RootForum Community

Ich erwäge einen Kunden, mit dem ich auch befreundet bin, einen Gefallen zu tun und seinen Windows Rechner zu überprüfen. Es besteht der starke Verdacht das mit dem Rechner etwas nicht stimmt und ein Profi am Werke ist. Um den Verdacht zu bestätigen oder zu wiederlegen, überlege ich den Rechner in ein separates Netzwerk zu packen und den Netzwerkverkehr aufzuzeichnen und auszuwerten. Begründet sich der Verdacht und der Rechner wird wirklich remote überwacht geht der Rechner in die IT-Forensik um brauchbare Beweise zu bekommen die für eine Anzeige reichen.

Da ich ehrlich gesagt, mich seit zig Jahren nicht mehr damit befasst habe, bin ich nicht auf den aktuellen Stand. Welche Linux Programme würde ihr für so eine Aktion bevorzugen?

http://www.tcpdump.org/ und http://www.wireshark.org/ sollten bereits ausreichen.

Ich mach mir das eigentlich immer recht einfach.
Zwischen WAN und LAN klemmt eine firewall, Astaro, Endian IPCop etc. ist fast egal.
Mit wenig Aufwand, 2 Netzwerkkarten einem kleinen verstaubten Rechner kann man schnell selber etwas aufbauen.

Danach den Netzwerktraffik genau protokollieren. Lässt sich über die Firewall regeln erledigen.
tcpdump und wireshark sind hier ebenfalls absolut ausreichend. Du benötigst aber einen Router, der zwischen dem PZ und dem WAN hängt, um den Trafik zuverlässig mit zu bekommen.

BTW: Skype halte ich für eine nützliches Produkt um ggf. einen Bypass nach aussen erkennen zu können. Auch wenn Du glaubst, alles Dicht gemacht zu haben, Skype findet auch versteckteste Wege nach aussen.

Danke für die Tipps. :)

Eine handelsübliche FritzBox tut es ansich auch schon. Wenn ein CIFS-Laufwerk im Netz vorhanden ist (kleines NAS o. ä.) kann die FB einen Dump des Netzwerkverkehrs dorthin schicken. Auswerten kann man den dann mit Wireshark.

Hi, nützlicher Hinweis, danke.
Ich bevorzuge zwar generell eine "echte" Firewall.
Wenns aber schon mal da ist, lässt sich das leicht umsetzen, zur Not halt nen share auf dem Windows Rechner öffnen.