Jump to content

Man-In-The-Middle... Wie bemerke ich das?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Morgen.

 

Ich befinde mich in einem Firmennetzwerk, in einer Domäne.

Ich selber bin Workstation-Admin, wie viele meiner Kollegen auch.

Wie kann ich selber feststellen, dass ich z.B. Opfer eines MITM bin oder das ich gesnifft werde?

 

Hatte mal es mit TRACERT probiert und konnte dort sehen, dass meine Datenpakete den normalen Weg gehen. Also von meinem Rechner zur ISA Firewall und dann nach draussen.

 

Kann mir jemand einen Tipp geben wie ist sowas feststellen kann bzw. wie ich mich vor sowas schützen kann?

 

Gruß

Buggy

Link to comment

@Buggy

Ich vermute mal, mit Workstation-Admin meinst Du den lokalen Admin auf Deiner Kiste. Abgesehen davon, dass aus bekannten Gründen lokale Adminrechte für User Pfui sind, würde ich mich in diesem Fall mal an den "richtigen" Admin wenden. Der ist schließlich dafür zuständig.

 

Oder habe ich Dich falsch verstanden?

Link to comment

Der Grund ist einfach, dass ich meine Mit-Azubis nicht traue.

Es sind einige Dinge vorgefallen, die ich hier nicht näher erläutern möchte.

Und das mit MIM oder ähnliche hinterhältigen "Attacken" traue ich denen voll und ganz zu.

Eine Gruppendiskussion inkl. Chef hat nichts gebracht. Es wurde von denen alles abgestritten.

 

Kurz gesagt, ich stehe völlig alleine dar.

Link to comment

Hallo,

 

grundsätzlich gibt es ja eine ganze Menge Möglichkeiten, jemanden zu "überwachen". M-I-T-M ist nur eine davon. Vielleicht sitzt Dein "Problem" also ganz woanders?

 

Für einen M-I-T-M Angriff gibt es verschiedene Ansatzmöglichkeiten - von daher kannst Du nicht "pauschal" sagen, ob Du Ziel eines Angriffs bist oder nicht, siehe Man-in-the-middle-Angriff - Wikipedia. Für alle diese Möglichkeiten können unter Umständen verschiedene Gegenmaßnahmen erforderlich sein.

 

Welchem konkreten Angriff denkst Du denn, zum Opfer zu fallen?

 

Ein praktisches Beispiel zu einem Man-In-The-Middle Angriff mittels ARP-Poisoning findest Du beispielsweise hier: Windows Server How-To Guides: „Man-In-The-Middle“ - Angriff leicht gemacht - ServerHowTo.de

 

Aber mal im Ernst: Wenn Deine Kollegen soetwas mit Dir machen, hast Du doch hoffentlich Möglichkeiten, das bei Deinen Vorgesetzten / Betriebsrat / Datenschutzbeauftragten anzusprechen...

 

Gruß olc

Link to comment

Im übrigen ist z.B. beim Sniffing auf einem Mirror-Port des Switches ein Admin-Zugriff auf dem Switch notwendig (den Azubis i.d.R. nicht haben sollten). Es gibt einfachere Möglichkeiten (2. lokalen Admin einrichten und damit auf die lokalen Dateien schauen, Remote-Desktop-Programme installieren die keine Meldung bei einem Connect ausgeben, Tools die Passwörter am PC auslesen etc. pp.). Sofern Du die Wahl hast nimm einen anderen PC, stelle sicher das keine "fremden" Accounts eingerichtet sind, verwende sichere (kryptische ) Passwörter (auch für den lokalen Administrator) und wenn es sein muss verpasse deinen Office-Dokumenten ein Kennwort. Außerdem ist kann man ja auch mal eine andere Netzwerkdose nehmen (-> anderer Switchport). Sofern die Domänen-Admin-Accounts bekannt sind (was auch hier nicht der Fall sein sollte) gibt es wenig Chancen etwas dagegen zu tun. Schaue ob im Outlook Ordner freigegeben sind oder ob weiterleitungsregeln bestehen die Du nicht kennst.

Link to comment
  • 4 weeks later...
Wie sollten die anderen Azubis denn den MIM durchführen? Gibt es da jemanden mit geeigneten Kenntnissen? Warum sollten sie sowas machen mit dir? Bist Du Aussenseiter? Leidest Du unter einer Krankheit?

 

sorry was ist das den f. ein ******.

typisch fach*** der nicht über den tellerrand schauen kann. es gibt da draussen in der welt auch unternehmen und netzwerke wo es nicht nach euren vorstellungen läuft, bzw. so wie es laufen sollte. ûnd es gibt genug user mit it halbwissen aus irgendwelchen pc zeitschriften die einem admin das leben schwer machen können. (natürlich nicht bei euch, ihr seit ja unfehlbar)

 

buggy, du solltest vielleicht etwas konkreter werden, welche phänomene du meinst. hat eventuell mit Man-in-the-middle attacken nix zu tun.

Link to comment
sorry was ist das den f. ein ******.

typisch fach*** der nicht über den tellerrand schauen kann. es gibt da draussen in der welt auch unternehmen und netzwerke wo es nicht nach euren vorstellungen läuft, bzw. so wie es laufen sollte. ûnd es gibt genug user mit it halbwissen aus irgendwelchen pc zeitschriften die einem admin das leben schwer machen können. (natürlich nicht bei euch, ihr seit ja unfehlbar)

 

buggy, du solltest vielleicht etwas konkreter werden, welche phänomene du meinst. hat eventuell mit Man-in-the-middle attacken nix zu tun.

 

@dcd: Hmm...? kann deine Aufregung an dieser Stelle nicht wirklich nachvollziehen!

 

@buggy: hast Du für uns ein paar aussagekräftige Hinweise was genau Dein Problem ist? Wenn ein Angreifer seine "Arbeit" richtig und gut macht, sollte es eigentlich nicht wirklich auffallen, dass jemand "da" ist und die packete mitliest...

Link to comment

Hallo und guten Abend,

 

hm warum versuchst du buggy nicht einfach mal mit Eigenen Mittel raus zufinden ob du überhaupt von Angriffen na sagen wir mal belästigt wirst. Weil wenn ihr alle auf eure PCs lokale Admin Recht habt dann solltest ja auch Programme Installieren können. Hm empfehlungen welches der vielen Sniffer Programme man nun einsetzen soll kann ich auch nicht machen. Ich selber habe recht gute Erfahrungen mit Etheral jetzt Wireshark gemacht. Und dann kannst du ja erst mal bei gelingen der Aktion gegenschritte einleiten z.B. Chef usw. davon in Kentniss setzen. Nur jetzt einen Schuss ins Blaue zu Riskieren und diesen auf einen Verdacht zu begründen kann denke ich mal nchhinten los gehen.

 

Wenn du dann raus gefunden hast anhand der IP wer dir diese Streiche Spielt kannst du ja nun auch immer noch die betreffende IP mit einer Firewall ausschliessen. Schlage doch einfach gleiches mit gleichen!!!

Link to comment
Schlage doch einfach gleiches mit gleichen!!!

Geht´s noch ? :suspect:

 

Fassen wir mal zusammen:

Der TO ist Azubi mit LocalAdmin-Rechten und hat das Gefühl, er wird von den anderen Azubis überwacht. Ein klärendes Gespräch incl. Chef hat aus seiner Sicht nichts gebracht.

 

Weiterhin schreibt der TO von einem ISA-Server - also kann man davon ausgehen, dass da nicht steinalte Hubs im Netzwerk sind. Direkte "Angriffe" sind nur durch Installationen auf seinem Rechner oder durch Angriffe auf die Switche möglich. Beides wär aus meiner Sicht zumindestens "betriebsschädigend".

 

@buggy:

Wenn Du wirklich Argumente hast, die Deine Vermutungen untermauern und der Chef ignoriert diese, dann wende Dich an Deinen Betriebsrat und/oder an die Admins. Diese müssen dann reagieren

 

Alle anderen Aktionen, die hier angeboten wurden, können Dir dann eventuell als betriebsschädigend angelastet werden.

 

Da ich weitere "Tipps" vermeiden möchte, mach ich den Thread zu. Sollte es akzeptable Gründe geben, das Thema weiter zu diskutieren, einfach eine PN an einen Moderator schicken.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Guest
This topic is now closed to further replies.
×
×
  • Create New...