Router im (Sub)Netz finden

F

Fiction

0
Bräuchte mal ein paar Tipps, Anregungen.

Folgende Situation. Ich befinde mich mit meinen Rechner innerhalb eines Subnetzes, welches Teil eines Universitätsnetzwerkes ist. Innerhalb dieser Subnetze ist u. a. mein Wohnheim sowie auch weitere angebunden. Administriert wird das ganze System vom Rechenzentrum der Universität. Die Nutzer dieses Systems haben in der Regel etwas über 2 GB Traffic (Upload, Download) pro Tag frei.

Router am "Frontend" sind i. d. R. nicht erlaubt und können auch nicht ohne Weiteres in Betrieb genommen werden (ich gehe hier von MAC Filtern aus die erkennen das es sich um einen Router handelt). Dies kann man aber durch MAC Manipulationen umgehen und wurde auch schon erfolgreich getestet. Soweit so gut. Das Traffic-Mapping (bezug zum Traffic) wird dabei über die MAC Adresse realisiert. D. h. eine MAC Adresse ist einem Zimmer (Anschluss, Ethernet Port) zugeordnet sowie einem Benutzer.

Seit nun einer Woche haben wir offenbar einen "Hacker" im Netzwerk der zunehmend den Traffic sämtlicher User stiehlt. Das zuständige Rechenzentrum ist einfach zu faul um der Sache nachzugehen und deshalb wollte ich mich der Sache vllt. selber anzunehmen.

Was ich nun zuerst machen wollte ist sämtliche Router im Netzwerk zu "identifizieren" da ich davon ausgehe das der "Eindringling" über einen programmierbaren Router (oder Betriebssystem das wie ein Router genutzt wird) verfügt. Über die herkömmlichen IP Scanner erhalte ich schon mal die IP Adressen und MAC zu den Teilnehmern im Subnetz.

Nun meine eig. Frage:
Leider habe ich keinen Zugriff auf Netzwerkkomponenten wie Switches oder Router... Ich muss praktisch am Frontend arbeiten.
Gibt es eine Möglichkeit festzustellen ob sich hinter einer MAC, IP ein Gerät befindet welches (eindeutig) ein Router sein muss. (Ich denke hierbei an offene Ports usw.) ?

Habt ihr noch weitere Tipps wie ich vorgehen kann?

Bitte nicht zu kompliziert beschreiben, da ich eig. C, C# und Java Entwickler bin und nur über ein Grundverständnis zu Netzwerken verfüge...

Danke schon mal vorab!
 
Fiction hat gesagt.:
Seit nun einer Woche haben wir offenbar einen "Hacker" im Netzwerk der zunehmend den Traffic sämtlicher User stiehlt.
Zum Vergrößern anklicken....

Wenn wirklich eine Zuordnung MAC-zu-Ethernetport besteht, dann fiele mir keine Möglichkeit ein, wie man den Traffic anderer Benutzer für sich oder als Angriffspunkt gegen andere nutzen könnte, da Traffic an einem Port, dem eine andere MAC-Adresse zugeordnet wurde, letztendlich einfach verworfen werden müsste. Weiterhin macht es keinen Sinn nach "Routern" zu scannen - was willst du denn damit erreichen? Ein Router ist nichts anderes, als ein normaler Computer, nur dass er 2 IP-Netze miteinander verbindet.

Wie äussert sich denn der "Diebstahl" des Traffics? Existiert die Möglichkeit den bisher vebrauchten Traffic einzusehen? Gibt es Wohnheims- oder Zimmerbegrenzungen hinsichtlich des Traffics? Wer hat physischen Zugriff auf die Switches, Router, ...?
 
Ich glaube kaum das euer URZ einen "hackangriff" einfach so zusieht.

Traffic "stehlen" in dem Sinne geht eigtl nicht, weil ja im Normalfall der Traffic mit einen User/Passwort verfahren abgerechnet wird. Meist es es dann der fall das die Netzwerkdose als eindeutiges Identifizierungsmerkmal dient. D.h. derjenige muss entweder den Port umstecken mit den Kabeln oder er hat zugriff auf den Router und kann entsprechend dort Einstellungen vornehmen.

Standardgeräte kann man anhand von MAC Adressen Identifizieren es gibt dazu eine Kostenlosen Datenbank IEEE-SA - Registration Authority OUI Public Listing die ersten 3 Werte der Adresse mit "-" eingeben und schon sollte man erkennen ob es sich um einen Router oder sonst was handelt (sofern in der DB gelistet)

Sonstige Anleitungen wie irgendwas gehacket wird, wirst du hier nicht finden und bekommen....
 
Vielen Dank Für euere Antworten.

Weiterhin macht es keinen Sinn nach "Routern" zu scannen - was willst du denn damit erreichen?
Zum Vergrößern anklicken....

Lt. URZ Ordnung sind Router oder Geräte die als Router genutzt werden nicht zulässig. Ich gehe davon aus, dass dies aus Gründen der Sicherheit und Stabilität so definiert wurde insbesondere um Weiteren (nicht registrierten) Teilnehmern den Zugang ins Netzwerkes zu verwehren bzw. um das Netz nicht durch falsch konfigurierte Komponenten (z. B. aktivierten DHCP Diensten) lahm zu legen.
Deswegen wollte ich im ersten Schritt überhaupt mal prüfen ob das Problem bei uns im Subnetz liegt. Meine Idee war im ersten Schritt nach möglichen Verursachern zu suchen... da dachte ich an die Router.

Wie äussert sich denn der "Diebstahl" des Traffics? Existiert die Möglichkeit den bisher vebrauchten Traffic einzusehen? Gibt es Wohnheims- oder Zimmerbegrenzungen hinsichtlich des Traffics? Wer hat physischen Zugriff auf die Switches, Router, ...?
Zum Vergrößern anklicken....

Jeder Nutzer kann über ein Webportal seinen eigenen (täglich) verursachten Traffic (Upload, Download) einsehen. Bei 2,4 GB täglich ist dann erstmal Schluss bis 00:00 Uhr. Danach wird der Zähler wieder zurückgesetzt. Bei mir war es nun schon oft der Fall, dass mein Rechner gar nicht im Betrieb war, aber dennoch Traffic verursacht wurde. So auch bei vielen anderen Bewohnern des Wohnheims.
Die Verteiler/Router befinden sich im Keller, nur das Wohnheimspersonal, RZ hat hier normalerweise Zutritt.

Ich glaube kaum das euer URZ einen "hackangriff" einfach so zusieht.
Zum Vergrößern anklicken....
Tatsächlich hat der Typ im RZ sehr genervt reagiert und wollte nicht wirklich was davon hören. Hierbei haben aber nur einzelne Personen direkt angerufen. Wir erstellen aktuell parrallel eine Sammelbeschwerde damit dieser Sache nachgegangen wird.

Die Datenbank ist schon mal super! Vielen Dank auch dafür. Selbst wenn es sich um keinen absichtlichen "hack" handelt können wir so vllt. die durch Benutzer falsch ins Netzwerk integrierten Komponenten finden.

Sonstige Anleitungen wie irgendwas gehacket wird, wirst du hier nicht finden und bekommen....
Zum Vergrößern anklicken....
Ich will keine Anleitungen, lediglich die Ursache finden da das Problem vom RZ offensichtlich nicht ernst genommen/ignoriert wird.

Leider ist die Abrechnung für uns Nutzer nicht wirklich transparent. Auffällig ist das offensichtlich nur unser Subnetz betroffen ist. Vielleicht ist es auch wirklich nur ein technischer Fehler und nicht ein "Angriff". Aber wenn ich das so lese, müssen wir wohl abwarten bis das RZ reagiert...
 
Fiction hat gesagt.:
Lt. URZ Ordnung sind Router oder Geräte die als Router genutzt werden nicht zulässig. Ich gehe davon aus, dass dies aus Gründen der Sicherheit und Stabilität so definiert wurde insbesondere um Weiteren (nicht registrierten) Teilnehmern den Zugang ins Netzwerkes zu verwehren bzw. um das Netz nicht durch falsch konfigurierte Komponenten (z. B. aktivierten DHCP Diensten) lahm zu legen.
Zum Vergrößern anklicken....

Ich kenne das selbst aus diversen Wohnheimen. Die offizielle Policy ist dabei idR, dass Router verboten sind und nur einem PC der Zugang erlaubt ist. IdR wird die MAC-Adresse des Rechners dann auch am Switch/Router/... hinterlegt. Inoffiziell findet aber 1) keine Prüfung der MAC-Adresse statt (wer hindert dich daran, eine Router-MAC anzumelden?) und 2) werden Router geduldet, da die Verantwortung ja letzten Endes beim Anschlussinhaber liegt. Diese Praxis würde ich im Sinne des Allgemeinswohls auch nicht anzweifeln, es sei denn, du möchtest Ärger mit den meisten Studis haben. Oder hast du schonmal ein Netzwerkkabel mit dem Smartphone verbunden? ;)

Deswegen wollte ich im ersten Schritt überhaupt mal prüfen ob das Problem bei uns im Subnetz liegt. Meine Idee war im ersten Schritt nach möglichen Verursachern zu suchen... da dachte ich an die Router.
Zum Vergrößern anklicken....

Router sind erstmal nur dafür da, um 2 IP-Netze miteinander zu verbinden. Damit sind sie nichts anderes als Computer, die halt bestimmte Fähigkeiten zum routen mitbringen. Nur, weil am anderen Ende ein Router läuft, heisst das nicht, dass dort "der Feind" sitzt.

Jeder Nutzer kann über ein Webportal seinen eigenen (täglich) verursachten Traffic (Upload, Download) einsehen. Bei 2,4 GB täglich ist dann erstmal Schluss bis 00:00 Uhr. Danach wird der Zähler wieder zurückgesetzt. Bei mir war es nun schon oft der Fall, dass mein Rechner gar nicht im Betrieb war, aber dennoch Traffic verursacht wurde. So auch bei vielen anderen Bewohnern des Wohnheims.
Die Verteiler/Router befinden sich im Keller, nur das Wohnheimspersonal, RZ hat hier normalerweise Zutritt.
Zum Vergrößern anklicken....

Da wir 1) nicht wissen, wie abgerechnet wird, und 2) die Architektur nicht kennen ist eine allgemeine Aussage darüber, wie dieser Angriff zustande kommt, meiner Meinung nach nicht möglich. Ich würde auch nicht pauschal einen Studi beschuldigen, eventuell ist es einfach ne Routingschleife, oder ein beliebiger anderer Konfigurationsfehler. Wenn Traffic anfällt, wird er denn auf alle Bewohner/Innen gleichmäßig verteilt oder wächst er bei dem/r einen Bewohner/in schneller, als bei einem/r anderen? Dass würde z.B. auf eine Beschränkung eures Subnetzes hindeuten, wobei ein Nutzer des Netzwerks unbeschränkt auf das Netzwerk zugreifen darf.

Die Sammelbeschwerde ist wohl die einzige Möglichkeit, die euch bleibt. Solltet ihr für den Anschluss bezahlen besteht natürlich auch die Möglichkeit sie freundlich darauf hinzuweisen ;)
 
ohne zugang zur infrastruktur hardware willst du rausfinden wer was wann wo macht? viel spaß ...



folgendes beispiel unter der annahme dass via MAC zuordnung abgerechnet wird:

ich will in einem uni netz möglichst viel traffic frei haben um "dinge" zu tun ...

ich führe erstmal buch darüber welche MAC adressen üblicherweise wann online sind ... dank ARP ist das relativ problemlos machbar ...

nun schaue ich ob die zuordnung zwischen MAC und IP stabil bleibt, sprich ob die selbe lease immer wieder an die gleiche MAC vergeben wird ... zu zeiten wo ein anderes system dessen ip und mac mir bekannt sind nicht online ist, gebe ich meinem NIC genau diese config und verbrate traffic ... falls sich ein addresskonflikt anbahnt (z.B. ich erhalte ein DHCP discover von der MAC, an broadcast), sende ich für alle tcp verbindungen RST und droppe das interface ... konflikt vermieden, traffic verbraten, und wenn meine liste mit verfügbaren systemen groß genug ist, mache ich einfach mit dem nächsten weiter ...

wie kann man das von aussen feststellen? ... ohne zugriff auf die beteiligten switches, gar nicht ...

mit zugriff auf die beteiligten switches, sofern diese managebar sind, sehe ich das am traffic aufkommen eines ports, oder an der MAC history ...

es macht aber für gewöhnlich keinen sinn so zu filtern und abzurechnen ... üblich sind an dieser stelle eher netze die gar kein inet gateway kennen, intern keine traffic limits haben, und ihren inet verkehr via VPN nach draussen führen, was einzeln pro nutzer abgerechnet wird ...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben