Sicherheitsfalle dLAN – Wie man das Powerline-Netzwerk vor dem Nachbarn schützt
Powerline-Adapter (auch als PLC-Technologie bezeichnet) zahlreicher Hersteller wie Devolo (Affiliate-Link), TP-Link (Affiliate-Link) oder AVM Fritz! (Affiliate-Link) ermöglichen die einfache und unkomplizierte Anbindung von Endgeräten in das private Heimnetz über die vorhandene Stromleitung. Dies kann beispielsweise dann sinnvoll sein, wenn Geräte mit einer LAN-Schnittstelle weit vom Heim-Router entfernt stehen und es nicht möglich ist, diese Geräte über ein LAN-Kabel (z.B. CAT6 oder CAT7) anzubinden. Dazu wird ein Netzwerkport des heimischen Routers mittels eines Powerline-Adapters mit einer nahegelegenen Steckdose verbunden, wodurch das Netzwerk auf die Stromleitung erweitert wird. An jeder anderen Steckdose im Heimnetz kann nun mit Hilfe eines weiteren Adapters das Netzwerksignal aufgenommen werden und an ein oder mehrere angeschlossene Geräte weitergegeben werden. Diese Technik ermöglicht deshalb eine super einfache Erweiterung des Heimnetzes. Doch die Nutzung der Powerline-Technik birgt auch große Gefahren in sich. Dieser Artikel erklärt noch einmal ausdrücklich, wie man ein dLAN/Powerline-Netzwerk gegen Fremde absichert.
Gefahren bei unbedachter Nutzung von dLAN/Powerline
Motiviert durch ein persönliches Erlebnis, möchte ich nachfolgend noch einmal die Awareness dafür schaffen, die technisch vorhandene Verschlüsselungstechnik der Powerline-Geräte zu nutzen!
Laut allgemeiner Aussage ist für das auf die Stromleitung aufmodulierte Netzwerk spätestens am Stromzähler Schicht im Schacht. Deshalb nimmt die Rolle der Verschlüsselung von dLAN-Netzen in den Köpfen der Anwender eine eher unbedeutende Rolle ein. Das Gefühl, die Datenpakete werden ja lediglich auf die „eigene“ Stromleitung aufgespielt, erzeugt die Wahrnehmung eines geschlossenen und nicht von außen betretbaren Netzes.
Ausnahmen bestätigen jedoch die Regel, sodass ich kurz nach der Inbetriebnahme einer dLAN-Lösung (konkret mit einem Devolo duo Starter Kit (Affiliate-Link)) in meiner Wohnung eines relativ neuen Mehrfamilienhauses knapp zehn neue Devices in der Geräteliste meiner Fritzbox auffand. Relativ schnell konnte ich anhand der Namen der Geräte auf meine Nachbarn schließen. Es stellte sich heraus, dass diese ebenfalls eine Powerline-Lösung nutzen und unsere Adapter sich zu einem gemeinsamen Netzwerk verbunden hatten – mit bester Verbindungsqualität und -geschwindigkeit (rund 70Mbit/s) über zwei Stromzähler hinweg! Die Airport-Wifi-Station des Nachbarn identifizierte meine 50 MBit-Leitung außerdem kurzerhand als die „bessere“ von beiden verfügbaren Alternativen, sodass die Nachbarn bis zur Entdeckung der Situation mit sämtlichen Geräten über meine Leitung geroutet wurden.
Nach kurzer Recherche dann die Lösung. Powerline-Adapter verfügen über effektive Verschlüsselungsmethoden, die genau diese Situation zu verhindern wissen. Jedoch ist die Awareness dafür eben auf Anwenderseite kaum vorhanden. Grundsätzlich können sich nur Adapter „unterhalten“, die dasselbe Verschlüsselungskennwort nutzen. Damit die PLC-Technologie für den Anwender reibungsfrei und auf Anhieb funktioniert, statten jedoch die meisten Hersteller ihre Geräte mit einem voreingestellten Standardpasswort (meist „Homeplug AV“ aus). So verbinden sich also alle PLC-Adapter, deren Passwort nicht aktiv durch den Nutzer geändert wird, automatisch miteinander zu einem Netzwerk. Es ist daher unerlässlich, das gemeinsam verwendete Passwort der dLAN-Adapter aktiv bei der Inbetriebnahme zu ändern, was auch in jedem Handbuch durch die Hersteller so beschrieben wird.
Diese Sicherheitslücke, ausgelöst durch den nachlässigen Umgang mit der Technologie, bietet ein hohes Schadenspotenzial, da das auf die Stromleitung übertragene Netzwerk, wie in meinem Fall, nicht nur von Nachbarn, sondern theoretisch auch von jeder Außensteckdose (z.B. im Kellerbereich für den Hausmeister), betreten werden kann. Einigen Aussagen in Foren zufolge, gibt es teilweise sogar Fälle, bei denen nebeneinander stehende Einfamilienhäuser die Powerline-Datenpakete ihrer Nachbarn empfangen. Eine effektive Absicherung sollte daher in jedem Fall konfiguriert werden.
Powerline effektiv gegen fremdes Einwirken absichern
Das Passwort für die von den Herstellern implementierte Verschlüsselungstechnologie ist auf mehrere Arten abänderbar. Konkret sollte dazu das Handbuch des jeweiligen Adapters konsultiert werden.
Meist kann die Verschlüsselung sogar völlig ohne Software erfolgen. Hierfür wird (z.B. bei Devolo-Geräten (Affiliate-Link)) an jedem Adapter innerhalb von 2 Minuten der kleine Druckknopf an der Unterseite gedrückt. Daraufhin wird ein Zufallskennwort generiert und an alle Adapter weitervermittelt, an denen der Tastendruck innerhalb des Zeitfensters erfolgt. Diese Adapter verbinden sich nun zu einem verschlüsselten Netzwerk, welches nicht mehr mit anderen Adaptern kommuniziert, die das Kennwort des Verbundes nicht kennen.
Eine weitere Möglichkeit ist die Nutzung der von den Herstellern mitgelieferten Software (z.B. das Devolo Cockpit). Hier kann neben einem zufällig generierten Kennwort auch ein individuelles vergeben werden.
Es geht also kurzum darum, die vorhandene Sicherheitstechnologie schlichtweg zu verwenden.
Doch auch hier gibt es scheinbar ein Restrisiko. Wie User „Henryk“ berichtet, werden die individuell pro Powerline-Adapter vergebenen Gerätekennwörter aus der jeweiligen MAC-Adresse der Hardware abgeleitet. Da diese natürlich leicht zu identifizieren ist, besteht daher weiterhin das Risiko eines fremden Eindringens. Kein Vorteil ohne Nachteil: so schön und unkompliziert die Powerline-Technologie also ist, so bewusst sollte man sich bei der Nutzung über die mögliche Gefahrenlage bewusst sein.
Aus meinem täglichen Leben
Ich nutze Powerline vor allem dazu, z.B. auch im Kellerabteil unseres Mehrfamilienhauses eine LAN-Anbindung zur Verfügung zu haben. Die Technologie ist technisch brauchbar und ermöglicht einen einfachen und unkomplizierten Netzwerkaufbau auf Basis vorhandener Stromleitungen. Man sollte jedoch unbedingt daran denken, seine dLAN-Adapter (z.B. von Devolo (Affiliate-Link)) aktiv mit einem neuen Passwort zu verschlüsseln, um so zumindest unfreiwilligen Unbekannten den Zutritt zum Heimnetzwerk zu verwehren. Das Restrisiko wegen aus den MAC-Adressen abgeleiteten Gerätepasswörtern bleibt jedoch weiterhin bestehen.
31 Kommentare
Moin,
Hier ist ein bisschen Vorsicht geboten. Es stellt sich nämlich raus, dass die Powerline-Geräte quasi alle einen Fehler per Design haben: https://www.bentasker.co.uk/documentation/security/282-infiltrating-a-network-via-powerline-homeplugav-adapters
(Kurzzusammenfassung: Es gibt ein Gerätepasswort und ein Netzwerkpasswort. Das Gerätepasswort ist unten aufgedruckt. Mit diesem kann man auch entfernt das Gerät konfigurieren, und halt zum Beispiel zu einem neuen Netzwerk hinzufügen. Das ist die alternative Vorgehensweise zum Knopf-drücken. Ein Angreifer der das Gerätepasswort kennt, kann jetzt einfach remote deine Geräte zu seinem eigenen Netzwerk hinzufügen und hat dann wieder Zugriff auf dein Netz hinter den Geräten. Und jetzt der Clou: Bei quasi allen großen Herstellern ist das Gerätepasswort a) nicht änderbar und b) aus der MAC-Adresse des Geräts abgeleitet, die c) natürlich frei gesehen werden kann. Stellt sich raus, dass b) vermutlich daher kommt, dass es als Teil der Referenzimplementierung eine Ableitungsfunktion von MAC-Adresse zu Gerätepasswort gab, die einfach alle Hersteller übernommen haben.)
Bei mir zu Hause betreibe ich das Powerline-Netz als unvertrauenswürdiges externes Netz. Ich hab es mit einem VLAN-fähigen Switch vom Rest-Netz getrennt und erlaube nur definierte Übergänge und setze darauf nochmal separate Verschlüsselung (also SSH) ein.
—
Henryk Plötz
Grüße aus Berlin
Hallo Henryk,
das sind interessante Informationen. Ich werde diese Tatsachen gleich in den Blogpost übernehmen.
Viele Grüße
Christoph
Hallo Henryk,
ich muss hier korrigieren. Bei devolo, dem PowerLine Marktführer, ist das Gerätepasswort zufällig generiert und nicht von der MAC-Adresse abgeleitet.
Grüße
Oliver
Hallo Oliver,
vielen Dank auch dir für deinen Hinweis. Woher nimmst du diese Information?
Danke vorab und viele Grüße
Christoph
Ein eigenständiges Passwort zu vergeben, ist auf jeden Fall sinnvoll, auch wenn man glaubt die Ersteinrichtung war ‚auf Knopfdruck‘ erfolgreich.
ich hatte nach einem Stromausfall den interessanten Effekt, daß die DSL Verbindung zwar mit guter Verbindung stand, aber der IP Throughput nur vor sich in hinplätscherte.
Mit der IP-Adresse des Routers war ich dann bei der Fehlersuche auf einmal auf einem Speedport (den ich schon lange abgeschafft hatte) – es stellte sich heraus, daß diese der Router des Nachbarn war …
D.h. die Powerlines hatten sich munter miteinander vernetzt.
Vielleicht auch interessant: Man ist bei Powerline nicht auf das Herstellertool angewiesen.
Ich verwende zB die AVM Software für Netgear und TP-Link Adapter.
Die AVM Software hat den Vorteil, eigene Passwörter verwenden zu können.
Gruß, Uwe
Danke Uwe!
Hi,
es wurde in den letzten Beiträgen über die beiden Passwörter gesprochen (Geräte und Netzwerk Passwort). Gibt es einen Hersteller, bei dem ich beides selbst setzten kann? Ich wollte mir DEVOLO kaufen, aber scheinbar ist es grad bei dem Marktführer nicht möglich… oder?
Vielen Dank schon mal für die Hilfe!
Gruß
Hi,
das würde mich auch interessieren. Ich habe grad bei DEVOLO angerufen und mir das mit dem Geräte und Netzwerkkennwort bestätigen lassen.
Ich würde auch gerne beide Kennwörter selber setzten können und vielleicht gibt es ja einen Hersteller, der das bietet.
Danke schon mal ..
Gruß
Danke für den Artikel,
ich hatte das im Neubau auch, dass ich nach Stromausfall plötzlich auf dem Router des Nachbarn surfte und nicht herausbekam, wieso. Das tragische – eigentlich habe ich eine vollständige Netzwerkverkabelung im Haus, lediglich im Heizungsraum, wo auch die PV-Anlage aufgebaut ist, habe ich einen Verschaltungsfehler. Also wurde vorläufig Powerline genutzt. Die waren wohl die Bösewichte, habe direkt mal die Verschlüsselung eingeschaltet und werde jetzt den Netzwerkfehler schnellstens beheben.
Danke für den informativen Artikel,
den Aspekt der Sicherheit von dLAN Adaptern habe ich bis jetzt noch gar nicht richtig wahrgenommen. Ich werde heute Abend mal das Passwort bei meinem Devolo Adapter 650+ ändern.
Mit freundlichen Grüßen Robin
Hallo,
da mein Nachbar und ich dasselbe Problem haben, versuche ich gerade das Netzwerkpasswort zu ändern. Leider bekomme ich ich im Cockpit immer die Fehlermeldung „Es ist ein Fehler beim Setzen des Netzwerk-Kennwortes aufgetreten!“. Der Dvolo Adapter 650+ ist direkt an der Steckdose und direkt mit meiner Fritzbox verbunden. Kann mir jemand helfen??
Vielen Dank
Ellerbeker
Hallo Lutz,
da scheint irgendetwas bereits eingestellt zu sein, was dich daran hindert, das PW zu setzen. Kannst du mal exemplarisch einen Adapter auf Werkseinstellungen zurücksetzen und es mit diesem versuchen, ob es klappt?
VG
Christoph
Hallo Zusammen!
Sehr interessanter Thread. Sind eigentlich die Adapter wenn man jetzt mehrere verwendet über einen IP Scanner zu finden? müssen ja auch eine IP oder so haben oder? Also Angry IP scan findet nichts. Was die Reichweite betrifft war ich auch überrascht das auch im Garten (Einfamilienhaus) theorethisch jemand mithören könnte. Natürlich warum sollte aber geht ja ums Prinzip. Also Passwörter über die Knöpfe einstellen ist ja sicher schon mal kein Fehler da theoretisch Devolo Cockpit ja per Keylogger oder whatever für Schadsoftware den Key mitloggen könnte. Weiters wäre es auch Interessant falls sich jemand mit Wireshark auskennt wie es mit dem Handshake aussieht und wann und wie die Passwörter übertragen werden. Will eigentlich nur so sicher wie möglich zuhause sein aber nur z.B mein neuer Samsung findet auf anhieb alle Geräte im Haus (Smart TV / Fernseher) und das obwohl die Datei und Druckerfreigabe ausgeschaltet ist. Und ich versteh nicht ganz wie das mit der MAC gemeint ist hier also das Hardwarepasswort so quasi also ich kenn da jetzt nur eines das man einstellen kann? Danke bereits im vorraus
Super Beitrag!
Man sollte trotz ständig voranschreitender Technologien nie den Sicherheitsfaktor außer Acht lassen.
Man sieht ja leider öfters das vielen Leuten gar nicht bewusst ist das ihr Netzwerk, sei es nun dLAN oder WLAN, absolut ungeschützt ist. Oder das es solche „Sicherheitslücken“ gibt von denen du in diesen Beitrag berichtest. Schön das es wenigstens ab und zu jemanden gibt der versucht ist, darüber aufzuklären 🙂
Ich habe gestern ähnliche Erfahrungen gemacht 😉
https://www.cmace.de/index.php/Thread/9703-Wenn-du-zu-Hause-nicht-mehr-zu-Hause-bist-Im-Netzwerk-des-Nachbarn/
Vielen Dank für die ausführliche Beschreibung, hat mir sehr geholfen
Karsten
Danke für den Link ist ziemlich interessant! Was mir übrigens auch aufgefallen ist: Es schläust Störgeräusche ins Stromnetz ein, welche man über Musikinstrumente… beispielsweise Verstärker und Effekte hören kann.
Weg gebracht habe ich es mit einer zweiten Dose im Raum über eine „Schutzsichere“ also getrennte Steckerleiste. Aber es ist da auf jedenfall. Welche Frequenz kann ich nicht sagen, da ich leider kein Oszilloskop zur verfügung habe. Aber was ich jetzt schon mal geshen habe ist die „Dinger“ haben also MAC adressen aber keine IP adressen ist das richtig? Danke und lG
Hey du hast recht, ich habe das immer nur aus Sicht eines Einfamilienhauses gesehen. Die neuen Geräte sind jetzt aber von vornherein verschlüsselt oder?
Hallo,
was genau meinst du mit den „neuen Geräten“?
VG
Christoph
Jop sind alle ab werk verschlüsselt!
http://www.dlan-test.de/sicherheit-in-einem-dlan/
Ah vielen Dank. So etwas hab ich gesucht.
Sehr informativer Artikel. Das ausspionieren von Kennwörtern, ob an Computern oder Router wird immer schlimmer.
Hallo,
Ich überlege für meine PC Werkstadt im Keller E-Lan auf Basis von Dlink Poweline zu installieren damit ich z.B. Updates zihen kann, Lagerhaltung machen kann oder auch einfach nur im Internet Surfen kann. Die Geräte laufen alle auf Active Directory (Windows Servr). Das Haus ist ein Mietshaus der Saga GWG aus Hamburg. Wie sieht der Aktuelle Stand auf den Markt selber aus?
Bei FRITZ!Powerline-Geräten von AVM kann so etwas nicht passieren, da sie von Werk aus verschlüsselt sind. Dort gibt es nur Sets, die vorgepaart sind, ansonsten müssen Sie erst „miteinander bekannt gemacht werden“.
Also was die Verschlüsselung betrifft, kann ich nur zustimmen. Aber ich kann momentan Devolo empfehlen, da sie ohne eine IP und bloss mit einer MAC auskommen, was nicht sooooo einfach für jedermann ersichtlich ist. Hab heute ein paar sachen per Kali und Wireshark versucht. Ich hoffe, dass ich die Pakets noch näher ansehen kann, aber bis auf ein Update war da gar nichts mitzusniffen. Und da ich mich dann für „Schwachstellen“ informiert habe, ist mir auch untergekommen, dass Devolo vermutlich sicher sind, da es eben keine eindeutige „ID“ gibt, die ich oben schon verzweifelt gesucht habe. Andere Geräte werden mit einer art Gerätepasswort ausgefliefert, womit sich über den Mac Key wieder ein weiterer Key errechnen lässt usw usw… sooooo genau kann man dann selber googlen. Aber momentan noch standhaft würde ich mal sagen. Aber ich finde halt eine WEP-128 Bit schon verdammt schwach, obwohl auch WPA mit 256 Bit nicht mehr sicher ist, was das WLAN angeht. Also ist es auf jeden Fall eine relativ sichere Lösung über eine DMZ. Frage ist nur, wie weit geht der Strom oder „Magnetismus“ 😉
Moin
Kennt jemand aktuell ein Tool/Programm, um das Gerätepasswort von solchen DLAN Adaptern zu ändern?
Hab ein paar TP-Link Adapter hier (TL-PA4020P) aber kann das Gerätepass. leider nie ändern. Weder mit der original Software noch der von AVM oder devolo… 🙁
Hallo, ich möchte eigentlich temporär genau das Gegenteil.
Ich nutze mit meinen Eltern (Nachbar) den Garten gemeinsam.
Da steht jetzt eine kleine Kotta in der ich Lan/WLan haben möchte.
Wird strommässig aber von meinen eltern eingespeist. bekomm ich dann trotzem eine Verbindung zu meinem Netzwerk?
Der Adapter wird auch nur temporär bei einer Party dort stecken
Gruß Thorsten
am sichersten und einfachsten wäre es in diesem Fall für die Party ein eigenes Stromkabel für den Powerline dorthin zu legen.