[HaBo]

TheNoOne

Anzeige

Hi,

ich hab da mal ne allgemeine Frage zum Thema Sicherheit bei Netzwerk-Servern:
Um genau zu sein interessieren mich die gängigen Überwachungstools die bei größeren Netzwerken ( > 100 Clients) verwendet werden.
In meinem Beispiel wird hauptsächlich Windows eingesetzt und es gibt in dem Netzwerk versteckte Server (Win2k3 basierend), die Windows-Freigaben anbieten, auf die allerdings nur zugegriffen werden kann, wenn IP oder Hostname bekannt sind.

Welche Möglichkeiten gibt es für einen Systemadministrator den Zugriff auf diese Rechner, zB das Herunterladen von ungewöhnlich großen Datenmengen zu überwachen? Jeder Client in dem Netzwerk hat Schreib- und Lesezugriff auf diese "versteckten" Server.

Bin für alle Antworten dankbar und es reichen mir auch schon Stichworte zB die Namen der Tools; will mich da ein wenig einlesen, nur fehlt mir ledier der Startpunkt.

Gruß & Danke
T.

Schlumpf2009

große datenmengen von dem server oder aus dem internet

mu_

"Versteckte" Server kann es nicht geben, deine Server werden immer auf irgendein Paket antworten, wenn du sie wirklich nutzen willst. Ich kann dir nicht sagen, wie man bei Freigaben eine Traffic Überwachung, bzw. eine Begrenzung durchführen kann. Eine kurze Suche bei Google hat mir auch nicht weitergeholfen.
Ich kann dir letztenlich also nur empfehlen den Zugriff nur best. Rechnern im Netz zu gewähren, bzw. eventl. diese Daten mit Programmen bereitzustellen, die ein Traffic-Begrenzung besitzen (wobei ersteres aufgrund der Sicherheit zu bevorzugen wäre).

90nop

Mit anderen Worten: Auf Daten, die user nicht erreichen dürfen werden "versteckt"? Security through obscurity ist nicht gerade empfehlenswert. User die solche Resourcen nicht sehen dürfen, sollen auch keinen Zugriff haben. Evtl. ein IP/Portscan würde eure ganze Struktur auffliegen lassen, da mindestens der Port der Win-Dateifreigabe antworten würde...

Abgesehen davon, kann man ja eine überwachung mit Active Directory konfigurieren.

prEs

Im Lan reicht ein ARP-Scan mit nmap/etc und der "versteckte" server wird antworten und ist somit aufgeflogen,
wenn ein Host im Lan mit anderen kommunizieren will, muss er das im grundegenommen.

ICMP request kann man von einer Firewall Filtern lassen.
Aber einem connect()/Syn-Scan etc wirst du solange du diesem Host einen dienst anbietest nicht entgehen.

Falls es dich intressiert google einfach mal nach: host discovery lan portscan ethernet
Host discovery sollte dich im Bezug auf dieses Thema am meisten interresieren.

EDIT:
Es kommt natürlich darauf an was die Nutzer im Lan für möglichkeiten haben und somit welche tools sie zur auswahl haben, aber wenn es einer sehr einst meint kann er auch mit denn Standart tools von Windows deinen Server finden.
EDIT:
Er könnte auch mit nem normalen Sniffer ganz ohne das du was mitbekommst die ARP Packete mitschneiden und da dein Server ja in Regelmäßigen Abständen ARP-Requests über boradcast sendet wird er ihn auch so finden.

mfg prEs

sw33tlull4by

Das Beste, wenn du deinen Server davor schuetzen willst,
waere deine Netzwerkknoten bzw deine Server so zu konfigurieren das sie nach einigen Fehlversuchen die Packete einfach fallen lassen.
Denn der potentielle Angreifer weiss ja nicht wo sich die Server befinden,
er muss also viele Optionen abarbeiten.
Diese "Schrotschussmethode" verursacht im Netz natuerlich sehr viel Laerm.
mfg

sw33t

Chromatin

@TheNoOne

Security by obscurity ist definitv keine Loesung.
Richte ein anstaendiges Active Diretctory ein- und du hast weitestgehdn deine Ruhe.

Fuer eine anstaendige Ueberwachung des Netzwerks allgemein, wuerde ich Dir die Procurve Loesungen von HP empfehlen (Switche + Software). Das ist aber eine preisliche Frage

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/