ARP-Spoofing / Poisoning, MAC-Spoofing

[Mandarine]

Ich war schon ziemlich überrascht als ich heute Morgen feststellten mustte, dass zur MAC meines neuen Fernsehers - gleich 2 IPs in Benutzung waren
Anfangs dachte ich noch, der Fernseher benötige die 2 IPs um z.B. Internet, Streaming usw.. gleichzeitig bedienen zu können. Aber .. selbst nachdem ich den Fernseher komplett abgeschaltet- und den Router neu gebootet habe, hat sich die IP mit der MAC vom SmartTV immer wieder neu verbunden. Tja, die Schwachstelle wird wohl der neue Xiaomi SmartTV mit Android 9 gewesen sein. Da bin ich bezüglich ARP-Spoofing ziemlich nachlässig gewesen, schon weil ich überhaupt nicht mit gerechnet habe. Corona sorgt dafür, dass meine Nachbarn ziemlich viel Zeit haben -Blödsinn zu machen.

[Haspelbein]

Ich war schon ziemlich überrascht als ich heute Morgen feststellten mustte, dass zur MAC meines neuen Fernsehers - gleich 2 IPs in Benutzung waren
Anfangs dachte ich noch, der Fernseher benötige die 2 IPs um z.B. Internet, Streaming usw.. gleichzeitig bedienen zu können. Aber .. selbst nachdem ich den Fernseher komplett abgeschaltet- und den Router neu gebootet habe, hat sich die IP mit der MAC vom SmartTV immer wieder neu verbunden. Tja, die Schwachstelle wird wohl der neue Xiaomi SmartTV mit Android 9 gewesen sein. Da bin ich bezüglich ARP-Spoofing ziemlich nachlässig gewesen, schon weil ich überhaupt nicht mit gerechnet habe. Corona sorgt dafür, dass meine Nachbarn ziemlich viel Zeit haben -Blödsinn zu machen.

Wie bist du überhaupt darauf gekommen? Ich schaue mir in regelmässigen Abständen die Resulltate meines NMAP scans an. Hattest du dort einen doppelten Eintrag, oder wie ist dir das aufgefallen? Vielleicht sollte ich es selbst um einen Nping ARP scan erweitern? Aber nein, meine Nachbarn sind zu weit weg. Was hast du denn für Nachbarn, und wie wird dein Gegenschlag aussehen?

[truthCH]

Ich war schon ziemlich überrascht als ich heute Morgen feststellten mustte, dass zur MAC meines neuen Fernsehers - gleich 2 IPs in Benutzung waren
Anfangs dachte ich noch, der Fernseher benötige die 2 IPs um z.B. Internet, Streaming usw.. gleichzeitig bedienen zu können. Aber .. selbst nachdem ich den Fernseher komplett abgeschaltet- und den Router neu gebootet habe, hat sich die IP mit der MAC vom SmartTV immer wieder neu verbunden. Tja, die Schwachstelle wird wohl der neue Xiaomi SmartTV mit Android 9 gewesen sein. Da bin ich bezüglich ARP-Spoofing ziemlich nachlässig gewesen, schon weil ich überhaupt nicht mit gerechnet habe. Corona sorgt dafür, dass meine Nachbarn ziemlich viel Zeit haben -Blödsinn zu machen.

Ich frage mich gerade, wieso beziehen Deine Nachbarn eine IP von Dir? Gemeinschaftsnetzwerk?

[Haspelbein]

Ich frage mich gerade, wieso beziehen Deine Nachbarn eine IP von Dir? Gemeinschaftsnetzwerk?

Taten sie nicht. Sie haben ARP-Spoofing betrieben, d.h. sie haben eines ihrer Geräte als eines seines Netzwerkes ausgegeben. Dadurch bekam es eben auch eine IP, und zwar die des korrekten Gerätes.

[Differentialgeometer]

Ich war schon ziemlich überrascht als ich heute Morgen feststellten mustte, dass zur MAC meines neuen Fernsehers - gleich 2 IPs in Benutzung waren
Anfangs dachte ich noch, der Fernseher benötige die 2 IPs um z.B. Internet, Streaming usw.. gleichzeitig bedienen zu können. Aber .. selbst nachdem ich den Fernseher komplett abgeschaltet- und den Router neu gebootet habe, hat sich die IP mit der MAC vom SmartTV immer wieder neu verbunden. Tja, die Schwachstelle wird wohl der neue Xiaomi SmartTV mit Android 9 gewesen sein. Da bin ich bezüglich ARP-Spoofing ziemlich nachlässig gewesen, schon weil ich überhaupt nicht mit gerechnet habe. Corona sorgt dafür, dass meine Nachbarn ziemlich viel Zeit haben -Blödsinn zu machen.

Sowas würde ich überhaupt nicht bemerken....

[Schlummifix]

Das ist mit großer Wahrscheinlichkeit absoluter Quatsch...
Ich nehme doch mal an, du hast ein sicheres WLAN-PW ? Mit WPA 2?
Dann ist das sehr unwahrscheinlich.

[Swesda]

Sowas würde ich überhaupt nicht bemerken....

Das ist aber ganz einfach zu kontrollieren. Die Fritzbox (oder jeder andere moderne Router) stellt eine Übersicht der jeweils angemeldeten LAN und WLAN Geräte zusammen. Du kannst sehr genau sehen, wer seit dem letzten eventuellen Löschen der Liste sich neu angemeldet hat und wer gerade aktuell angemeldet ist. Perfekter Service der Box. Ich habe einen Gästezugang für mein WLAN, in das sich auch schon mal Fremde, wie z.B. Handwerker einloggen. Theoretisch könnten die also spoofen oder den Zugang weitergeben. Aber ein Gast kommt nicht in mein eigenes Netz und nicht an meine Daten. Er kostet allerdings Bandbreite wenn er aktiv ist. Das merkt man nicht unbedingt sofort. Also lösche ich regelmäßig alle Anmeldung im Gästebereich weg.

Einen Router ohne separaten Gastzugang würde ich nicht mehr betreiben. Geht ab FB 7490, soweit ich weiß.

[Ansuz]

Wie bist du überhaupt darauf gekommen? Ich schaue mir in regelmässigen Abständen die Resulltate meines NMAP scans an. Hattest du dort einen doppelten Eintrag, oder wie ist dir das aufgefallen? Vielleicht sollte ich es selbst um einen Nping ARP scan erweitern? Aber nein, meine Nachbarn sind zu weit weg. Was hast du denn für Nachbarn, und wie wird dein Gegenschlag aussehen?

Der letzten Frage möchte ich mich anschließen und eine Idee hätte ich auch schon. :P

Es ist jedoch in der BRiD so, daß seit der Einführung des sogen. Hacker-Paragraphen die alltäglichen Aufgaben von Netzwerkadmins und Sicherheitsexperten erschwert wurden, von Privatanwendern ganz zu schweigen.

Insofern erst mal die Anfrage, inwieweit man hierzustrang ausführlicher werden könnte, um die Problematik zu beleuchten. Gerade das Thema MITM fände ich ohnehin erörterungswert.

[Mandarine]

Wie bist du überhaupt darauf gekommen? Ich schaue mir in regelmässigen Abständen die Resulltate meines NMAP scans an. Hattest du dort einen doppelten Eintrag, oder wie ist dir das aufgefallen? Vielleicht sollte ich es selbst um einen Nping ARP scan erweitern? Aber nein, meine Nachbarn sind zu weit weg. Was hast du denn für Nachbarn, und wie wird dein Gegenschlag aussehen?

Den Hinweis bekam ich über "arpalert" . Allerdings hatte ich das Tool anfangs nur auf die schnelle eingerichtet, so dass es keine Logs von sich gab sondern nur über Zustand selbst (systemd status). Schon seit gut 10 Stunden bin ich jetzt dran, die Lücken zu schließen. WPA-PSK ganz besonders ipv4 sind nun mal angreifbar . Folgendes habe ich bisher gemacht ...

- ARP im Kernel deaktiviert und anschließend statisch eingerichtet.
- Clients isoliert
- Von WPA-PSK auf WPA-EAP (802.1X) umgestellt. Teils mit Key (TLS). Der Fernseher kann nur PEAP ohne Zertifikat.
- Ein Script geschrieben das die Verbindung blockt. Dafür verwende ich IPtables. Später soll nur die entsprechende MAC angesprochen werden. Macchanger könnte ich auch nehmen, allerdings geht es dann statisch nicht mehr und dnsmasq könnte dann auch nicht mehr die IPs zuordnen.

.Arpalert ist jetzt erst einmal so eingerichtet das Ganze ein wenig zu loggen. Fernseher mit Android 9, letzte Aktualisierung -Juni 2020- . Tja ..

[Mandarine]

Taten sie nicht. Sie haben ARP-Spoofing betrieben, d.h. sie haben eines ihrer Geräte als eines seines Netzwerkes ausgegeben. Dadurch bekam es eben auch eine IP, und zwar die des korrekten Gerätes.

Richtig und die Schwachstelle ist/war? der Fernseher den ich jetzt auf WPA-EAP umgestellt habe. Dazu benötigt man die Passphrase und eine ID. Somit wäre spoofing kaum noch möglich. Aber, ich weiß nicht was für Lücken in Android 9 so sind. Ich werde es weiter beobachten. Ist ein Xiaomi SmartTV