Heimnetzwerke - WIFI, LAN, Router und Co 16.525 Themen, 81.196 Beiträge

Verfolgung starten Optionen

Netzwerk Sicherheit (admin)

BlackRidah / 11 Antworten / Baumansicht Nickles

Hallo,

ich fasse es am besten kurz zusammen. Ich administriere ein Netz in einer Firma (über 40 PC). In letzter Zeit ist mir aufgefallen das der monatliche Traffic recht hoch geworden ist. Verdacht ist Emule bzw Kazaa und co. Ich habe schon ewigst viele Lan Scanner ausprobiert aber die sind alle einfach nur SCHEISSE. Kann mir einer ein Programm oder ein Tool empfehlen mit dem ich direkt die Festplatten aller Mitglieder der Domain nach bestimmten Dateien wie kazaa.exe oder ähnlichem durchsuchen kann?!?! Gibt es sonst noch eine möglichkeit irgendwie herauszufinden wer die p2p´s nutzt?!?!

Für schnelle Antworten wäre ich dankbar

bei Antwort benachrichtigen
xafford BlackRidah „Netzwerk Sicherheit (admin)“
Optionen

wenn ihr einen single-point zugang habt, so ist das recht einfach. je nachdem wie der zugang aussieht kannst du entweder auf dem gatewayrechner oder auf einem rechner, den du vor den gateway mit einem hub anschließt einen scanner wie z.b. ethereal oder tcp-dump installieren und gezielt nach paketen suchen lassen, wobei ich an deiner stelle nicht unbedingt nur ports wie 4662 und co suchen würde, da diese ports auch problemlos geändert werden können. laß die scanner ein paar tage laufen und schau dir die logs genau an, am besten mit einem analyzer für logs. anhand dessen solltest du herausfinden können, was den traffic verursacht und entsprechende gegenmaßnahmen ergreifen können. schlecht sieht es allerdings aus, wenn die rechner einzeln über isdn ins netz gelangen, was aber wohl bei so vielen rechnern eher nicht der fall sein wird.
btw: schau dir auch mal genau den zugangsrechner/router an, in letzter zeit werden gerne solche kisten gehackt und als ftp-server mißbraucht, ich habe vor einiger zeit einen fall mitbekommen, bei dem innerhalb von 3 tagen 10Gig traffic durch so etwas verursacht wurde.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
hexagon BlackRidah „Netzwerk Sicherheit (admin)“
Optionen

Hallo,
um aussagekräfig zu werden, brauche ich mehr Infos z.B. Welche Betriebssysteme befinden sich auf den Workstations.

MfG. Hexagon

bei Antwort benachrichtigen
BlackRidah Nachtrag zu: „Netzwerk Sicherheit (admin)“
Optionen

Alle 40 Rechner sind mit Hubs und Swichtes miteinander verbunden. Die meisten der Rechner haben 2k prof. drauf. Die Anbindung kommt direkt in die Firewall rein und aus der Firewall wird die auf die Hubs und Switches verteilt. Es hängen keine Rechner dazwischen. Firewall ist vorprogrammiert (keine Möglichkeit Ports zu sperren oder sonstiges). Im Prinzip ist das kein Problem an sich, das der Traffic so steigt. Mich interessiert eigentlich nur ob es ein Programm gibt das es erlaubt als DomainAdministrator die Client Platten zu durchscannen. Portscanner oder LogFile auswertung ist für mich zu viel act :) da ich genug andere Sachen zu tun habe. Es muss doch auf dieser Welt ein tool geben das sowas ermöglicht.....

bei Antwort benachrichtigen
HADU BlackRidah „Alle 40 Rechner sind mit Hubs und Swichtes miteinander verbunden. Die meisten...“
Optionen

Hi,

- gibt es eine Anweisung der GL, wie der Internetzugang genutzt werden darf?
- gibt es eine Anweisung, ob "fremde" Software installiert werden darf?
- wissen die Arbeitnehmer, dass Du die Rechner scannen möchtest?
Gibt es eine Anweisung der GL so einen Scan durchzuführen?
Einfach mal so machen kann Dir heftige Probleme bereiten.

Schau mal hier vorbei: http://www.pc-ware.de/de/pc-ware/sss/pc_ware_produkte/inventory.htm

Gruß HADU

bei Antwort benachrichtigen
hexagon BlackRidah „Alle 40 Rechner sind mit Hubs und Swichtes miteinander verbunden. Die meisten...“
Optionen

Hallo,
dazu brauchst Du keine Tools. Du kannst Dir das entsprechende Root Verzeichnis einer beliebigen Festplatte eines Clients als Laufwerk mappen. Das kannst Du von jeder Workstation machen, vorrausgesetzt, Du kennst einen User mit dem Passwort, der auf der zu mappenden Workstation Administratorrechte hat.
Rechte Maustaste auf Netzwerkumgebung > Netzwerklaufwerk verbinden. Als Pfad gibst Du ein //rechnername/c$ oder //rechnername/d$ usw. Tausche bitte die "/" gegen ein Backslash aus. Nickles hat damit Probleme. Nun wirst Du nach einem Username und Passwort gefragt von dem User, der auf der entsprechenden Workstation Admin Rechte hat. Nach erfolgreicher Anmeldung hast Du einen Laufwerkbuchstaben mehr auf der Workstation. Nun kannst Du gans einfach mit der Funktion suche nach Dateien und Ordnern das entsprechende Laufwerk durchsuchen.

MfG. Hexagon

bei Antwort benachrichtigen
xafford BlackRidah „Alle 40 Rechner sind mit Hubs und Swichtes miteinander verbunden. Die meisten...“
Optionen

ich will ja nicht deine arbeitsweise kritisieren, aber ich verstehe nicht ganz, wieso dir ein sniffer zu viel aufwand ist, wenn du stattdessen lieber ca. 80 festplatten durchsuchen willst, ohne genau zu wissen wonach du suchst und ob das wovon du nicht weißt, ob du´s suchst überhaupt existiert. wenn du dir jetzt wirklich die mühe machst alle rechner durchzuchecken um dann festzustellen, daß keine P2P-progs installiert sind machst du die arbeit mehr als doppelt. wenn du es aber unbedingt willst, dann hier 2 kleine tipps:
öffne auf einem rechner die verwaltung, verbinde dich mit jedem rechner und suche unter "Systeminformationen - Softwareumgebung" oder lade die die netzwerkversion von aida32 oder Sandra runter, verteile sie übers netzwerk auf den clients und laß dir reports erstellen, darin sind installierte software enthalten.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
BlackRidah Nachtrag zu: „Netzwerk Sicherheit (admin)“
Optionen

Das mit den Laufwerken mappen kenne ich schon. Das ist jedoch zu grosser aufwand da FAST jeder mindestens 2 Platten im Rechner hat und bei 40 Rechnern sind das dann über 100 gemappte laufwerke :)
Was die Rechte angeht, ich kann machen was ich will, ich bin der auszubildende systemadministrator in der firma. Kazaa und co sind allgemein unerwünscht.

bei Antwort benachrichtigen
Wiesner BlackRidah „Netzwerk Sicherheit (admin)“
Optionen

Bei verschienen Routern gibt es die Möglichkeit mitzuloggen (Usertraffik - > Port) mal mit deiner Firewallfirma reden. (logging to Host)
Aber in letzter Zeit werden immer wieder Mailserver gehackt um Spam zu verschicken, ...
mal kontollieren.

bei Antwort benachrichtigen
Hanussen BlackRidah „Netzwerk Sicherheit (admin)“
Optionen

hm,..... klingt für mich alles etwas seltsam. was willst du überhaupt :

1) Den Traffic stoppen
2) Den User ausfindig machen der den Traffic verursacht, um ihn zu erpressen *lol*
3) Alle files aufspüren die gezogen werden ? (um sie eventuell selbst zu verwerten)

AFAIK gibt es gerade für Kazaa ein Toll für Firmen um die Installation und den Betrieb zu verhindern.

ps. da du alle rechte hast, suche mal nach ziemlich großen files auf den rechnern ab ca. 500 MB. Oder nach vielen gepackten Dateien in dem selben Ordner oder nach vielen Mp3 Ansammlungen etc...

Gruß Hanussen

bei Antwort benachrichtigen
GarfTermy BlackRidah „Netzwerk Sicherheit (admin)“
Optionen

ein lösungsansatz ...so:

* man richte eine OU ein und füge die user hinzu
* man richte eine GPO ein
* man konfiguriere die GPO so, dass

- netzwerkeinstellungen, proxykonfig, internetexplorer etc. nicht mehr durch den user einstellbar sind und gebe die konfiguration zentral für alle vor
- man erlaube der gruppe nicht software zu installieren

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
nicknack BlackRidah „Netzwerk Sicherheit (admin)“
Optionen

Hi,
also ich würde auf jedenfall die Idee von xafford mit dem Sniffer aufgreifen. Der ethereal ist echt gut, habe ihn auch schon selber benutzt und meine "Fehler" gefunden. Den lässte mal eine Nacht lang laufen. Dann schaust du dir mal an von welchen IPs der meiste Traffic kommt. Dann kannst du ja immer noch die Platten durchsuchen.
Beim Sniffer kann man ja auch Filter setzten, damit er nich alles "mitschneidet". Dann werden die Logs nicht zu groß und findest vielleicht schneller was du suchst.

Gruß

bei Antwort benachrichtigen