Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vorkommnisse im Netzwerk prüfen.

Mitglied: JohnCarter

JohnCarter (Level 1) - Jetzt verbinden

21.10.2013 um 10:05 Uhr, 2047 Aufrufe, 7 Kommentare

Hallo an Alle!


So gesehen bin ich auf der Suche nach einer Software mit deren Hilfe ich Herausfinde was genau im Netzwerk vor sich hin geht.

Ein Kunde meinte es würden komische Dinge passieren wie beispielsweise da Speichern von Daten an zuvor nie definierten Orten oder eine Plötzliche hohe Last auf dem Netzwerk.

Im Grund fällt mir dazu erstmal nur WireShark ein, wobei ich mir hierbei aber unsicher bin wonach ich da filtern sollte.
Ich benötige etwas was mit genau zeigen kann wo der Traffic herkommt oder welcher PC was genau im Netzwerk oder sonst woher anspricht (lesen, speicher oder ähnliches).
Nicht das irgendwo ein ungebetener Gast Zugriff hat.

Hat Jemand eine Idee oder Software für Sowas bereit im Einsatz und kann näheres dazu sagen?



Mit freundlichem Gruß

John
Mitglied: 106543
21.10.2013 um 10:13 Uhr
Hi,

setz dir einen Proxy auf (Empfehlung: Squid) und lass sämtlichen Verkehr darüber routen.
Dann kannst du in aller Ruhe nachkontrollieren, was da vor sich geht.

Grüße
Exze
Bitte warten ..
Mitglied: MrNetman
21.10.2013 um 10:22 Uhr
Hi john,

und ganz elegant Netlow, sflow, ipfix .... da siehst du alles.
Aber starte mal mit einem SNMP Layer2 Monitoring der Switchports. (Switch Port Monitor, PRTG, MRTG)
So ohne Anhaltspunkt wirst du sonst nicht weiter kommen. Erst recht nicht, wenn die Aussagen des Kunden zu wirr sind und du sie noch nicht verifiziert hast.

GRuß
Netman
Bitte warten ..
Mitglied: aqui
21.10.2013, aktualisiert um 11:46 Uhr
Dein Satz: "...genau zeigen kann wo der Traffic herkommt oder welcher PC was genau im Netzwerk oder sonst woher anspricht" Sagt ja schon alles, da gibt es maximal 2 freie Alternativen:
  • Wireshark
  • MS NetMonitor
Bevorzugen solltest du ersteren !
Ein Proxy wie oben genannt nützt dir rein gar nichts, wenn du z.B. checken willst ob Trojaner auf Rechnern unberechtigte Verbindungen aufmachen im Hintergrund die nicht Web basierend sind.
Das kann nur der Wireshark sinnvoll machen !
Für eine dauerhafte Überwachung benötigst du eine sFlow oder NetFlow fähige Switch Infrastruktur wie Kollege Netman schon richtig bemerkt hat.
Dann kannst du da mit den Klassikern, nTop, Cacti, MRTG, sFlow-Tools, usw. usw. arbeiten.
Dieses Forumstutorial gibt dir im Kapitel Netzwerk Monitoring einen groben Überblick:
https://www.administrator.de/contentid/191718

Wenn du dein Netzwerk nicht absicherst hat natürlich jeder beliebige ungebetene Gast vollen Zugriff aufs Netz, das sollte dir klar sein.
Wie man ein Netzwerk wasserdicht sichert vor solchen Zugriffen erklärt dir dieses Forumstutorial:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Bitte warten ..
Mitglied: Lochkartenstanzer
21.10.2013 um 12:36 Uhr
Zusätzlich zu aquis Ausführungen könntest Du noch eine oder mehrere snort-probes im Netzwerk verteilen, um zu schauen, was sich da an Malware tummeln könnte.

lks
Bitte warten ..
Mitglied: 106543
21.10.2013 um 12:48 Uhr
Zitat von aqui:
Ein Proxy wie oben genannt nützt dir rein gar nichts, wenn du z.B. checken willst ob Trojaner auf Rechnern unberechtigte
Verbindungen aufmachen im Hintergrund die nicht Web basierend sind.
Das kann nur der Wireshark sinnvoll machen !

Ah sorry ...
Ist klar. Entschuldige nochmal die unpassende Auskunft, hatte mal wieder n Brett vor´m Kopp. -.-

Grüße
Exze
Bitte warten ..
Mitglied: 108012
21.10.2013 um 14:01 Uhr
Hallo,

Im Grund fällt mir dazu erstmal nur WireShark ein, wobei ich mir hierbei aber unsicher bin wonach ich da filtern sollte.
In Deinem Fall am besten mal gar keine Filter setzen damit auch wirklich der gesamte Netzwerkverkehr gespeichert wird,
je nach Netzwerk und auch vorhandenen Geräten sollte man die Dateigröße um die 2 GB anpeilen, da sonst sehr schnell
sehr große Dateien entstehen und die muss man dann hinterher ja auch noch sichten um herauszufinden was denn nun
dort von statten geht. Des weiteren wäre es gut wenn alle beteiligten Geräte auch ein und die selbe Uhrzeit haben!
Also sprich von ein und dem selben NTP Server Ihre Uhrzeit beziehen, dann muss man nachher nicht so viel umrechnen.
(Firewalls, Router, Switche, NAS & SAN Geräte, Server und Klient PCs)

Zusätzlich würde ich noch einmal versuchen alle PCs und Server nach Viren zu durchsuchen und dann auch einmal
alle GPOs checken ob man nicht vergessen hat die USB Ports zu sperren und/oder diese einmal zusätzlich mit
mechanischen USB Schlössern zu sichern, die dann an den USB Ports befestigt werden.

Einen Proxyserver wie Squid und zwei bis drei Snort Sensoren und einen Snort Server kann man dann hinterher
aufstellen wenn man weiß was vor sich geht und ich würde auch gleich den Rest mit abhandeln, wie zum
Beispiel einen LDAP Server für die Anbindung der Kabel gebundenen Geräte und einen Radius Server für die
Anbindung der Kabel losen Geräte, nur um sicher zu gehen dass von dort sich niemand Zugriff verschafft hat.

Gruß
Dobby
Bitte warten ..
Mitglied: MrNetman
21.10.2013 um 14:56 Uhr
geile Idee,

ob der Aufwand aufgrund einer Vermutung realisierbar ist.
Aber messen ist immer besser als schätzen oder vermuten. Eine Verzögerung von 30 Sekunden wurde politisch pro Vorgang zu fünf Minuten und über den Tag hochgerechnet zu zwei Stunden Wartezeit eines Mitarbeiters. Die Bewesiführung ist in der Tat, schwierig.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Excel Prüfen
Frage von michi-ffmBatch & Shell

Hallo Zusammen, komme leider nicht weiter und hoffe jemand hat eine Idee. Ich habe ein Skript das wunderbar funktionierte, ...

Windows Server
Exchangekonto prüfen, wie ?
gelöst Frage von 90584Windows Server3 Kommentare

Leider bin ich noch ziemlich Newbe in dem Bereich SBS 2011 mit Exchange 2010 und POPCon. Ich habe das ...

Windows 10
Auf Softwareupdates prüfen
gelöst Frage von honeybeeWindows 104 Kommentare

Hallo, mit welchem Tool kann man auf dem Rechner prüfen, welche installierte Software veraltet ist und aktualisiert werden soll?

Batch & Shell
Nach Webseite prüfen
gelöst Frage von CerauxBatch & Shell3 Kommentare

Wie kann man mit Batch prüfen ob eine Datei auf einer Homepage ist? Mein Beispiel (funktioniert leider nicht): echo ...

Neue Wissensbeiträge
Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 10 StundenHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Sicherheit

Oracle gibt kritische Updates für diverse Produkte frei (16. Oktober 2018)

Information von kgborn vor 21 StundenSicherheit

Oracle hat zum 16. Oktober 2018 eine ganze Reihe an kritischen Updates für seine Produkte freigegeben. Eine Kurzübersicht mit ...

Windows 10
FYI: Fristen beim Windows 10 Downgrade-Recht
Information von kgborn vor 21 StundenWindows 10

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

CMS
Freie Wähler Bayern MySQL PW online
Information von sabines vor 1 TagCMS6 Kommentare

Die Typo3 Installation der Freien Wähler Bayern scheint wohl längere Zeit nicht mehr angefasst und/oder fehlkonfiguriert zu sein. Nach ...

Heiß diskutierte Inhalte
Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1021 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Internet
Ist diese URL denkbar (Syntax)?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Exchange Server
Outlook Anywhere - Anmeldefenster muss mit Domain gefüllt werden
Frage von leon123Exchange Server15 Kommentare

Hallo zusammen, ich habe relativ erfolgreich einen Exchange 2016 aufgesetzt, sowie ein SAN-Zertifikat eingespielt und Outlook Anywhere aktiviert. Beim ...

Debian
Linux debian 9 Installation
Frage von Green14Debian15 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...