Man-In-The-Middle... Wie bemerke ich das?

[Buggy 10]

Guten Morgen.

 

Ich befinde mich in einem Firmennetzwerk, in einer Domäne.

Ich selber bin Workstation-Admin, wie viele meiner Kollegen auch.

Wie kann ich selber feststellen, dass ich z.B. Opfer eines MITM bin oder das ich gesnifft werde?

 

Hatte mal es mit TRACERT probiert und konnte dort sehen, dass meine Datenpakete den normalen Weg gehen. Also von meinem Rechner zur ISA Firewall und dann nach draussen.

 

Kann mir jemand einen Tipp geben wie ist sowas feststellen kann bzw. wie ich mich vor sowas schützen kann?

 

Gruß

Buggy

[lefg 276]

Was ist ein Workstation-Admin?

[PAT 10]

@Buggy

Ich vermute mal, mit Workstation-Admin meinst Du den lokalen Admin auf Deiner Kiste. Abgesehen davon, dass aus bekannten Gründen lokale Adminrechte für User Pfui sind, würde ich mich in diesem Fall mal an den "richtigen" Admin wenden. Der ist schließlich dafür zuständig.

 

Oder habe ich Dich falsch verstanden?

[lefg 276]

Einen "Fachmann" als MIM, ein Sniffer am Mirrorport, ist nicht zu entdecken. Datensicherheit beginnt an anderer Stelle, ist etwas für Fachleute. Man kann sich einlesen (versuchen) im Grundschutzhandbuch.

 

Gibt es einen konkreten Anlass für die Anfrage?

[Buggy 10]

Der Grund ist einfach, dass ich meine Mit-Azubis nicht traue.

Es sind einige Dinge vorgefallen, die ich hier nicht näher erläutern möchte.

Und das mit MIM oder ähnliche hinterhältigen "Attacken" traue ich denen voll und ganz zu.

Eine Gruppendiskussion inkl. Chef hat nichts gebracht. Es wurde von denen alles abgestritten.

 

Kurz gesagt, ich stehe völlig alleine dar.

[lefg 276]

Wie sollten die anderen Azubis denn den MIM durchführen? Gibt es da jemanden mit geeigneten Kenntnissen? Warum sollten sie sowas machen mit dir? Bist Du Aussenseiter? Leidest Du unter einer Krankheit?

[olc 18]

Hallo,

 

grundsätzlich gibt es ja eine ganze Menge Möglichkeiten, jemanden zu "überwachen". M-I-T-M ist nur eine davon. Vielleicht sitzt Dein "Problem" also ganz woanders?

 

Für einen M-I-T-M Angriff gibt es verschiedene Ansatzmöglichkeiten - von daher kannst Du nicht "pauschal" sagen, ob Du Ziel eines Angriffs bist oder nicht, siehe Man-in-the-middle-Angriff - Wikipedia. Für alle diese Möglichkeiten können unter Umständen verschiedene Gegenmaßnahmen erforderlich sein.

 

Welchem konkreten Angriff denkst Du denn, zum Opfer zu fallen?

 

Ein praktisches Beispiel zu einem Man-In-The-Middle Angriff mittels ARP-Poisoning findest Du beispielsweise hier: Windows Server How-To Guides: „Man-In-The-Middle“ - Angriff leicht gemacht - ServerHowTo.de

 

Aber mal im Ernst: Wenn Deine Kollegen soetwas mit Dir machen, hast Du doch hoffentlich Möglichkeiten, das bei Deinen Vorgesetzten / Betriebsrat / Datenschutzbeauftragten anzusprechen...

 

Gruß olc

[djmaker 95]

Im übrigen ist z.B. beim Sniffing auf einem Mirror-Port des Switches ein Admin-Zugriff auf dem Switch notwendig (den Azubis i.d.R. nicht haben sollten). Es gibt einfachere Möglichkeiten (2. lokalen Admin einrichten und damit auf die lokalen Dateien schauen, Remote-Desktop-Programme installieren die keine Meldung bei einem Connect ausgeben, Tools die Passwörter am PC auslesen etc. pp.). Sofern Du die Wahl hast nimm einen anderen PC, stelle sicher das keine "fremden" Accounts eingerichtet sind, verwende sichere (kryptische ) Passwörter (auch für den lokalen Administrator) und wenn es sein muss verpasse deinen Office-Dokumenten ein Kennwort. Außerdem ist kann man ja auch mal eine andere Netzwerkdose nehmen (-> anderer Switchport). Sofern die Domänen-Admin-Accounts bekannt sind (was auch hier nicht der Fall sein sollte) gibt es wenig Chancen etwas dagegen zu tun. Schaue ob im Outlook Ordner freigegeben sind oder ob weiterleitungsregeln bestehen die Du nicht kennst.

[deadcandance 10]

Wie sollten die anderen Azubis denn den MIM durchführen? Gibt es da jemanden mit geeigneten Kenntnissen? Warum sollten sie sowas machen mit dir? Bist Du Aussenseiter? Leidest Du unter einer Krankheit?

 

sorry was ist das den f. ein ******.

typisch fach*** der nicht über den tellerrand schauen kann. es gibt da draussen in der welt auch unternehmen und netzwerke wo es nicht nach euren vorstellungen läuft, bzw. so wie es laufen sollte. ûnd es gibt genug user mit it halbwissen aus irgendwelchen pc zeitschriften die einem admin das leben schwer machen können. (natürlich nicht bei euch, ihr seit ja unfehlbar)

 

buggy, du solltest vielleicht etwas konkreter werden, welche phänomene du meinst. hat eventuell mit Man-in-the-middle attacken nix zu tun.

[xcode-tobi 10]

sorry was ist das den f. ein ******.

typisch fach*** der nicht über den tellerrand schauen kann. es gibt da draussen in der welt auch unternehmen und netzwerke wo es nicht nach euren vorstellungen läuft, bzw. so wie es laufen sollte. ûnd es gibt genug user mit it halbwissen aus irgendwelchen pc zeitschriften die einem admin das leben schwer machen können. (natürlich nicht bei euch, ihr seit ja unfehlbar)

 

buggy, du solltest vielleicht etwas konkreter werden, welche phänomene du meinst. hat eventuell mit Man-in-the-middle attacken nix zu tun.

 

@dcd: Hmm...? kann deine Aufregung an dieser Stelle nicht wirklich nachvollziehen!

 

@buggy: hast Du für uns ein paar aussagekräftige Hinweise was genau Dein Problem ist? Wenn ein Angreifer seine "Arbeit" richtig und gut macht, sollte es eigentlich nicht wirklich auffallen, dass jemand "da" ist und die packete mitliest...

[schnuffi79 11]

Hallo und guten Abend,

 

hm warum versuchst du buggy nicht einfach mal mit Eigenen Mittel raus zufinden ob du überhaupt von Angriffen na sagen wir mal belästigt wirst. Weil wenn ihr alle auf eure PCs lokale Admin Recht habt dann solltest ja auch Programme Installieren können. Hm empfehlungen welches der vielen Sniffer Programme man nun einsetzen soll kann ich auch nicht machen. Ich selber habe recht gute Erfahrungen mit Etheral jetzt Wireshark gemacht. Und dann kannst du ja erst mal bei gelingen der Aktion gegenschritte einleiten z.B. Chef usw. davon in Kentniss setzen. Nur jetzt einen Schuss ins Blaue zu Riskieren und diesen auf einen Verdacht zu begründen kann denke ich mal nchhinten los gehen.

 

Wenn du dann raus gefunden hast anhand der IP wer dir diese Streiche Spielt kannst du ja nun auch immer noch die betreffende IP mit einer Firewall ausschliessen. Schlage doch einfach gleiches mit gleichen!!!

[zuschauer 10]

Schlage doch einfach gleiches mit gleichen!!!

Geht´s noch ? :suspect:

 

Fassen wir mal zusammen:

Der TO ist Azubi mit LocalAdmin-Rechten und hat das Gefühl, er wird von den anderen Azubis überwacht. Ein klärendes Gespräch incl. Chef hat aus seiner Sicht nichts gebracht.

 

Weiterhin schreibt der TO von einem ISA-Server - also kann man davon ausgehen, dass da nicht steinalte Hubs im Netzwerk sind. Direkte "Angriffe" sind nur durch Installationen auf seinem Rechner oder durch Angriffe auf die Switche möglich. Beides wär aus meiner Sicht zumindestens "betriebsschädigend".

 

@buggy:

Wenn Du wirklich Argumente hast, die Deine Vermutungen untermauern und der Chef ignoriert diese, dann wende Dich an Deinen Betriebsrat und/oder an die Admins. Diese müssen dann reagieren

 

Alle anderen Aktionen, die hier angeboten wurden, können Dir dann eventuell als betriebsschädigend angelastet werden.

 

Da ich weitere "Tipps" vermeiden möchte, mach ich den Thread zu. Sollte es akzeptable Gründe geben, das Thema weiter zu diskutieren, einfach eine PN an einen Moderator schicken.