Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Erkennungsmerkmale von Bit Torrent und anderer P2P Software

Frage Sicherheit Firewall

Mitglied: Gagarin

Gagarin (Level 1) - Jetzt verbinden

17.09.2008, aktualisiert 22.09.2008, 6793 Aufrufe, 11 Kommentare

Gibt es eine Liste von Erkennungsmerkmalen von Bit Torrent und anderer P2P Software zum Zwecke des Nachweises der Nutzung und zur identifizierung des Betroffenen Systems.

Hallo liebe Administratorengemeinschaft!

Ich habe den Auftrag in unserem Netzwerk, nachzuweisen das P2P Software benutzt worden ist und von welcher Workstation das geschah.

Wir haben die Moeglichkeit unserer Netzwerk nach folgenden Artefakten zu durchsuchen:

1.) Dateien/Ordner (auch geloeschte)
2.) Registrykeys
3.) MD 5 Hashes
4.) Life running Processes

Nun ist die Frage nach was wir denn nun suchen sollen. Jede P2P Software erstellt unterschiedliche Artefakte.

Gibt es irgendwo ein Verzeichniss solcher Merkmale?

Interessante waere auch eine Statistik ueber die beliebtesten P2P-Clients.

Ansonsten muss ich in den sauren Apfel beissen und jede Software selber analysieren muessen.

Ueber eine rege Diskussion wie man an das Thema heran gehen kann wuerde ich mich freuen!
Mitglied: aqui
17.09.2008 um 16:47 Uhr
Warum snifferst du nicht mit einem Wireshark oder MS-Net-Monitor den Traffic am Routerport mit ??

Mit einem entsprechenden Paket Filter auf die P2P TCP und UDP Ports:

http://www.securityfocus.com/infocus/1843

kannst du die Schuldigen ja anhand ihrer IP und MAC Adresse sofort in flagranti dingfest machen und ersparst dir die Frickelei das ganze Netzwerk in allen Ecken nach irgendwelchen Resten und Fragmenten zu durchsuchen. Ob du dann noch Benutzer dazu dingfest machen kannst steht auf einem ganz anderen Blatt Papier !

Pfiffige User nutzen oder so eine Boot CD und einen USB Stick und da wollen wir dich dann mal sehen was du dann findest mit deinen Suchprogrammen..
Der Sniffer findet sie trotzdem und das mit Uhrzeit und Datum
Bitte warten ..
Mitglied: Gagarin
17.09.2008 um 17:02 Uhr
Unser IDS hat schon ganze Arbeitet geleistet. Wir haben die IP Adressen und Timings. Wir wollen das ganze nun von der forsensischen Seite Wasserfest machen.

Der Gebrauch einer Boot/CD oder/und USB Stick ist bei uns eingeschraenkt worden und sollte daher gar nicht erst moeglich sein.
Bitte warten ..
Mitglied: Zitruslimmonade
17.09.2008 um 17:03 Uhr
Moinsen...
Ich versteh nur eins nich, warum ist ein User, der P2P Software benutzt ein Mensch der etwas falsch macht ? Dann bin ich ein ganz ein schlechter Mensch da ich es täglich benutze, bei Videostreams, beim Versuch irre wahnwitzige Images von Linux Distributionen zu saugen usw...
Das Benutzen von P2P Software sollte man endlich mal respektieren und den Sinn sehen für was es eigendlich erstmal erfunden wurde... Doch weil sich alzugern Admins darin versuchen P2P sachen zu blocken... ob nun mit nem application filter oder nem port block... die Vorteile sperrt man damit genauso aus wie die Nachteile.

so, das war mein senf dazu
gruss
chris
Bitte warten ..
Mitglied: oohlala
17.09.2008 um 17:06 Uhr
nur wer muss auf arbeit denn rießige linux images oder video streams ziehen? ausser admins?
Bitte warten ..
Mitglied: Gagarin
17.09.2008 um 17:07 Uhr
Danke Chris fuer deinen "Senf".

Jemand der dafuer unterschrieben hat das er in der Firma keine Software einsetzt die nicht vorher geprueft worden ist macht definitiv etwas falsch.

Ausserdem ist P2P Software DAS Einfallstor fuer Malware schlecht hin und wir koennen es nicht zulassen das unsere Sicherheitsmassnahmen wie IDS/IPS und Emailcontentfiltering umgangen werden.

Sobald ich den Content von P2P sauber filtern und ueberwachen kann haette nichts dagegen solche Software einzusetzen.
Bitte warten ..
Mitglied: miniversum
17.09.2008 um 17:55 Uhr
Da wäre aber nicht nur nach P2P Software zu suchen. Dann solltest du auch malschauen ob die User so Seiten aufrufen die zum Datei austausch gedacht sind, wie z.B. Rapidshare. Da findest du dann garkeine Softwarespuren auf dem PC da das normale Internet Seiten sind und normale Downloads die da stattfinden. Du müsstest dann also schon Downloads ansich sperren...
Bitte warten ..
Mitglied: Gagarin
17.09.2008 um 18:33 Uhr
Danke für deinen Beitrag Miniversum!
Solche Seiten sind bei uns per im Proxy default gesperrt, ebenso der download von ausführbaren Dateien.
Bitte warten ..
Mitglied: 16568
18.09.2008 um 08:59 Uhr
Du kannst auf den Rechnern im "Dokumente und Einstellungen"-Ordner suchen, da verewigen sich i.d. Regel auch noch einige Sachen...


Lonesome Walker
Bitte warten ..
Mitglied: BrenntagAdmin
22.09.2008 um 10:17 Uhr
Hi Gagarin.

Wenn ich dich richtig verstanden habe, schreibt ihr das Wort Sicherheit doch recht groß in eurem Unternehmen. Von daher gehe ich jetzt einfach mal davon aus, das kein normaler User auf seinem Rechner Administratorrechte hat. Das wäre angesichts eurer sonstigen Einschränkungen (eingeschränkte USB Sticks, etc) auch sehr schlampig.

Wenn man von dieser Tatsache ausgeht, ist eine Installation eines P2P Programmes von einem normalen Benutzer auch gar nicht möglich.
Als Möglichkeit bleiben hier also erst einmal nur portable Programme übrig (oder gibt es auch browserbasierte P2P Clients?).

Eine einfache .exe-Datei bekommt man trotz Filter ohne Probleme in die Firma. Gib der Datei eine andere Endung (z.B. .doc), schicke sie an deine berufliche Email und ändere den Dateityp lokal wieder auf .exe um. Schon hast du dein portables Programm auf deinem Arbeitsrechner.

Falls es bei euch in diesem Zuge erlaubt ist die Emails des Benutzers anzuschauen (hier muss die Datenschutzregelung eures Unternehmens beachtet werden), suche nach einer entsprechenden Email, die von einer privaten Emailadresse zur beruflichen des Users geschickt wurde und einen Anhang enthält.

Ansonsten bleibt dir wohl nur die Möglichkeit übrig, nach gelöschten Dateien im Papierkorb oder sonst wo auf dem Rechner zu suchen. Ein Filter nach .exe sollte hier schon helfen, sich durch eine eventuelle Flut von gelöschten Dateien hindurch zu arbeiten.
Bitte warten ..
Mitglied: Gagarin
22.09.2008 um 12:03 Uhr
Hallo BrenntagAdmin,

um einmal ins Detail zugehen:

Wir haben ein grosses Netzwerk bei dem es moeglich war, auf grund eines administrationfehlers, jegliche Software zu installieren.

Jetzt moechten wir per EnCase uber die serverlets festellen/nachweisen auf welchen Systemen die top 10 der P2P Software installiert war. Dazu muss allerdings bekannt sein nach was gesucht werden muss. Ich hatte gehofft das eine Liste exisitiert in der zb. der Name der ausfuehrbaren Dateien der P2P Software verzeichnet ist.

Ich werde ansonsten jede Software selber installieren muessen um danach suchen zu koennen.

BTW: Es ist durchaus moeglich auch eine unbenannte exe herauszufiltern. Wir benutzen dafuer Produkte von Clearswift.
Bitte warten ..
Mitglied: BrenntagAdmin
22.09.2008 um 12:19 Uhr
Okay...dann würde ich so vorgehen:

Du hast ja schon den Netzwerkverkehr gesnifft. Hier solltest du auch entsprechende Portangaben bekommen haben. Normalerweise kommuniziert jeder P2P Client, auf eigenen Ports, bzw jedes Protokoll.

Hiernach kannst du bereits eine Vorauswahl der zu suchenden Clients treffen.
Dann würde ich die Registry und innerhalb eines Recovery Programmes nach gelöschten Programmordnern unter C:\Programme suchen, die den entsprechenden Clients zugeordnet werden können.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (12)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (3)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (5)

Frage von Schauer zum Thema Windows Netzwerk ...

Drucker und Scanner
gelöst Scanner Software pls schnelle Hilfe (5)

Frage von TheScanner zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...