaktivieren, dann auch bei jedem Gerät. Sonst tauchen z.B. die fe80.. Adressen immer wieder auf - das sind sogenannte "link locale".

Zu deinem Wireshark-Mitschnitt: Hast Du mal ein "who is" auf die Adressen gemacht. Falls Du das nicht direkt von deinem Rechner aus machen willst, kannst Du das z.B. auch bei heise.de machen (im Menü unter Netzwerktools zu finden)


Ein Fachmann geht eher schlecht xD und nehme es dir nicht übel bin auf eure Hilfe angewiesen und dankbar für jede Antwort. Auf der Fritzbox konnte man die IPv6 Adressen komplett ausschalten wodurch man jetzt auf dem einen Programm die IPv6 nicht gefunden werden. Auf Wireshark gibt es auch nun viel wenigere Aktivitäten nur noch 5-6 wo es vorher noch bissl mehr waren.

Hab auf paar Adressen who is gemacht aber da es zuviele sind und immer steigen schon bei 76 hab ichs gelassen. Probiere das mal mit heise.de

Danke für die Antwort
 
Hier noch die Ausgabe von nmap

C:\Program Files (x86)\Nmap>nmap --script broadcast-dhcp-discover
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-14 15:24 MitteleuropΣische Zeit
Stats: 0:00:04 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-Scan
NSE Timing: About 0.00% done
Stats: 0:00:08 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-Scan
NSE Timing: About 0.00% done
Pre-scan script results:
| broadcast-dhcp-discover:
| Response 1 of 1:
| Interface: eth6
| IP Offered: 192.168.178.39
| DHCP Message Type: DHCPOFFER
| Server Identifier: 192.168.178.1
| IP Address Lease Time: 10d00h00m00s
| Renewal Time Value: 5d00h00m00s
| Rebinding Time Value: 8d18h00m00s
| Subnet Mask: 255.255.255.0
| Router: 192.168.178.1
| Domain Name Server: 192.168.178.1
| Domain Name: fritz.box
| Broadcast Address: 192.168.178.255
|_ NTP Servers: 192.168.178.1
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 11.97 seconds

Scheint nicht wirklich was verdächtiges zu geben :/

edit: falls ich es nicht erwähnt hab, derjenige der sich Zugriff verschaffen will oder schon hat hat sich ja mit dem admin Benutzer versucht einzuloggen und das von meiner IP auf dem PC hier. Da ich das nicht war muss er ja iwie Zugriff auf den PC haben wenn ich mich nicht irre.
 
warum überhaupt Mittschnitt direkt mit wireshark? So wie ich das sehe, willst Du ja herausfinden, welcher Rechner wohin ins Internet "telefoniert". Du kannst auf der Fritzbox einen Mitschnitt machen (capture.html), der liefert dir zu jeder Ziel-IP auch die Quell-IP, womit Du auch den Rechner hast der der Verursacher ist.
 
warum überhaupt Mittschnitt direkt mit wireshark? So wie ich das sehe, willst Du ja herausfinden, welcher Rechner wohin ins Internet "telefoniert". Du kannst auf der Fritzbox einen Mitschnitt machen (capture.html), der liefert dir zu jeder Ziel-IP auch die Quell-IP, womit Du auch den Rechner hast der der Verursacher ist.

Paketmitschnitt oder?

Dort dann einfach unter Internet auf Start in jeder Kategorie und wann dann stoppen? Oder unter welchem Abschnitt findet man den Verursacher [Internet oder WLAN denk ich mal]. Wie gesagt kenne mich halt echt null aus.

Lasse die unter Internet und WLAN mal laufen.
 
Hab ein Windows 10 Pro und hatte schon paar Probleme seit paar Tagen da auch mein Arbeitslaptop "gehackt" wurde oder es ist einfach Zufall, aber seitdem macht das Laptop ein eigenes WLAN auf und stört unser Kanal. Aber dass sollte morgen geklärt werden von meinem Arbeitgeber.

Wie gesagt hatte ich schon paar Probleme seit einigen Tagen und deswegen bin ich mir Recht sicher, dass hier etwas abläuft kann natürlich sein dass er sich aber jetzt schon verzogen hat.
Weiß jetzt nicht genau was du meintest aber ich habe einfach mal mit Wireshark alles was mit DHCP zutun hat auf meine Gerät durch ein YT Tutorial wo er erklärt wie man rogue dhcp-server rausfindet gemacht. Und man sieht im Anhang viele IPv4 Adressen und scheinen sich immer zu vermehren.
Wie gesagt kenne mich halt echt null aus.

Um mal unten anzufangen: das gilt für mich auch und deshalb habe ich auch nur ein wirklich einfaches Konzept in meinem Netzwerk realisiert, aber das kenne ich eben doch. Zumindest so weit, das ich nicht in YT nachsehen muss, um Ratschläge zu finden.
Das ist ganz wichtig.
Denn, um ein Problem zu lösen, muss man es ja finden und finden kann man nur, wenn man gescheit sucht und um gescheit zu suchen, muss man sich minimal auskennen. Und, was ganz wichtig ist: man muss gezielt vorgehen und einen Boden an Tatsachen durch unterschiedliche Tests schaffen.

Auf deine oben beschriebene Situation bezogen ist zB super schlecht, mit "gehackten Systemen" in einem nicht weiter gesicherten Netz zu arbeiten. Woher willst du denn wissen, welche Systeme da noch gehackt sind und dir etwas "rein spacken"? Anders gesagt: du musst die Möglichkeiten minimieren und nach und nach herausfinden, was funktioniert und verlässlich ist. Ein Wlan-Passwort kann noch so sicher ausgelegt sein, nutzt aber gar nichts, wenn das System von dem aus dieses benutzt wird bereits kompromittiert ist.

Also anders ausgedrückt: dein Netzwerk muss minimal sein. Zunächst nur deine Fritz.Box und ein PC, am liebsten mit einem Live-System, das garantiert nicht gehackt ist. Dann deine Konfiguration vornehmen und die Sache mal beobachten.
Wenn nun jemand einbricht oder dies versucht, kannst du ziemlich sicher davon ausgehen, dass dies von außerhalb passiert. Dabei kannst du ja auch feststellen, ob dies über Wlan passiert.
Wenn da nun eine gewisse Zeit nichts passiert, kannst du nach und nach deine Systeme wieder in Betrieb nehmen und jeweils ausgiebig beobachten, was da passiert.

Zumindest sehe ich keine andere Möglichkeit, dem Chaos irgendwie beizukommen, denn viele Aussagen von oben verstehe ich nicht, scheinen mir nicht verifiziert und teilweise wilde Spekulation zu sein. Ebenso die bereits getroffenen Analysen und Abwehrmaßnahmen.

Da muss definitiv mehr Ordnung rein, bevor jemand was dazu sagen kann. Soviel verstehe ich auch als ahnungsloser Mitleser.
 
Um mal unten anzufangen: das gilt für mich auch und deshalb habe ich auch nur ein wirklich einfaches Konzept in meinem Netzwerk realisiert, aber das kenne ich eben doch. Zumindest so weit, das ich nicht in YT nachsehen muss, um Ratschläge zu finden.
Das ist ganz wichtig.
Denn, um ein Problem zu lösen, muss man es ja finden und finden kann man nur, wenn man gescheit sucht und um gescheit zu suchen, muss man sich minimal auskennen. Und, was ganz wichtig ist: man muss gezielt vorgehen und einen Boden an Tatsachen durch unterschiedliche Tests schaffen.

Auf deine oben beschriebene Situation bezogen ist zB super schlecht, mit "gehackten Systemen" in einem nicht weiter gesicherten Netz zu arbeiten. Woher willst du denn wissen, welche Systeme da noch gehackt sind und dir etwas "rein spacken"? Anders gesagt: du musst die Möglichkeiten minimieren und nach und nach herausfinden, was funktioniert und verlässlich ist. Ein Wlan-Passwort kann noch so sicher ausgelegt sein, nutzt aber gar nichts, wenn das System von dem aus dieses benutzt wird bereits kompromittiert ist.

Also anders ausgedrückt: dein Netzwerk muss minimal sein. Zunächst nur deine Fritz.Box und ein PC, am liebsten mit einem Live-System, das garantiert nicht gehackt ist. Dann deine Konfiguration vornehmen und die Sache mal beobachten.
Wenn nun jemand einbricht oder dies versucht, kannst du ziemlich sicher davon ausgehen, dass dies von außerhalb passiert. Dabei kannst du ja auch feststellen, ob dies über Wlan passiert.
Wenn da nun eine gewisse Zeit nichts passiert, kannst du nach und nach deine Systeme wieder in Betrieb nehmen und jeweils ausgiebig beobachten, was da passiert.

Zumindest sehe ich keine andere Möglichkeit, dem Chaos irgendwie beizukommen, denn viele Aussagen von oben verstehe ich nicht, scheinen mir nicht verifiziert und teilweise wilde Spekulation zu sein. Ebenso die bereits getroffenen Analysen und Abwehrmaßnahmen.

Da muss definitiv mehr Ordnung rein, bevor jemand was dazu sagen kann. Soviel verstehe ich auch als ahnungsloser Mitleser.
Okay passt werd ich machen danke für die Antwort
 
Zurück
Oben