Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vorkommnisse im Netzwerk prüfen.

Frage Netzwerke Monitoring

Mitglied: JohnCarter

JohnCarter (Level 1) - Jetzt verbinden

21.10.2013 um 10:05 Uhr, 2016 Aufrufe, 7 Kommentare

Hallo an Alle!


So gesehen bin ich auf der Suche nach einer Software mit deren Hilfe ich Herausfinde was genau im Netzwerk vor sich hin geht.

Ein Kunde meinte es würden komische Dinge passieren wie beispielsweise da Speichern von Daten an zuvor nie definierten Orten oder eine Plötzliche hohe Last auf dem Netzwerk.

Im Grund fällt mir dazu erstmal nur WireShark ein, wobei ich mir hierbei aber unsicher bin wonach ich da filtern sollte.
Ich benötige etwas was mit genau zeigen kann wo der Traffic herkommt oder welcher PC was genau im Netzwerk oder sonst woher anspricht (lesen, speicher oder ähnliches).
Nicht das irgendwo ein ungebetener Gast Zugriff hat.

Hat Jemand eine Idee oder Software für Sowas bereit im Einsatz und kann näheres dazu sagen?



Mit freundlichem Gruß

John
Mitglied: 106543
21.10.2013 um 10:13 Uhr
Hi,

setz dir einen Proxy auf (Empfehlung: Squid) und lass sämtlichen Verkehr darüber routen.
Dann kannst du in aller Ruhe nachkontrollieren, was da vor sich geht.

Grüße
Exze
Bitte warten ..
Mitglied: MrNetman
21.10.2013 um 10:22 Uhr
Hi john,

und ganz elegant Netlow, sflow, ipfix .... da siehst du alles.
Aber starte mal mit einem SNMP Layer2 Monitoring der Switchports. (Switch Port Monitor, PRTG, MRTG)
So ohne Anhaltspunkt wirst du sonst nicht weiter kommen. Erst recht nicht, wenn die Aussagen des Kunden zu wirr sind und du sie noch nicht verifiziert hast.

GRuß
Netman
Bitte warten ..
Mitglied: aqui
21.10.2013, aktualisiert um 11:46 Uhr
Dein Satz: "...genau zeigen kann wo der Traffic herkommt oder welcher PC was genau im Netzwerk oder sonst woher anspricht" Sagt ja schon alles, da gibt es maximal 2 freie Alternativen:
  • Wireshark
  • MS NetMonitor
Bevorzugen solltest du ersteren !
Ein Proxy wie oben genannt nützt dir rein gar nichts, wenn du z.B. checken willst ob Trojaner auf Rechnern unberechtigte Verbindungen aufmachen im Hintergrund die nicht Web basierend sind.
Das kann nur der Wireshark sinnvoll machen !
Für eine dauerhafte Überwachung benötigst du eine sFlow oder NetFlow fähige Switch Infrastruktur wie Kollege Netman schon richtig bemerkt hat.
Dann kannst du da mit den Klassikern, nTop, Cacti, MRTG, sFlow-Tools, usw. usw. arbeiten.
Dieses Forumstutorial gibt dir im Kapitel Netzwerk Monitoring einen groben Überblick:
http://www.administrator.de/contentid/191718

Wenn du dein Netzwerk nicht absicherst hat natürlich jeder beliebige ungebetene Gast vollen Zugriff aufs Netz, das sollte dir klar sein.
Wie man ein Netzwerk wasserdicht sichert vor solchen Zugriffen erklärt dir dieses Forumstutorial:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Bitte warten ..
Mitglied: Lochkartenstanzer
21.10.2013 um 12:36 Uhr
Zusätzlich zu aquis Ausführungen könntest Du noch eine oder mehrere snort-probes im Netzwerk verteilen, um zu schauen, was sich da an Malware tummeln könnte.

lks
Bitte warten ..
Mitglied: 106543
21.10.2013 um 12:48 Uhr
Zitat von aqui:
Ein Proxy wie oben genannt nützt dir rein gar nichts, wenn du z.B. checken willst ob Trojaner auf Rechnern unberechtigte
Verbindungen aufmachen im Hintergrund die nicht Web basierend sind.
Das kann nur der Wireshark sinnvoll machen !

Ah sorry ...
Ist klar. Entschuldige nochmal die unpassende Auskunft, hatte mal wieder n Brett vor´m Kopp. -.-

Grüße
Exze
Bitte warten ..
Mitglied: 108012
21.10.2013 um 14:01 Uhr
Hallo,

Im Grund fällt mir dazu erstmal nur WireShark ein, wobei ich mir hierbei aber unsicher bin wonach ich da filtern sollte.
In Deinem Fall am besten mal gar keine Filter setzen damit auch wirklich der gesamte Netzwerkverkehr gespeichert wird,
je nach Netzwerk und auch vorhandenen Geräten sollte man die Dateigröße um die 2 GB anpeilen, da sonst sehr schnell
sehr große Dateien entstehen und die muss man dann hinterher ja auch noch sichten um herauszufinden was denn nun
dort von statten geht. Des weiteren wäre es gut wenn alle beteiligten Geräte auch ein und die selbe Uhrzeit haben!
Also sprich von ein und dem selben NTP Server Ihre Uhrzeit beziehen, dann muss man nachher nicht so viel umrechnen.
(Firewalls, Router, Switche, NAS & SAN Geräte, Server und Klient PCs)

Zusätzlich würde ich noch einmal versuchen alle PCs und Server nach Viren zu durchsuchen und dann auch einmal
alle GPOs checken ob man nicht vergessen hat die USB Ports zu sperren und/oder diese einmal zusätzlich mit
mechanischen USB Schlössern zu sichern, die dann an den USB Ports befestigt werden.

Einen Proxyserver wie Squid und zwei bis drei Snort Sensoren und einen Snort Server kann man dann hinterher
aufstellen wenn man weiß was vor sich geht und ich würde auch gleich den Rest mit abhandeln, wie zum
Beispiel einen LDAP Server für die Anbindung der Kabel gebundenen Geräte und einen Radius Server für die
Anbindung der Kabel losen Geräte, nur um sicher zu gehen dass von dort sich niemand Zugriff verschafft hat.

Gruß
Dobby
Bitte warten ..
Mitglied: MrNetman
21.10.2013 um 14:56 Uhr
geile Idee,

ob der Aufwand aufgrund einer Vermutung realisierbar ist.
Aber messen ist immer besser als schätzen oder vermuten. Eine Verzögerung von 30 Sekunden wurde politisch pro Vorgang zu fünf Minuten und über den Tag hochgerechnet zu zwei Stunden Wartezeit eines Mitarbeiters. Die Bewesiführung ist in der Tat, schwierig.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Exchangekonto prüfen, wie ?
gelöst Frage von deckerWindows Server3 Kommentare

Leider bin ich noch ziemlich Newbe in dem Bereich SBS 2011 mit Exchange 2010 und POPCon. Ich habe das ...

Windows 10
Auf Softwareupdates prüfen
gelöst Frage von honeybeeWindows 104 Kommentare

Hallo, mit welchem Tool kann man auf dem Rechner prüfen, welche installierte Software veraltet ist und aktualisiert werden soll?

Batch & Shell
Excel Prüfen
Frage von michi-ffmBatch & Shell

Hallo Zusammen, komme leider nicht weiter und hoffe jemand hat eine Idee. Ich habe ein Skript das wunderbar funktionierte, ...

Batch & Shell
Nach Webseite prüfen
gelöst Frage von CerauxBatch & Shell3 Kommentare

Wie kann man mit Batch prüfen ob eine Datei auf einer Homepage ist? Mein Beispiel (funktioniert leider nicht): echo ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 1 StundeErkennung und -Abwehr

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücke Spectre und ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...