Ich erwäge einen Kunden, mit dem ich auch befreundet bin, einen Gefallen zu tun und seinen Windows Rechner zu überprüfen. Es besteht der starke Verdacht das mit dem Rechner etwas nicht stimmt und ein Profi am Werke ist. Um den Verdacht zu bestätigen oder zu wiederlegen, überlege ich den Rechner in ein separates Netzwerk zu packen und den Netzwerkverkehr aufzuzeichnen und auszuwerten. Begründet sich der Verdacht und der Rechner wird wirklich remote überwacht geht der Rechner in die IT-Forensik um brauchbare Beweise zu bekommen die für eine Anzeige reichen.
Da ich ehrlich gesagt, mich seit zig Jahren nicht mehr damit befasst habe, bin ich nicht auf den aktuellen Stand. Welche Linux Programme würde ihr für so eine Aktion bevorzugen?
Netzwerkverkehr Überwachung
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Netzwerkverkehr Überwachung
http://www.tcpdump.org/ und http://www.wireshark.org/ sollten bereits ausreichen.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
ddm3ve
- Moderator
- Posts: 1235
- Joined: 2011-07-04 10:56
Re: Netzwerkverkehr Überwachung
Ich mach mir das eigentlich immer recht einfach.
Zwischen WAN und LAN klemmt eine firewall, Astaro, Endian IPCop etc. ist fast egal.
Mit wenig Aufwand, 2 Netzwerkkarten einem kleinen verstaubten Rechner kann man schnell selber etwas aufbauen.
Danach den Netzwerktraffik genau protokollieren. Lässt sich über die Firewall regeln erledigen.
tcpdump und wireshark sind hier ebenfalls absolut ausreichend. Du benötigst aber einen Router, der zwischen dem PZ und dem WAN hängt, um den Trafik zuverlässig mit zu bekommen.
BTW: Skype halte ich für eine nützliches Produkt um ggf. einen Bypass nach aussen erkennen zu können. Auch wenn Du glaubst, alles Dicht gemacht zu haben, Skype findet auch versteckteste Wege nach aussen.
Zwischen WAN und LAN klemmt eine firewall, Astaro, Endian IPCop etc. ist fast egal.
Mit wenig Aufwand, 2 Netzwerkkarten einem kleinen verstaubten Rechner kann man schnell selber etwas aufbauen.
Danach den Netzwerktraffik genau protokollieren. Lässt sich über die Firewall regeln erledigen.
tcpdump und wireshark sind hier ebenfalls absolut ausreichend. Du benötigst aber einen Router, der zwischen dem PZ und dem WAN hängt, um den Trafik zuverlässig mit zu bekommen.
BTW: Skype halte ich für eine nützliches Produkt um ggf. einen Bypass nach aussen erkennen zu können. Auch wenn Du glaubst, alles Dicht gemacht zu haben, Skype findet auch versteckteste Wege nach aussen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
jan10001
- Anbieter
- Posts: 749
- Joined: 2004-01-02 12:17
Re: Netzwerkverkehr Überwachung
Danke für die Tipps. :)
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: Netzwerkverkehr Überwachung
Eine handelsübliche FritzBox tut es ansich auch schon. Wenn ein CIFS-Laufwerk im Netz vorhanden ist (kleines NAS o. ä.) kann die FB einen Dump des Netzwerkverkehrs dorthin schicken. Auswerten kann man den dann mit Wireshark.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
-
ddm3ve
- Moderator
- Posts: 1235
- Joined: 2011-07-04 10:56
Re: Netzwerkverkehr Überwachung
Hi, nützlicher Hinweis, danke.
Ich bevorzuge zwar generell eine "echte" Firewall.
Wenns aber schon mal da ist, lässt sich das leicht umsetzen, zur Not halt nen share auf dem Windows Rechner öffnen.
Ich bevorzuge zwar generell eine "echte" Firewall.
Wenns aber schon mal da ist, lässt sich das leicht umsetzen, zur Not halt nen share auf dem Windows Rechner öffnen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.