Netzwerkverkehr Überwachung

Alles was sonst Nirgends passt
jan10001
Anbieter
Posts: 728
Joined: 2004-01-02 12:17

Netzwerkverkehr Überwachung

Post by jan10001 » 2012-05-12 10:55

Ich erwäge einen Kunden, mit dem ich auch befreundet bin, einen Gefallen zu tun und seinen Windows Rechner zu überprüfen. Es besteht der starke Verdacht das mit dem Rechner etwas nicht stimmt und ein Profi am Werke ist. Um den Verdacht zu bestätigen oder zu wiederlegen, überlege ich den Rechner in ein separates Netzwerk zu packen und den Netzwerkverkehr aufzuzeichnen und auszuwerten. Begründet sich der Verdacht und der Rechner wird wirklich remote überwacht geht der Rechner in die IT-Forensik um brauchbare Beweise zu bekommen die für eine Anzeige reichen.

Da ich ehrlich gesagt, mich seit zig Jahren nicht mehr damit befasst habe, bin ich nicht auf den aktuellen Stand. Welche Linux Programme würde ihr für so eine Aktion bevorzugen?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Netzwerkverkehr Überwachung

Post by Joe User » 2012-05-12 11:50

http://www.tcpdump.org/ und http://www.wireshark.org/ sollten bereits ausreichen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Netzwerkverkehr Überwachung

Post by ddm3ve » 2012-05-12 12:36

Ich mach mir das eigentlich immer recht einfach.
Zwischen WAN und LAN klemmt eine firewall, Astaro, Endian IPCop etc. ist fast egal.
Mit wenig Aufwand, 2 Netzwerkkarten einem kleinen verstaubten Rechner kann man schnell selber etwas aufbauen.

Danach den Netzwerktraffik genau protokollieren. Lässt sich über die Firewall regeln erledigen.
tcpdump und wireshark sind hier ebenfalls absolut ausreichend. Du benötigst aber einen Router, der zwischen dem PZ und dem WAN hängt, um den Trafik zuverlässig mit zu bekommen.

BTW: Skype halte ich für eine nützliches Produkt um ggf. einen Bypass nach aussen erkennen zu können. Auch wenn Du glaubst, alles Dicht gemacht zu haben, Skype findet auch versteckteste Wege nach aussen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

jan10001
Anbieter
Posts: 728
Joined: 2004-01-02 12:17

Re: Netzwerkverkehr Überwachung

Post by jan10001 » 2012-05-13 18:06

Danke für die Tipps. :)

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Netzwerkverkehr Überwachung

Post by daemotron » 2012-05-14 12:43

Eine handelsübliche FritzBox tut es ansich auch schon. Wenn ein CIFS-Laufwerk im Netz vorhanden ist (kleines NAS o. ä.) kann die FB einen Dump des Netzwerkverkehrs dorthin schicken. Auswerten kann man den dann mit Wireshark.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Netzwerkverkehr Überwachung

Post by ddm3ve » 2012-05-14 13:08

Hi, nützlicher Hinweis, danke.
Ich bevorzuge zwar generell eine "echte" Firewall.
Wenns aber schon mal da ist, lässt sich das leicht umsetzen, zur Not halt nen share auf dem Windows Rechner öffnen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.