[HaBo]

gOtMilk?

Anzeige

Welche Moeglichkeiten hat man eigentlich, um diverse Gemeinheiten der Netzwerkmitbenutzer wie Umleiten des Datenverkehrs zu entlarven (in Echtzeit)?

DNS Monitoring? netstat? arp cache?

Prometheus

Ich würde mich zwar Fragen wer seinen Spass daran wohl haben wird die Daten die für ihn addressiert sind, woanders umzuleiten.
Das klingt mich viel eher wie eine Telefonumleitung, wenn an dem Aparat niemand zu finden ist, oder derjenige einfach zu faul ist abzunehmen.

Mal vom Telefon abgesehen, das erstere kannst du natürlich mittels tracert - Befehl herausbekommen, welche Route dein Rechner nimmt.

Wenn man das Thema natürlich nicht nur für Anfänger auseinandernimmt, so gibt es auch andere Möglichkeiten, wie DNS-Spoofing. Damit wirst mittels gehackten DNS-Server auf eine gefälschte Adresse geleitet. Sollte das verhindert werden, so solltest du immer dein DNS-Server überwachen und die Einstellungen prüfen.
Bei Windowsrechnern wäre es auch wichtig in die hosts - Datei zu schauen, denn dort kannst du auch diverse Umleitungen reinschreiben, die den DNS-Server vorangehen.

Eigentlich werden die meisten Umleitungsattacken in den Begriff Spoofing gesteckt, wie z.B. ARP-Spoofing. Hier gibt es aber auch Programme, die deinen Switch beobachten ob ein ARP-Flooding gemacht wurden ist, denn ein ARP-Flooding ist meist der Vorreiter bei ARP-Spoofing oder reicht meist gar aus um Unordnung zu schaffen.
So nebenbei ARP-Flooding wird meistens auch gemacht um Netzwerke zu sniffen, denn der Switch wir so zu einer allgemeinen Hub-Funktionalität heruntergesetzt, die dies ermöglicht. Deswegen ist ein Hub nicht zu empfehlen, denn dieser leitet die Daten erstmal mittels Broadcast weiter - also an alle Rechner, egal ob die Daten nur für einen bestimmten Rechner bestimmt sind. Ein Switch funktioniert da ganz anders, aber das ganze kannst du auch bei Wikipedia und Co nachlesen.

Alles andere obliegt da eher der richtigen Überwachung, Netzwerknutzung bzw. Aufbau und Absicherung.
Also:
- Einstellungen überprüfen oder automatisch überprüfen lassen
- Zertifikatisierung nutzen, z.B. ein Vertrauenszertifikat austellen und den Rechner abgleichen lassen.
- Für Mail-Spoofing den Absender/Webserver überprüfen lassen, notfalls auch PGP einsetzen
- Switch bevorzugen, noch besser sogar Switch mit intigriertem Virtual-Switches
- Router kontrollieren, absichern
- Bearbeitung der hosts den Nutzern untersagen, ebenso untersagen Routen zu erstellen
- Bei Hardwarehacking, die physischen Kabelgänge überprüfen und Anschlüsse am Rechner. Es gibt nämlich sowas wie kleine Zwischenstationen die man so einfach zwischen den Kabeln stecken kann und die Daten abfangen kann. Funktioniert nicht nur bei Netzwerkkabel, sondern auch bei USB uvm.
Am besten hier auch die Rechner absichern/einschließen und Daten verschlüsselt übertragen
- usw. .....

Das Thema ist noch ziemlich lang. Im Grunde hängen da die Grundlagen der Computersicherheit mit drin und deswegen solltest du dich dann auch eher damit auseinandersetzen, wenn du es noch nicht getan hast. Denn du solltest wissen, wenn Jemand eine Lücke nicht ausnutzen kann, nutzt er eine andere offene aus um die andere für sich zugänglich zu machen. Deswegen ist meist eine Rund-Um-Absicherung nötig.

gOtMilk?

Das musste ich doch zweimal lesen um es zu kapieren. Ich meine in einem Netzwerk mit Router, d.h. ich sende Daten an den Router die ins web sollen. Natuerlich leitet niemand Daten um die er sowieso bekommen sollte . Dass sich nun jemand zwischen Router und mich schaltet. Was da dagegen gemacht werden kann bzw. wie man es erkennt meinte ich. Netter Hinweis auf die Grundlagen der Computersicherheit uebrigens.

ERit

naja es kommt drauf an wie ein 3ter auf das netzwerk zugreifen kann. über wlan kannst du mit dem wlan-router eine mac sperre einbauen (d.h. ein host bekommt erst eine ip/gateway/broadcast wenn seine mac adresse in der tabelle des routers steht). das ist heute aber auch nicht mehr sehr schwer zu umgehen, seit man unter winxp seine mac einfach verstellen kann (von unix/linux wollen wir ja garnicht erst reden).
das heißt wep key einstellen und router so configurieren dass er seine ESSID nicht in regelmäßigen abständen verschickt d.h.: ein angreifer benötigt key und ESSID (also der name des netzes)

im lan sowie wlan, wenn ein 3ter schon drinnen hängt, gibt es diverse tools die man in the middle attacken erkennen. was ich nicht verstehe: wozu das ganze? wenn das ganze ein heimnetz ist weist du ja welche rechner drinnen hängen. einfachste möglichkeit wenn nicht: http://www.wireshark.org/

eigentlich findet man zu "man in the middle" sehr viel info -> google
dann gibts noch ssh forwarding/tunneling: http://www.securityfocus.com/infocus/1816
(damit daten im internen netz verschlüsselt übertragen werden)

lg

Prometheus

Da gibt es schon so einige Möglichkeiten. Ziel des Angreifers würde hier lauten erstmal dazwischen zu kommen. Dabei kann er allemöglichen Verbindungen ausnutzen die in dein Netzwerk kommen.
Einfachste Variante wäre: Er installiert einen Trojaner auf deinen Rechner, den er über einen offenen Port in deinem Netzwerk schleust, oder du ihn selbst duch ein ungeachteten Download mitinstallierst. Ist der Tojaner erstmal aktiv, kann er all deine Eingaben lesen und sendet sie entweder über einen offenen Port ins Internet oder tunnelt den ganzen Transfer über den Router.
Mit dem Programm TCPView kannst du evtl. solche Transfers entdecken und später über einen Firewall sperren.
Natürlich kann er mittels bestimmter Tricks, die ich schon erwähnt habe oder nicht aufgezählt habe auch lahmlegen oder einen Anderen vortäuschen, um so direkt in dein Netzwerk reinzukommen. Diese Art ist aber meistens etwas "laut", wenn der Netzwerkadministrator darauf achtet.
Router können auch andersweitig beinflusst werden. Manche Netzwerkler die ihn ansprechen können, können mögliche Bugs ausnutzen und Administratorzugriff darauf bekommen. Dann können sie auch allesmögliche machen - kannst du dir sicher vorstellen.
Eine fießere Variante, die einige Leute eher nicht wissen ist das manche Firmware umprogrammierbar ist und ein eingebauter Sniffer sorgt dann dafür das der Angreifer dein Surfverhalten einsehen kann und all die ganzen Passwörter.

Es gibt noch so vieles was möglich wäre, denn wie schon erwähnt hängen die Sicherheitslücken sozusagen in einem Teufelskreis und warten nur darauf ausgenutzt zu werden, um ihn weiterzuverfolgen und die Sicherheitslücke nacheinander auszunutzen.

Als Administrator solltest du dich schon im tiefen der Netzwerkmaterie auskennen und so einige Möglichkeiten kennen, wie du dort reinkommen könntest.
Allein Programme, wie Firewall, Antivirus, Verschlüsselungstools usw. , helfen da garnicht. Du solltest schon wissen wie die Angreifer den Sicherheitslückenteufelskreis verfolgen. Beispiel: Router fällt aus, manche Einstellungen wurden geändert - Ok der Angreifer hat den Router abgeschossen bzw. bekannte Routerbugs ausgenutzt um als Administrator Einstellungen vorzunehmen. Ok, du machst ein neues Firmwareupdate drauf, änderst das Administratorpasswort und das wars.
Falsch, der Angreifer hätte auch weitergehen können und sich eine Übersicht über dein Netzwerk verschafft haben. Mac-Adressen, IP-Adressen.
Du gehst schlafen und dein PC wird offline geschaltet, nur der Router läuft noch.
Nun ist über Nacht ein anderer Rechner online, der sich als dein Rechner ausgibt und kann sich nun Daten verschaffen die nur für dein Rechner bestimmt sind.
Eine zweite Alternative wäre, das er auf deinen Rechner schon längst einen Trojaner installieren konnte.
Niemand überprüft die Logs und verlässt sich dabei auf einen einmaligen Angriff, der durch Neuaufsetzen des Routers dem Anschein nach in die Flucht geschlagen wurde.
So ein Administrator wäre einfach Naiv und Faul.
Selbstverständlich ist es mit diesen zwei Möglichkeiten nicht getan, die als zweiter Angriff geltendt gemacht wurden. Manche sind so simpel, wie die schon aufgeführten, andere sind viel schwieriger.

Also am besten vielmehr Aufwand bei der Absicherung und Beobachtung vornehmen, denn es gibt nicht nur Scrippt-Kiddies, die meist nur einen Schritt gehen und viel Krach machen.
Dazu gehört natürlich ein sehr großes Wissen, das immer Up-To-Date gehalten werden muss.