15802
Goto Top

ARP Spoofing und MAC Adresse fälschen trotz ARPwatch

Hallo Kollegen *,


folgendes Problem. In einem von mir betreuten Netz sind "Anomalien" aufgetaucht, bzw. festgestellt wurden. Allerdings nicht durch mich, sondern einen Studenten der mit in der IT Abteilung arbeitet. Der Haken an der Sache ist das die festgestellten Aktivitäten (ARPspoofing) von meinem Rechner ausgegangen sein sollen und das mit arpwatch über einen längeren Zeitraum wohl nachweislich dokumentiert werden kann. Nur habe ich KEINE solche Aktivitäten am laufen gehabt. Wie komme ich aus der Schei.. wieder raus ???? Mein Stuhl wackelt, mein Chef macht mir mit seiner Anwältin an der Seite die Hölle heiß und ich habe nix mich dagegen zu wehren.. irgend eine Idee ???? Kann man eine MAC und IP Adresse in einem geswitchten Netzwerk fälschen und kopieren, so das der Eindruck entsehen kann das mein Rechner der Verursacher ist ohne das er es tatsächlich war ? Ist es möglich ? und auch ohne das ARPwatch davon was mitbekommt ??? bzw. arpwatch tatsächlich auch der meinung ist das mein rechner die quelle war ?
ich bin schei.. ratlos und wohl auch bald meinen job los.. super...
wenn irgend jemand eine idee oder einen tip hat der glaubwürdig wäre das so etwas möglich ist, dann bitte ein Rückinfo !!!
Danke im voraus...

Grüße,
m.

Content-Key: 14158

Url: https://administrator.de/contentid/14158

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: 10545
10545 09.08.2005 um 07:10:35 Uhr
Goto Top
Moin,

ohne näher auf´s Thema einzugehen, erstmal folgendes: Wenn es rechtlich wird (Kündigung), dann schreibe mir eine PN, Dein Chef bewegt sich auf sehr dünnem Eis (Anscheinsvermutung/Beweislast etc.)!

Zum ARP-Spoofing habe ich das zweite Posting von Dir () schon beantwortet.

Gruß, Rene

PS: Zur Vorsorge: Ich bin kein Jurist und leiste keine beratende Dienste, die gegen das (bald kippende) Rechtsberatungsgesetz verstoßen.
Trotzdem solltest Du Dich im "worst case" per PN bei mir melden face-wink
Mitglied: KevinFree
KevinFree 10.08.2005 um 13:16:06 Uhr
Goto Top
hi
ip-spoofing ist ja nichts neues und aus technische Sicht schon recht anspruchsvoll.

Und die mac-adress zu faken ist selbst für eine lamer kein Problem. Chk mal das Tool SMAC.

Mit dem logDateien kannst Du zudem beweisen, wann Dein Rechner online war.

Also, wenn Du wirkl der Geschädigte bist und nicht einer, der es wissen will, wird man Dir nicht an die Karre fahren können.

Aber Obacht, wenn der Admin oder ein anderer besser ist als du, dann kann man allerhand faken um dir was anzuhängen.

Viele Grüße von der Küste

Kev
Mitglied: 15802
15802 10.08.2005 um 14:13:47 Uhr
Goto Top
Hi Kev,

danke Dir für die Infos.
Also der geschädigte ist in der Tat meine Person. Es existieren wohl Protokolle (arpwatch) die belegen sollen das von meinem Rechner ein Arp spoofing betrieben worden sein soll. Tja... Die "Beweise" sprechen eher gegen mich und ich habe nix gegenteiliges in der Hand.
Einen Missbrauch meiner Mac und IP schließen die Ankläger aus, da dies ebenfalls durch arpwatch hätte auffallen müssen. Stimmt das ??? Oder entbehrt diese Argumentation jeder Grundlage ?
Gibt es Möglichkeiten das andere Konfigurationeinstellungen an meinem Rechner einen ähnlichen Effekt zur Folge haben könnten, sprich arpwatch dazu veranlassen könnten alarm zu schlagen ?
So war an meiner NIC wohl Spanning Tree aktiviert.
Danke im Voraus.

Grüße,
M.
Mitglied: KevinFree
KevinFree 10.08.2005 um 14:32:58 Uhr
Goto Top
also:
das von Deinem Rechner ein Angriff stattgefunden hat, sagt ja noch nicht darüber aus von wem!!!
das Ergebnis von Arpwatch wird in einem File 'arp.dat' gesammelt und parallel ins syslog-File geschrieben. Wenn dort Deine Netzwerkadresse steht, sagt das doch überhaupt nichts aus. Mit dem tool smac kannst Du jede Adresse faken, die Du kennst! Mach Dir lieber mal Gedanken, wer Interesse hat, Dir was anzuhängen. Und chk mal Deinen Rechner nach Sachen/Progs/Pics die da nicht hingehören und plaziert wurden.

Außerdem solltest Du in der Autoexecbat ein code hinterlegen, der die Zeit/datum vom Hochfahren protokolliert. Dann siehst Du, wann jemand dran war, wenn Du nicht im office warst!
Außerdem wird es Arbeitsrechtlich darauf ankommen, wer den Angriff verübt hat und nicht von wo!

Laß uns wissen, wie es weiter ging und schau Dir SMAC an!
Gruß Kevin
Mitglied: 15802
15802 10.08.2005 um 14:43:07 Uhr
Goto Top
also an meinen Rechner komme ich nicht mehr ran. Ich bin seit gestern bereits nicht mehr Mitarbeiter des Unternehmens. Daher lassen sich solche Sachen jetzt schwierig nachvollziehen. face-sad
Auf jeden Fall schon mal gut zu wissen das es möglich ist eine MAC zu fälschen. Das das unter Linux relativ einfach möglich ist war mir schon klar. Bleibt nur die Frage wenn einer meine MAC fälscht, ob das dann eigentlich nicht auch durch das arpwatch hätte bemerkt werden müssen (?).
Generell ist die Info das so eventuell nachgewiesen werden kann von welchem Rechner der Angriff kam und nicht von welcher Person, schon mal recht hilfreich (Danke noch mal Rene_D für die Infos).
Zum anderen, selbst das fäschen einer MAC und damit die potentielle Möglichkeit des spoofens bedeutet noch lange nicht das das auch wirklich durchgeführt wurden ist. Meine Meinung.. Nur an meinen ex. Rechner komme ich eben leider nicht mehr heran. Bleibt nur die "Beweise" in Frage stellen zu können.

Grüße,
M.
Mitglied: KevinFree
KevinFree 10.08.2005 um 16:14:31 Uhr
Goto Top
Du solltest Dir in jedem Fall einen Anwalt nehmen. Falls Du gekündigt wurdes mußt DU innerhalb von 14 Tagen beim Amtsgericht Kündigungsschutzklage erheben!!!
Falls Du vor Gericht Hilfe für die Klärung dieser technischen Dinge brauchst meld Dich wieder.

Ich bin ziemlich sicher, daß mit SMAC erzeugte gefakte MAC nicht erkannt werden. Natürlich ist die MAC des Angreifers nicht im Protokoll von arpwatch, den er hat ja Deine benutzt sind alle da, dann müßte Deine doppelt auftauchen, es sei denn, Dein Rechner war duch ne DOS-Attacke bockiert. Sind alle da und Deine nicht, gabs einen neuen Rechner im Netz vielleicht ein Laptop.

Ich glaub nicht, daß Dein AG so gewinnt...
Mitglied: 15802
15802 10.08.2005 um 16:38:14 Uhr
Goto Top
Danke Dir für die Unterstützung.
Anwalt habe ich bereits. Kann leider aus Mangel an Equipment zu Hause nicht testen ob arpwatch den Einsatz von SMAC nicht feststellt. Wenn es das wirklich nicht kann wäre das auf jeden Fall eine Möglichkeit die gegen die Zuverlässigkeit und Eindeutigkeit der vorliegenden Logs sprechen würde. Alleine das Vorgehen der sogenannten "Kollegen" bei Verdacht auf Unregelmäßigkeiten 2-3 Wochen eigenverantwortlich zu handeln und Daten zu sammeln ohne eine Info an irgend einen aus der Admin Abteilung ist der Hammer und dann noch gegen den Datenschutzbeauftragten. Wenn der Verdacht besteht das es Unregelmäßigkeiten gibt dann ist eine Info ja sicher nicht zu viel. Hier hat sich jemand richtig Mühe gegeben mich los zu werden .....
Mitglied: KevinFree
KevinFree 11.08.2005 um 08:34:13 Uhr
Goto Top
ich bin sicher, daß es unzulässig ist, und somit für die Gerichtsverhandlung unbrauchbar, Dich ohne Dein Wissen am Pc zu überwachen. Sollte das der AG vor Gericht zugeben ohne dafür einen richterlichen Beschluß zu haben, sind Deine Persönlichkeitsrechte mit strafrechtlicher Konsequenz verletzt. Falls Ihr einen Betriebsrat habt, ist das Wissen ebenfalls interessant.
Mit den von Dir hier gegebenen Infos glaube ich auf gar keinen Fall, daß Dein AG gewinnt.

Ich les grad noch mal, daß DU und Dein REchner 2-3 Wochen überwacht wurden und kann es nicht glauben, daß ist arbeits- und strafrechtlich illegal!!! Selbst wenn man Dir nachweisen könnte, daß die Überwachung zur Vermeidung einer Straftat dient, wird der AG sicher nicht durchkommen.

Auf jeden Fall mußt DU in diesem Tread uns auf dem laufenden halten. Und fang an hacken zu lernen....
Mitglied: 15802
15802 11.08.2005 um 19:26:18 Uhr
Goto Top
na schauen wir mal wo das hinführt. ich bin gespannt. auf jeden fall halte ich euch hier auf dem laufenden so wie es was neues gibt.
face-wink

grüße,
m.
Mitglied: RemiX
RemiX 12.08.2005 um 16:15:43 Uhr
Goto Top
HAY; Du brauchst nur ein switsh und ein mac adrese von der firma mehr nicht und als dein mac adrese umwandln
und ganz einfach einlocken ARPwtch kannst du (das du internet rein kommst und mac adrese ist für denn tool das er dich nicht erkennt) viel spass.


RemiX
Mitglied: 15802
15802 12.08.2005 um 18:52:52 Uhr
Goto Top
Hallo RemiX

hmm. kapiere ich gerade ich nicht so richtig. normalerweise sollte arpwatch ja veränderungen der mac adresse feststellen. wenn mein rechner in betrieb ist und ein andere stöpselt seinen rechner mit meiner mac und meiner ip ans netz, sollte das ja eigentlich zu problemen führen. schon weil doppelte ip's in aller regel ein problem darstellen. oder habe ich dich jetzt falsch verstanden ?

Grüße,
m.
Mitglied: 15802
15802 17.08.2005 um 14:53:02 Uhr
Goto Top
So. gibt ein paar Neuigkeiten.
Die Auswertungen von ARPwatch haben ergeben das mein Rechner für die Dauer von 0-34 Sekunden die MAC der Zielrechner gefakte haben soll.
Zumindest würde ich die Angabe "Delta" in den Arpwatch Logfiles so deuten.
0-34 Sekunden sind nach meiner Einschätzung jetzt aber nicht wirklich lange um sinnvoll Daten mitschneiden und auswerten zu können, oder sehe ich das falsch ????????? was will man denn bitte in 34 Sekunden mitschneiden ? wenn der ganze Vorgang bei den betreffenden Geräten gerade einmal aufgetreten ist.
Eure Meinung ?
Mitglied: KevinFree
KevinFree 17.08.2005 um 15:22:45 Uhr
Goto Top
nun, es ist nicht die Frage, was der user in 34 destruktiven Sekunden machen kann, sondern was programme in dieser zeit schaffen. du kannst in dieser zeit ein tool überspielen oder befehlszeilen senden um nach einer Reaktion später zurückzukehren. Intersant wäre die genaue uhrzeit des zugriffs.
Die Suche nach dem Motiv ist juristisch von bedeutung für deine nachforschung ist das motiv egal, es ist passiert, weil es geht!
Hauptsache du hast kdgSchulztklage eingereicht.
Mitglied: 15802
15802 17.08.2005 um 15:44:23 Uhr
Goto Top
also der Vorwurf lautet auf Datenmitschnitt, sprich Arp spoofing. Die Uhrzeit liegt innerhalb regulärer Arbeitszeiten. Wenn man davon ausgeht das die Uhr am Rechner der die Logs erstellt hat richtig ging.
Die kdgsk ist raus.
Mitglied: KevinFree
KevinFree 17.08.2005 um 16:22:00 Uhr
Goto Top
ich glaube niemals, daß der AG damit gewinnt. halte ich für ausgeschlossen.
Mitglied: 15802
15802 17.08.2005 um 16:45:48 Uhr
Goto Top
inzwischen kann ich mir das beim besten willen auch nicht mehr vorstellen.
im zweifelsfall würde ich die protokolle allderdings noch durch einen unabhängigen sachverständigen auswerten lassen. generell ist bei durch arpwatch protokollierten arp spoofing immer eine größere Zeitfdifferenz (Delta) zw. der Übernahme und wieder Umschaltung auf die orginal MAC im Internet protokolliert und dokumentiert. Macht ja durchaus auch Sinn. Ein Delta von 0 bzw. mal 5 Sekunden deutet eher auf ein Fehler in der Protokollierung oder sonst was hin, denn auf einen ausgiebigen Datenmitschnitt via ArpSpoofing.
Mitglied: 10545
10545 17.08.2005 um 17:41:22 Uhr
Goto Top
Hallo Mike,

wir haben ja bereits ausgiebig darüber gesprochen ? ich sehe den AG mit "wehenden Fahnen" untergehen!

Was sagt denn Dein Anwalt? Gerne auch per =>PN.

Gruß, Rene
Mitglied: 15802
15802 18.02.2006 um 18:52:07 Uhr
Goto Top
Soooooooo....

lieber spät als nie face-wink
Also.. um das ganze hier zu einem Abschluss zu bringen. AG ist eingeknickt. Die Beweislage war dann wohl doch nicht so eindeutig. Das Vertrauen in den AG ist dennoch dahin und den Job dort gibts auch nicht mehr...So schnell kann es gehen.. Sauerei eigentlich....
Danke dennoch allen für die Infos und die Tips hier !!!


LG,