ARP Angriff vom NAS (QNAP)

T.Full

T.Full

Enthusiast
Thread Starter
Mitglied seit
03.09.2007
Beiträge
454
Ort
Miltenberg
Seit ein zwei Wochen blockt men ESET ständig ARP Angriffe von der IP meines NAS. Kann mir da jemand was dazu sagen? Befindet sich etwas auf dem NAS das mich ANgreift oder wie soll ich das verstehen. Sind das eventuell Fehlalarme?

Gruß
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was verstehst Du (bzw. was versteht ESET) unter "Angriff"? Weißt Du überhaupt, wozu das ARP-Protokoll dient?
 
Also ein Wlanrouter hängt am DSL Modem und am DSL Modem ist auch der Switch angeschlossen an dem NAS und Rechner hängen.




Nein ich weiss nicht genau für was ARP da ist. ESET Meldet ARP Cache Poisoning Angriff abgewehrt. Von IP des NAS an IP des Rechners
 
Zuletzt bearbeitet:
Ahaaa also kann es das NAS selbst sein auf dem ja Linux läuft. Hm muß ich noch mal beobachten. Wenn jemand noch eine andere erkläreung hat dann her damit :)
 
Ich an deiner Stelle würde als erstes den Key von deinem WLAN ändern. Dies ist nämlich mitunter eine der größten Lücken um ARP-Angriffe zu starten.

Ansonsten: System genauestens kontrollieren und schauen ob du etwas verdächtiges findest... aber aufgrund meiner eigenen Erfahrung ist das WLAN momentan mein Hauptverdächtiger ;)

Grüße

yumyum
 
yumyum schrieb:
Ich an deiner Stelle würde als erstes den Key von deinem WLAN ändern. Dies ist nämlich mitunter eine der größten Lücken um ARP-Angriffe zu starten.

Ansonsten: System genauestens kontrollieren und schauen ob du etwas verdächtiges findest... aber aufgrund meiner eigenen Erfahrung ist das WLAN momentan mein Hauptverdächtiger ;)

Grüße

yumyum
Zum Vergrößern anklicken....

Oder man schaltet das WLAN temporär einfach mal ab und schaut, was passiert...
Ich meine mal mit einem halbwegs brauchbaren WLAN Schlüssel und WPA2 sollte ein WLAN idR für Homeanwender unknackbar sein.
 
@fdsonne: Du hast es erfasst: "mit einem halbwegs brauchbaren WLAN Schlüssel und WPA(2)". Das ist selbst heute noch lange kein Standard und traurigerweise gibt es selbst heute noch IT-Dienstleister, die von Tools wie "Aircrack" und Co. noch nie gehört haben und meinen selbst WEP wäre noch sicher - das ist kein Scherz! Ebenso, das ein "Fremdwort" aus dem Lexikon was keinen persönlichen Bezug zulässt (richtig) vollkommen ausreicht als Key (falsch)

Abschalten wäre natürlich auch eine Weise das Ganze zu testen.

Knacken ist theoretisch ja über einen längeren Zeitraum ohne Vor-Ort zu sein möglich. Vielleicht war da ja jemand besonders hartnäckig und das PW ist auch "machbar". Oder aber dein System wurde auf einem anderen Weg kompromittiert. Was für ein NAS ist es denn?
Selbst gemacht oder ein gekauftes..?

Grüße

yumyum
 
yumyum schrieb:
@fdsonne: Du hast es erfasst: "mit einem halbwegs brauchbaren WLAN Schlüssel und WPA(2)". Das ist selbst heute noch lange kein Standard und traurigerweise gibt es selbst heute noch IT-Dienstleister, die von Tools wie "Aircrack" und Co. noch nie gehört haben und meinen selbst WEP wäre noch sicher - das ist kein Scherz! Ebenso, das ein "Fremdwort" aus dem Lexikon was keinen persönlichen Bezug zulässt (richtig) vollkommen ausreicht als Key (falsch)

Abschalten wäre natürlich auch eine Weise das Ganze zu testen.

Knacken ist theoretisch ja über einen längeren Zeitraum ohne Vor-Ort zu sein möglich. Vielleicht war da ja jemand besonders hartnäckig und das PW ist auch "machbar". Oder aber dein System wurde auf einem anderen Weg kompromittiert. Was für ein NAS ist es denn?
Selbst gemacht oder ein gekauftes..?

Grüße

yumyum
Zum Vergrößern anklicken....

Da magst du sicher recht haben, aber ich gehe in solchen Fällen erst einmal davon aus, das jeder soviel Wissen mitbringt, um sein Netz und auch seine Daten nicht fahrlässig und leichtsinnig derart öffentlich zu zeigen...

Deswegen sag ich ja als erstes erstmal WLAN ausschalten und schauen was passiert, wenn das "Problem" weiterhin besteht, dann wirds sicher was anderes sein.

WLAN Schlüssel mindestens einmal alle halben Jahr, besser noch öfters zu ändern kann aber defintiv nicht schaden ;)

Vllt bin ich aber auch die Ausnahme, dessen WLAN Schlüssel quasi aus 64 wild durcheinander gewürfelten Zahlen/Buchstaben besteht und dazu noch alle 3-6 Monate komplett gewechselt wird ;)
 
Hm, da hat der Herr underclocker wohl recht - ist eher eine Softwareproblem als ein Hardwareproblem.

@fdsonne: Naja, ganz so "krass" bin ich dann doch nicht bei meinem WLAN drauf. Mein WPA2 Key ist jedoch ebenfalls volle 64 Zeichen lang und beinhaltet "alles Notwendige" ;)

Ich überlege allerdings gerade, was es sonst sein könnte - sollte sich das mit dem WLAN nicht als die Wurzel allen Übels herausstellen...

Grüße

yumyum
 
Also, WLAN ist jetzt erst mal aus. Mein Lappi wird gerade Secure Erased und neu aufgesetzt, sicher ist sicher. Hauptrechner ist soweit sauber ESET gecheckt und mit diversen Rootkit Scannern gesucht. Das NAS werde ich wohl sichern und neu aufsetzen müssen um komplett alles ausschliesen zu können. Einen neuen Router habe ich auch bestellt der wird den Speedtouch ersetzen, der neue ist von Netgear.
 
Das ESET darauf reagiert ist schon krass. Das ist völlig normal das dein NAS mit deinem Rechner kommuniziert weil es ein Broadcast sendet.
Das du alles neu machst und neu kaufst ist total übertrieben nach meiner Meinung. Du solltest mal bei ESET anfragen warum ESET der einzige Hersteller von AV ist, der auf ARP reagiert. Am besten ist du öffnest mal ein CMD und gibst arp -a ein, dann siehst du welche IP-Adressen in deinem Cache hinterlegt sind und MAC-Adressen. Tauchen da mehrere IP-Adressen mit der selben MAC auf, solltest dir Gedanken machen. Wenn du es noch sicherer haben möchtest, dann legst du die IP-Adresse des NAS statisch an und die MAC. Ansonsten solltest du in deinem Heimnetzwerk dir am wenigsten Sorgen machen.

MFG
 
Hi, der Router ist eh schon ziemlich alt und zickt rum, den wollte ich schon länger austauschen. Der Laptop hats auch nötig mal neu aifgesetzt zu werden. Also halb so wild. Auf das NAS wollte ich schon länger die neue Software draufbügeln aber dazu muss ich erst mal die Daten alle sichern. Das sollte ich eh tun :)

In meinem Netzwerk haben alle Rechner eine statische IP.
 
Ehm, ich meinte die statischen Einträge in das ARP. Denn standard ist das alles dynamisch. Wenn das alles mal gemacht werden muss, dann ist das okay aber trotzdem solltest du mal bei ESET anfragen warum sie dir so in Angst und Schrecken versetzen. Den Grund müssen sie dir ja nennen können.

MFG
 
Werde ich mal tun. Sorry wegen meiner unwissenheit Ich bin Netzwerktechnisch nicht sehr bewandert. ;-)
 
Odi waN schrieb:
Das ESET darauf reagiert ist schon krass. Das ist völlig normal das dein NAS mit deinem Rechner kommuniziert weil es ein Broadcast sendet.
Das du alles neu machst und neu kaufst ist total übertrieben nach meiner Meinung. Du solltest mal bei ESET anfragen warum ESET der einzige Hersteller von AV ist, der auf ARP reagiert. Am besten ist du öffnest mal ein CMD und gibst arp -a ein, dann siehst du welche IP-Adressen in deinem Cache hinterlegt sind und MAC-Adressen. Tauchen da mehrere IP-Adressen mit der selben MAC auf, solltest dir Gedanken machen. Wenn du es noch sicherer haben möchtest, dann legst du die IP-Adresse des NAS statisch an und die MAC. Ansonsten solltest du in deinem Heimnetzwerk dir am wenigsten Sorgen machen.

MFG
Zum Vergrößern anklicken....

Naja was heißt "auf ARP reagieren"? Ich denke mal eher das ESET gemerkt hat das irgendwer versucht gefakte ARP-Einträge ins Spiel zu bringen. Und dann wäre es alles andere als krass das ESET darauf reagiert. Ich mein ARP-Poisoning ist nun wirklich nichts neues mehr und auch kein Hexenwerk - mit Tools wie z.B. C&A sehr einfach zu realisieren ;) (Jedenfalls in 90% der Fälle).


Router neukaufen und so wollte der TE scheinbar ja eh schon länger. Aber was mich immernoch interessieren würde: Was für ein NAS setzt er denn nun ein..? :) Oh und noch ein Tipp von mir: Lass die Finger erst einmal lieber von den Consumer Geräten von Netgear. Die werden laut meiner Erfahrung in den letzten 1 1/2 Jahren immer schlechter und machen nur Probleme. Und da die Business Geräte "evtl. etwas teuer sind" würde ich vielleicht eher nach Alternativen von z.B. Linksys oder so schauen :)

Grüße

yumyum
 
yumyum schrieb:
Naja was heißt "auf ARP reagieren"? Ich denke mal eher das ESET gemerkt hat das irgendwer versucht gefakte ARP-Einträge ins Spiel zu bringen. Und dann wäre es alles andere als krass das ESET darauf reagiert. Ich mein ARP-Poisoning ist nun wirklich nichts neues mehr und auch kein Hexenwerk - mit Tools wie z.B. C&A sehr einfach zu realisieren ;) (Jedenfalls in 90% der Fälle).


Router neukaufen und so wollte der TE scheinbar ja eh schon länger. Aber was mich immernoch interessieren würde: Was für ein NAS setzt er denn nun ein..? :) Oh und noch ein Tipp von mir: Lass die Finger erst einmal lieber von den Consumer Geräten von Netgear. Die werden laut meiner Erfahrung in den letzten 1 1/2 Jahren immer schlechter und machen nur Probleme. Und da die Business Geräte "evtl. etwas teuer sind" würde ich vielleicht eher nach Alternativen von z.B. Linksys oder so schauen :)

Grüße

yumyum
Zum Vergrößern anklicken....

Also zum einen habe ich ihm gesagt wie man rausbekommt ob da was gefaked ist. Zum anderen, wer sollte da in seinem Netzwerk spoofing betreiben wenn alles gesichert ist und alles aus ist? ESET wird hier klar und deutlich übertrieben haben denn mir ist noch nie zu Ohren gekommen das irgendein AV Alarm geschlagen hat.
Wenn du mal das Topic lesen würdest dann liest du sicherlich auch (QNAP). Zum Thema Netgear, das ist und bleibt die billige Alternative zu QNAP und mein ReadyNAS Duo läuft und läuft und das schon seit mehr als einem Jahr.

MFG
 
Zuletzt bearbeitet:
Odi waN schrieb:
Also zum einen habe ich ihm gesagt wie man rausbekommt ob da was gefaked ist. Zum anderen, wer sollte da in seinem Netzwerk spoofing betreiben wenn alles gesichert ist und alles aus ist? ESET wird hier klar und deutlich übertrieben haben denn mir ist noch nie zu Ohren gekommen das irgendein AV Alarm geschlagen hat.
Wenn du mal das Topic lesen würdest dann liest du sicherlich auch (QNAP). Zum Thema Netgear, das ist und bleibt die billige Alternative zu QNAP und mein ReadyNAS Duo läuft und läuft und das schon seit mehr als einem Jahr.

MFG
Zum Vergrößern anklicken....

Hey!

Topic gelesen habe ich, keine Angst -aber was für ein NAS genau wollte ich eig. wissen ;)

Des Weiteren hat er ja auch nicht gesagt welche Version von ESET er einsetzt... auch wenn es (normalerweise..) sehr sehr unwahrscheinlich ist das es was größeres als NOD32 ist - es kann schon sein - und da gibt es dann auch Programme die neben dem "normalen Anti-Viren-Schutz" zudem auch noch so Sachen wie ARP-Tables usw. überwacht. Ne Firewall geht ja auch schon über die normale Anti-Viren-Arbeit hinaus.

Was Netgear angeht: Wie gesagt, meine Erfahrung hat es mir eben so gezeigt und das beinhaltet eben auch sehr regen Austausch mit anderen. Freut mich aber das dein NAS so gut läuft :) Kann ja auch sein das Hauptsächlich deren Multifunktionsgeräte (Modem/AP/Router) von den Problemen betroffen sind.

Der TE hat das WLAN "jetzt erst einmal" (Zitat) ausgemacht und die Rechner neu gemacht. Wenn JETZT nichts mehr kommt ist es wohl sicher das es wahrscheinlich am WLAN lag. Ich wüsste jedenfalls nicht was es einem Virus bringen würde die ARP-Tables zu manipulieren... nem Trojaner vielleicht noch, ja. Aber ARP-Poisoning bringt bei "direkten" Angriffen eher noch was.

Und wir wissen ja nun auch nicht, wie in etwa sein WLAN Key aussah. Und nur weil es ein WPA2 Key ist , ist das noch lange kein Garant für absolute Sicherheit. Auch WPA2 ist bis zu einem gewissen Grad noch machbar... ;)

Grüße

yumyum
 
Anmelden, um zu antworten.

Ähnliche Themen

Infin1tum
Brute Force Angriff auf mein QNAP NAS(?)
Antworten
6
Aufrufe
663
Infin1tum
Infin1tum
HWL News Bot
QNAP TS-216G: Einsteiger-NAS mit 2 Einschüben und 2.5GbE
Antworten
7
Aufrufe
1K
pwnbert
pwnbert
D
[User-Review] Lesertest zum QNAP TS-432X und N300 HDDs
Antworten
3
Aufrufe
642
Ceiber3
Ceiber3
T
qnap 453d erweiterung mit tl-d800c/d oder 2xtr-004
Antworten
2
Aufrufe
360
underclocker2k4
U
Lacos
Neue NAS u.a. für paperless-ngx : Synology DS224+ vs. QNAP TS-253E-8G? Alternativen?
2
Antworten
52
Aufrufe
3K
pwnbert
pwnbert
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh