Howdy.

Siehe Bild.

2 PCs sind an einem Netgear-Router WNDR4300 per Kabel angeschlossen.
Seit heute bekommen beide PCs (Win8.1) in der Netzwerkumgebung ein Telefon angezeigt, das gar nicht exisitiert. :confused:

In den Routereinstellungen ist dieses Gerät nicht als angeschlossenes Gerät aufgelistet.

>>> :confused: <<<

.

Bluetooth Telefon vom Nachbarn?

Das G510 ist ein ganz normales Android-Handy mit WLAN, deshalb auch die angezeigte MAC-Adresse. Das wird versucht haben, sich bei euch einzubuchen.

Ich würde an deiner Stelle WLan deaktivieren. Das brauchst du anscheinend nicht, aber das Smartphone kann es wohl benutzen.
http://www.netgear.de/products/home/wireless_routers/high-performance/WNDR4300.aspx
http://www.huaweidevices.de/ascend-g510?show=specs

Vielleicht versucht jemand wie bei der Fritzbox auf deine Kosten zu Telefonieren.

Nein, das ist kein internes VOIP-Telefon, damit kann man keine Anrufe tätigen. Sollte es sich in das WLAN einbuchen können, sind Probleme mit illegalen Downloads möglich, aber keine direkten Kosten.

Also bei Fritzbox hack konnte man über jedes Telefon Telefonieren nicht nur über VOIP sondern auch über ISDN oder Analog. Sofern man zugriff auf die Box bekommen hat.

Natürlich, aber dann musst du entsprechende Hardware anschließen. Um aus dem Internet heraus Kosten zu verursachen, brauchst du VOIP, nur das läuft ohne. Und hier haben wir eindeutig ein Verbindungsversuch über WLAN, sonst wäre keine MAC-Adresse hinterlegt. Bluetooth kennt so etwas nicht, zumal der Router den Standard sowieso nicht unterstützt.

Eine Sache ist noch wichtig, der Router hat keine eigene Telefonfunktion, es ist ein reiner Router ohne Modem. Insofern ist das AVM-Szenario in diesem Fall nicht möglich. Dennoch sollte natürlich überprüft werden, ob alle Einstellungen insbesondere beim WLAN stimmen und ob die aktuelle Firmware (http://www.downloads.netgear.com/files/GDC/WNDR4300/WNDR4300-V1.0.1.42.zip)verwendet wird.

Firmware ist aktuell. Ins WLan kommen nur die explizit zugelassenen Geräte.

Eben war sogar mal kurz ein Eintrag "Megane" als unbekanntes Telefon in der Win-Netzwerkumgebung. Nach ein paar Sekunden war der Eintrag dann wieder weg. :confused:

Was sagen denn die Logs des Routers und des Modems? Das Modem hat seine eigene Weboberfläche, manchmal ist die nicht offiziell zugänglich, meist findet man die Daten dazu im Netz. Es gibt derzeit z.B. Angriffe auf D-Link Modems (http://www.heise.de/security/meldung/Akute-Angriffsserie-auf-D-Link-Modems-2135158.html).

Die Logs offenbaren nichts aussergewöhnliches. Anmeldung von Geräten mit bekannten MACs, USB-Speicher ab- und wieder dran, Zeitabgleich, usw.

Ausser, evtl. das jemand bei Google pro Minute 100x versucht, von aussen an meinen Router zu kommen. :ugly:
[DoS Attack: RST Scan] from source: 173.194.69.94, port 443, Sunday, March 09, 2014 10:15:19
[DoS Attack: RST Scan] from source: 173.194.69.147, port 443, Sunday, March 09, 2014 10:15:19
[DoS Attack: RST Scan] from source: 173.194.70.120, port 443, Sunday, March 09, 2014 10:15:19

Die Google Adressen habe ich auch regelmäßig in meinen Logs. Bei mir sind das 'BAD TCP' Pakete, die keinem ordnungsgemäßen (mit SYN eingeleiteten) Socket zugeordnet werden können. Das passiert fast jedes Mal wenn ich POP3 Emails abrufe. Ich behaupte mal, im Normalfall ist das harmlos.

Dass ein Telefon in der Netzwerkumgebung auftaucht, könnte daran liegen, dass der Angreifer eine "unglückliche" Vendor ID (die ersten 6 Ziffern der Macadresse xx:xx:xx) gewählt hat, die einem Smartphoneanbieter entspricht und von Windows entsprechend eingeordnet wird.

Sollten sich die MAC Adressen noch ändern, bzw. nach wie vor auffällige Aktivität vorhanden sein, würde ich eine Zeit lang Wireshark mitlaufen lassen auf dem Windowsrechner, um zu sehen, was da vor sich geht.

Vielleicht sind auch Wlan Disconnects in den Router Logs verzeichnet. Das wird u.a. dazu verwendet, um bei dem darauf folgenden Wiederverbindungsaufbau den WPA 4-way Handshake abzufangen. Diesen kann man gegen einen Dictionary Attack (Wörterbuchabgleich) laufen lassen, um an das Passwort zu gelangen. Darum ist die Passwortstärke bei WPA nach wie vor so wichtig.

Edit:
Wobei... Du hast ja geschrieben, dass die Rechner per Kabel angeschlossen sind.

Nicht immer gleich den größtmöglichen NSA Angriff vermuten, vermutlich hat er nur UPnP aktiviert. Und die Telefone vom Nachbarn sind auch nicht in seinem Netzwerk sondern zeigen sich nur.

Nee, UPNP ist aus. (Zumindest ist in der Weboberfläche der Haken nicht gesetzt.)

Nee, UPNP ist aus. (Zumindest ist in der Weboberfläche der Haken nicht gesetzt.)

Und am PC? Der SSDP-Suchdienst? Mach den doch mal aus.

Hmm, werd' ich probieren.

Aber wie soll ein Windows-PC ohne WLAN ein Mobiltelefon finden können, das vom WLAN-Router nicht explizit zugelassen ist?
Der Router müsste dann das unbekannte Handy (oder was auch immer) im Netzwerk bekannt geben. Da kann man ja fast schon von einer kritischen Sicherheitlücke reden.

Ganz unumstritten ist UPnP nicht. Und ja die Geräte finden selbst ins Wlan. So wie dein Wlan den Beacon mit der SSID andauernd sendet so klopfen die irgendwie an dein Wlan an. Dein Router leitet den Broadcast offensichtlich an alle Clients weiter, ist wohl auch so gedacht.