WLAN Sicherheitsleck in der FB 7270 Version 54.04.57?

[neuling213]

Liebes Forum,
in meinen Logfiles hatte ich gestern einen sehr merkwürdigen Eintrag bezüglich eines "verirrten fremden WLAN-Clients" und ich wollte Euch mal Fragen, ob Ihr solche Einträge auch schon einmal gehabt habt:

-----Schnipp------
20.05.08 17:11:41 WLAN-Station abgemeldet. Name: -, MAC-Adresse: 00:60:B3:90:XX:XX.
20.05.08 17:05:51 WLAN-Station angemeldet. Name: -, IP-Adresse: -, MAC-Adresse: 00:60:B3:90:XX:XX, Geschwindigkeit 1 MBit/s.
-----Schnapp-----

Das Wlan ist mit einem über 40stelligen "zufälligen" WPA2-Schlüssel mit Sonderzeichen" gesichert.

Wie konnte sich die Station anmelden? Sollte nicht eher der Eintrag "WLAN-Autorisierung gescheitert" in den Log-Files drin stehen?

Wer hat schon ähnliches in seinen Logfiles beobachtet? Gibt es ein Sicherheitsleck in der WPA/WPA2-Verschlüsselung oder noch schlimmer, sogar in der Fritzbox!, von dem ich gar nichts weiß (außer schwache, zu kurze WPA-Schlüssel, die per Brute-Force geknackt werden können)?

Gab es bei Fritzboxen schonmal Firmwares, die ein Sicherheitsleck bezüglich WLAN hatten?

Ich poste mal hier im Firmware-Forum, da es hauptsächlich eine Frage zu Firmware-Versionen ist.

Verwirrt,
neuling213

 

[SnoopyDog]

So etwas gab es bei der 7050 auch ab einer bestimmten Firmware. Dort wurde der "Anmeldeversuch" sogar in der Liste zugelassener Clients angezeigt (habe ich bei meiner 7050 auch einmal gesehen). Ansonsten ist das normal, denke ich.

 

[House]

Bei mir in der 7170 sieht das so aus:

14.05.08 21:32:34 WLAN-Anmeldung ist gescheitert: Autorisierung fehlgeschlagen. Name: -, MAC-Adresse: 00:1C:B3:50:16:19.

14.05.08 21:32:22 WLAN-Anmeldung ist gescheitert: Autorisierung fehlgeschlagen. Name: -, MAC-Adresse: 00:1C:B3:50:16:19.

14.05.08 21:32:10 WLAN-Anmeldung ist gescheitert: Autorisierung fehlgeschlagen. Name: -, MAC-Adresse: 00:1C:B3:50:16:19.

Vor allem wundert mich, dass die MAC Adresse bei dir ein mbps Verbindungsgeschwindigkeit ausgehandelt bekommt. Sicher, dass du die MAC nicht kennst?

 

[neuling213]

Bei mir in der 7170 sieht das so aus:
Vor allem wundert mich, dass die MAC Adresse bei dir ein mbps Verbindungsgeschwindigkeit ausgehandelt bekommt. Sicher, dass du die MAC nicht kennst?

Ja, ganz sicher! Jedoch kenne ich nicht die MACs meiner Nachbarn. Die Sache mit der Geschwindigkeit wundert mich auch. Immerhin fehlte die IP im Log, wo sowohl feste als auch DHCP-IPs angezeigt werden.

In der Liste der WLAN-Clients taucht die MAC ebenfalls auf. Siehe Anhang!

Habe mal nach dem Hersteller der MAC gegoogelt. Ist eine Karte von Z-Com, deren Karten bekannt dafür ist, wardriving, backtrack von remote-exploit zu unterstützen! Ja, super!!! Die Frage ist nur, wie sich der Client 6 Minuten im Netz halten konnte?

Habe jetzt erstmal auf 63 Zeichen für den WPA2-Key und 14stelliges Passwort für die Box upgegradet.

Also erneut die Frage (geht auch gleich an den Support von AVM raus):

Gibt es Sicherheitslücken in der Box, von denen ich nichts weiß?

Gruß,
neuling

 

[jojo1234]

Das Verhalten habe ich mit der .57 auch schon festgestellt. Ich habe mir jedoch keine weiteren Gedanken gemacht, da ja keine IP-Adresse zugewiesen wurde.

Bei der .55 wars definitiv anders, da stand dann noch "Autorisierung fehlgeschlagen".

 

[Novize]

Müssen sich die beiden WLAN-Geräte nicht erst einmal auf eine Kommunikationsart (incl -geschwindigkeit) einigen, bevor sie Schlüssel & Daten austauschen?
Wenn dem so wäre, dann ist es doch auch denkbar, dass bei alter Firmware diese Speedangabe nur nicht im Protokoll vermerkt wurde. Eine Sicherheitslücke würde ich erst einmal nicht in Betracht ziehen.

 

[neuling213]

Novize hat recht! Habe nochmal Tests mit einem bewußt falschen WLAN-Key gemacht. Dort erscheint zuerst diese Connect-Meldung ohne IP-Adresse (siehe oben), und danach kommt erst WLAN-Anmeldung gescheitert - Autorisierung fehlgeschlagen.

Also unterscheidet die FB wohl zwischen reinen Connects und der eigentlichen Anmeldung! Verwunderlich ist nur, dass bei richtigem Verbinden eines autorisierten WLAN-Clients beide Meldung zu einer mit IP-Adresse zusammengefasst werden.

Gruß,
neuling213

 

[TLU]

Ich habe eben auch etwas Zeit auf diesen ominösen Logeintrag verschwendet...

Was hat AVM zu deiner Anfrage geantwortet?

Der Hinweis mit der fehlenden IP bei Anmeldung ist wohl entscheidend. Mich hat dabei noch primär verwirrt, dass der Fritz!Mini ebenfalls ohne IP, aber eben erfolgreich, angemeldet wird.

 

[neuling213]

kein Update von AVM

Leider gab es auf meine Anfrage bei AVM keine Antwort, trotz mehrmaligem Nachfragens. Entweder ist es tatsächlich ein Sicherheitsproblem oder man ist einfach zu faul dort.

Da WPA2 an für sich sicher ist, denke ich nicht, dass ein Sicherheitseinbruch statt gefunden hat. Beobachte meine Logfiles seit dem sehr genau und habe meine WLAN-Leistung auf 12% geschraubt (mehr brauche ich nicht, um meine Wohnung und den Balkon abzudecken).

Grüße,
neuling213