Ragnarok 10 Posted July 22, 2004 Report Share Posted July 22, 2004 hallo zusammen, ich habe mal eine frage: da wir zur zeit mehrere probleme mit unbefugtem datenzugriff von speziellen firmendokumenten haben, lasse ich sämtliche zugriffe auf die daten protokollieren. seit gestern befinden sich mehrere zugriffe auch auf andere rechner statt mit dem benutzernamen "anonymous". es ist nicht rauszufinden woher der zugriff kommt. das erreignisprotokoll spuckt leider nichts genaues aus. der gastzugang ist auf sämtlichen rechnern deaktiviert. hat jemand eine ahnung wie ich herausbekomme woher der zugang stattfindet? gibt es eine möglichkeit den gesamten netzwerkverkehr mitzuschneiden von einem rechner aus, da ich wenn ich z.b. etherreal installiere, das ja nur die lokale netzwerkkarte mitschneidet. gibt es ein tool mit dem es auch von einem beliebigen rechner geht? folgende konfiguration: 2 linusserver 1 pdc nt server 4.0 (<-- ahhh!) 30 win2k clients noch eine frage: wir vermuten, daß es eventuell ein nutzer mit einem powerbook ist, der den zugriff auf die maschinen und die daten hat. leider kann ich dieses notebook nicht protokollieren. oder doch? gibt es die möglichkeit auch den mac mit zu protokollieren? vielen dank für eure antworten. gruß ragnarok Quote Link to comment
Hangman 10 Posted July 22, 2004 Report Share Posted July 22, 2004 ciao CA etrust intrusion detection..... Liest und siehst du alles!! Quote Link to comment
dongel 10 Posted July 22, 2004 Report Share Posted July 22, 2004 Hallo, wenn du das an der anonymous anmeldung festmachst das es unbefugten Zugriff gibt, kann ich dich beruhigen. Wenn ich mich recht entsinne , machen einige Dienste das im Netzwerk und du hast ne anonymous -Anmeldung. :cool: WEiss jetzt nicht mehr genau wo man das findet, aber microsoft oder google , das kann man genau nachlesen... Hab mich deswegwn auch schonmal verrückt gemacht, zumal bei frisch installierten Systemen. Fakt ist, was ich oben beschrieben habe und auch mit sniffern wirst du eben nix finden. mit internettem Gruß dongel Quote Link to comment
gidos 10 Posted July 22, 2004 Report Share Posted July 22, 2004 Also ich würde mal die Software Sniffer Pro installieren von dieser gibt es sogar eine Demo. Danach mal nur die eine IP Adresse des Servers aufzeichnen. Am besten natürlich wenn du viel Zeit hast, damit du nur diesen Time Bereich durchkämen musst als so ein Zugriff stattgefunden hat. Im Netzwerkprotokollanalyzer siehst du dann schon mal von welcher IP auf den Server zugeriffen wurde und mit welchem Protokoll. Da kann sich auch kein Mac oder linux ect. davor verstecken. Wobei man abschliessend sagen muss dass dies gutes Netzwerkknowhow und eben Zeit voraussetzt. WIr hatten erst kürzlich ein Problem bei uns zwar ganz andere Richtung DCHP Request gingen im Netz verloren. Nach rund 4 Tagen kammen wir dank Sniffer und anderen Tools und Messgeräten auf die schliche. Eine defekte Neztwerkkarte an einem Switch. Tja, aber hat ja gar nichts mit diesem Thread zu tun. Quote Link to comment
solinske 10 Posted July 23, 2004 Report Share Posted July 23, 2004 du kannst dir den sniffer ethereal ziehen und mit diesem den grsamten traffic aufzeichnen, ganz egal welches protokoll benutzt wird. nach den ersten groben auswertungen kann du dann captire filter definiren, damit die log nicht so unübersichtlich gross werden ... Quote Link to comment
Necron 71 Posted July 23, 2004 Report Share Posted July 23, 2004 Original geschrieben von solinske du kannst dir den sniffer ethereal ziehen und mit diesem den grsamten traffic aufzeichnen Klappt das auch, wenn ein Switch im Einsatz ist? Quote Link to comment
jlo 10 Posted July 23, 2004 Report Share Posted July 23, 2004 Du kannst mit etherreal den ganzen Netzwerkverkehr mitloggen. Häng einfach eine Linuxkiste (Windows??) an einen freien Port des Switches und konfiguriere diesen so, dass er den kompletten Verkehr aufzeichnet. Jeder einigermaßen vernünftige Switch kann einen Port für den kompletten Verkehr konfigurieren. Schau einfach mal im Handbuch des Switches nach. Gruß Jlo Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.