Jump to content

Netzwerksniffen für Firewall

finster

Von finster
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

finster Apprentice

finster   10

Geschrieben
Geschrieben

hallo zusammen

 

ich hätte da ein kleines problem

 

ein netzwerk - 10 maschinen/benutzer

alle rechner gehen über ein gateway (standleitung)

 

dieses gateway soll jetzt firewall abgesichert werden - angedacht (ich seh's noch nicht) ist eine ISA2000 FW

 

da das netz schon länger produktiv läuft .. und absolut NICHTS dokumentiert ist muss man zwangsläufig erstmal das netzwerk sniffen um demensprechend die zugriffe auf ports und IP's zu dokumentieren

 

im zweiten step wird die firewall dementsprechend konfiguriert und vor den gateway gehängt

 

step 1 -- womit sniffe ich am besten ein netz um alle zugriffe ( port / IP ) mitzuloggen

 

goggle schlägt mir eine linux installation mit zb ethereal oder ettercap vor

 

also - knoppix cd rein - ausprobiert

nur wirklich erquickend ist diese lösung nicht

 

hat jemand sowas schonmal gemacht ( dabei sei gesagt .. es interessiert mich einen feuchten wer welches POP3 pw hat - oder wer wem per ICQ einen liebesbrief tippert .. alles was ich bräuchte ich ein portliste und eine IP zugriffliste (incoming/outgoing))

 

mfg

 

fINSTER

Link zu diesem Kommentar
finster Apprentice

finster   10

Geschrieben
  • Autor
Geschrieben
Original geschrieben von Dr.Melzer

Also wir installieren viele Firewalls, aber einen sniffer haben wir dafür noch nie gebraucht!

 

Warum glaubst du einen zu brauchen?

 

um überhaupt einmal zu dokumentieren welche programme welche verbindungen benötigen / erstellen / benutzen

(zumal es an mir liegt genau diese dokumentation zu erstellen .. hinterher)

 

da - wie gesagt - das netz nicht ein stück dokumentiert ist und nahezu jeder rechner andere applikationen benötigt

 

die einfache methode ist natürlich

firewall hin - alle ports zu - und dann nach und nach freischalten

 

wäre da nicht der laut grölende mob vor der admin-bürotür der meinen kopf fordert

 

zu der idee mit dem ISA-server

die idee hatte ich auch .. scheiterte daran das der router nicht von mir zu konfigurieren ist ( ich darf nicht --- niemand darf das )

bevor ich allen clients einen anderen gateway aufzwinge

hätte ich das eher mit einem linux-"server" gemacht

 

gateway ip in richtung lan geben - zweiter NIC mit einem klasse c subnetz - arp auf den router und fertig

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Aha! Du willst also VORHER wissen, was alles freigeschaltet sein muss.

 

Aber vom Consulting-Standpunkt aus, und auch vom Sicherheitsstandpunkt aus, sehe ich in deinem gewünschten Vorgehen den falschen Ansatz. IMHO wäre es richtig, vorher mit den Abteilungen/Keyusern/Abteilungsleitern zu erarbeiten, welche Applikationen Zugang nach aussen brauchen, nicht zu sniffen und dann alles freischalten, was da so "rumsurft"

 

Just my 2 Pence

 

grizzly999

Link zu diesem Kommentar
finster Apprentice

finster   10

Geschrieben
  • Autor
Geschrieben
Original geschrieben von Dr.Melzer

Wenn du eine Firewall hinstellst, bei der erst mal alles offen ist, bist du nicht schlechter dran als vorher, aber du siehst im Firewall Log wer wo hin will.

 

bingo -- und so kann ich die log's auswerten

die wichtigen / echten verbindungen von den absoluten no-go's trennen und dann die "echte" firewall (das wird dann eine ISA) dementsprechend vorher mit den regel füttern

 

mir wurde allerdings gesagt das das logging des ISA's eher bescheiden als aufführlich ist

daher die idee mit dem LINUX-sniffer

 

die frage in den raum

 

ist eine ISA firewall in der lage ALLES zu loggen und bin ich in der lage die log's meinen wünschen entsprechend auszuwerten?

 

mich interessiert nicht wer - wohin surft - wer welche pop3 konten abholt etc

ich müsste nur wissen - welche IP - welcher port holt mit welchem protokol etwas ab

 

in diesem sinne

Link zu diesem Kommentar
finster Apprentice

finster   10

Geschrieben
  • Autor
Geschrieben
Original geschrieben von Dr.Melzer

Ich würde eine Hardwarefirewall einsetzen.

 

Eine Netscreen 5GT bekommst du schon unter 1000 Euro.

 

Dafür bekommst du keine ISA Server mit Hardware und Lizenz und Installation.

 

die hardware ist schon da

ISA Server lizenzen könnte ich inzwischen bei ebay verkaufen .. windows 2000 server lizenzen ebenso - sind ein paar zuviele da

 

was meinst du mit "ändern" ?

wenn dann jemand was ändert dann ich oder die kollegen

und _WIR_ dokumentieren ja

 

schön wäre es gewesen wenn die vorgänger ein bischen mehr dokumentiert hätten

 

was die doppelte arbeit angeht - hey .. IT business is fun business

oder lasst ihr euch eure arbeit nicht bezahlen?

 

naja .. ich werd mal schauen

danke für die tipps ..

 

in diesem sinne

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...