Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ping? Hackertool? Zugriff auf die Zielmaschine

Mitglied: brammer

brammer (Level 4) - Jetzt verbinden

08.01.2019 um 15:34 Uhr, 740 Aufrufe, 11 Kommentare, 2 Danke

Hallo,

der Titel ist bewusst etwas provokativ gewählt.....

Wir greifen, im Supportfall, durch einen VPN Tunnel auf Maschinen die bei unseren Kunden in isolierten Netzen stehen , mit verschiedenen Tools zu.
Dazu gibt es einen Support Ticket inklusive einer Datenschutz Vereinbarung und einen Support Vertrag.
Dort heißt das jeder Zugriff auf die Kunden Maschine nur in Absprache mit dem Kunden geschehen darf.
Also rechtlich eigentlich alles in trockenen Tüchern.

Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist.

Und hier fängt das Problem an.... Ist ein Ping ein Zugriff auf die Maschine?

Meiner Meinung nach ist das kein Zugriff...
Verschiedene Argumente, mit den einschlägigen Paragraphen und Normen wurden ausgetauscht und diskutiert...

Jetzt hätte ich gerne von euch eine Meinung, ist ein ping schon ein ZUGRIFF auf die ZIelmaschine?

brammer
Mitglied: 137846
LÖSUNG 08.01.2019, aktualisiert um 15:48 Uhr
Ist ein Ping ein Zugriff auf die Maschine?
Er bringt somit in Erfahrung ob der Rechner läuft (sofern ICMP erlaubt wurde), und könnte daraus halt schließen das User an diesem Rechner aktiv sind. Ist wie wenn du einen Stein gegen ein Fenster wirfst und wartest das jemand ans Fenster geht nur das der User davon hier nichts mitbekommt, der Supporter bewegt sich also in diesem Moment still und heimlich im Netz sofern er dem User das nicht vorher mitgeteilt hat.
Er sollte also vor dem Herstellen des VPN den jeweiligen User zumindest benachrichtigen, dann wäre er auf der sicheren Seite. Je nachdem wie ihr das halt in eurem Vertrag geregelt habt.

Gruß A.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 08.01.2019 um 15:43 Uhr
Zitat von brammer:

Jetzt hätte ich gerne von euch eine Meinung, ist ein ping schon ein ZUGRIFF auf die ZIelmaschine?



Nein,

Ein ICMP-Echo-Request in den RFCs definiert und dient nur dazu, die Fehlerfreiheit zu prüfen. Solange man nicht speziell gebaute Ping-Pakete schickt, sogenante Ping of Death, schickt, die Fehler im TCP/IP-Stack ausnutzen, ist da nichts zu beanstanden.

Ansonsten wäre auch jedes Klopfen an einer Haustür schon als Einbruchsversuch zu werten.

lks
Bitte warten ..
Mitglied: Bem0815
LÖSUNG 08.01.2019 um 15:49 Uhr
Technisch gesehen vielleicht. Schwer zu sagen.
Wäre wohl Auslegungssache. Da könnten sich Juristen sicher Jahre drüber streiten.

Wenn die Prüfung aber ohnehin vor einem geplanten Zugriff stattfindet, sollte dann nicht eh bereits eine Absprache mit dem Kunden sowie eine Erlaubnis für den Zugriff vorhanden sein?

Zur not den Support Vertrag anpassen lassen und gut ist.


PS die Überschrift finde ich weniger Provokant sondern eher irreführend.
Wo soll denn das Thema denn etwas mit Hackertools zu tun haben?
Bitte warten ..
Mitglied: manuel-r
LÖSUNG 08.01.2019 um 16:29 Uhr
Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist. Und hier fängt das Problem an.... Ist ein Ping ein Zugriff auf die Maschine?
Ich persönlich sehe da jetzt kein Problem. Mit einem Ping wird lediglich geprüft, ob die Gegenstelle unter den gegebenen Umständen erreichbar ist oder nicht. Weder wird damit großartig die Netzwerkverbindung belastet noch die Gegenstelle aus dem Gleichgewicht gebracht. Falls doch hat die Gegenstelle oder Strecke ganz andere Probleme.
Vergleichen würde ich ein Ping mit dem Blick aus dem Fenster, ob das Auto vom Chef vor der Tür steht bevor ich mich auf den Weg zu seinem Büro mache.
Um Diskussionen aus dem Weg zu gehen würde ich einfach die Supportvereinbarung mit den Kunden entsprechend anpassen.
Bitte warten ..
Mitglied: Penny.Cilin
LÖSUNG 08.01.2019 um 17:36 Uhr
Hallo,

@brammer: Du frachst vielleicht Dinge.
Wie schon geschrieben, wird mit einem PING geprüft, ob der Kundenrechner, welcher Support benötigt, erreichbar ist.
Durch den PING greift man im Prinzip NICHT auf den Rechner zu.
Denn ein PING ist vergleichbar mit der Anfrage:
  • "hörst Du mich?"
  • "Hast Du mich verstanden?"
  • Bist Du erreichbar?
  • Geht es Dir gut?
Ein PING greift nicht auf Daten (Dokumente, Tabellen, Benutzerinformationen) eines Rechner zu.

Im Zweifelsfall frage doch den zuständigen Landes- oder Bundesdatenschutzbeauftragten.
habe ich auch schon öfters gemacht. Die Anfrage dauert unter Umständen etwas, gerade wegen den häufigen Anfrage bzgl. EU-DSGVO.

Zu guter Letzt, ist Deine Frage gar nicht mal so unlogisch.

Gruss Penny
Bitte warten ..
Mitglied: lcer00
LÖSUNG 08.01.2019 um 17:51 Uhr
Hallo,
Zitat von brammer:

Wir greifen, im Supportfall, durch einen VPN Tunnel auf Maschinen die bei unseren Kunden in isolierten Netzen stehen , mit verschiedenen Tools zu.
Dazu gibt es einen Support Ticket inklusive einer Datenschutz Vereinbarung und einen Support Vertrag.
Ihr habe also einen Zugang zum lokalen Datennetz des Kunden, den ihr nach Eingang des Supporttickets zum Zweck: Support nutzen dürft.

Dort heißt das jeder Zugriff auf die Kunden Maschine nur in Absprache mit dem Kunden geschehen darf.
Also rechtlich eigentlich alles in trockenen Tüchern.

Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist.
Abgesehen von der unsauberen Definition des Wortes "Zugriff" ist die Frage aus meiner Sicht anders zu stellen:

Denk es nicht von der Blechmaschine her, sondern vom Netzwerk. Ihr habt zunächst Zugriff auf das LAN. Das besteht aus Datenkabeln (hier irrelevant) und darauf laufenden Protokollen ( siehe https://de.wikipedia.org/wiki/OSI-Modell). Das Netz mach ohne Knoten keinen Sinn, also habe ihr mit dem Zugang zum LAN auch automatisch Zugriff auf bestimmte Protokolle des LAN: fangen wir mal an und bleiben wir bei OSI:

OSI 1-2: eher unkritisch, ist mit dem Zugriff aufs LAN direkt abgedeckt. Achtung: MAC-Adressen in OSI-2/Ethernet - an die kommt man aber nicht, wenn man in einem anderen Netzwerksegment ist.

OSI 3: Vermittlungsschicht: IP und ICPM - darum geht's also: gehört zur Vermittlungsschicht: ohne die kein Netzwerk.

OSI 4-7: habt ihr im Grunde keinen Zugriff drauf, solange ihr nicht Zugriff auf eine aktive LAN-Komponente habt. Den eigene Traffic wird natürlich "hineingeschmissen" das ist aber eher ein Müllproblem, da ihr auf Anwendungen auf Netzwerkknoten (jedes Gerät mit einer MAC) erst zugreifen könnt, wenn ihr Euch dort angemeldet habe.

Also ich würde folgende Zugriffsbereiche abgrenzen:
1) Zugriff auf LAN OSI 1-3
2) Zugriff auf Dienste, die von Netzwerkknoten zur Verfügung gestellt werden
2a) Dienste, die anonym von allen verwendet werden (z.B. NTP)
2b) Dienste, die nach Benutzerauthentifizierung verwendet werden.
3) Administrativer Zugriff auf Netzwerkknoten

Die Regelung "Anbindung per VPN" sollte Punkt 1 und Punkt 2a enthalten - sonst ist das schon hacken
Die Regelung von Punkt 2b) setzt voraus, dass ihr für Euch zulässige Dienste einen Benutzerzugang habt. Habt ihr keinen, dürft ihr sie eben nicht verwenden.
Punkt 3) ist dann das eigentliche Supportticket.

Zum Thema Personenbezogene Daten:
Wenn die IP oder die MAC Rückschlüsse auf die aktiven Person zulassen (Frau Meier in Zimmer 23 mit der MAC 00:ff:ee:dd:00:11:22:cc hat ihren Rechner an) dann müsst ihr das Regeln. Soll heißen, dass der Betrieb, der den Supportvertrag bei Euch abschließt die Einwilligung von Frau Meier zum Speichern der IP, ggf. MAC? hat und Ihr Euch darauf verlassen könnt.

Sinnvoll wäre eine Regelung, wie sichergestellt ist, dass Administrative Arbeiten a) nicht den Betriebsablauf stören und b) durchgeführt werden können, wenn sie erforderlich sind. (Chef beauftragt IT und sagt Frau Meier, dass sie jetzt mal nicht an Ihren PC kann, da die Wartungskosten zwischen 2:00 und 4:00 Uhr zu teuer für den Chef werden).

wie immer: extends Wikipedia.Hinweise_zu_Rechtsthemen

Grüße

lcer
Bitte warten ..
Mitglied: St-Andreas
LÖSUNG 08.01.2019 um 20:29 Uhr
Zugriff würde ich das nennen was OSI Layer 5,6 und 7 ist. ICMP ist Layer 3, also ok.
Das ist aber nur meine ganz persönliche Sichtweise.
Bitte warten ..
Mitglied: brammer
08.01.2019 um 22:34 Uhr
Hallo,

Danke an alle... im wesentlichen decken sich die Antworten und Argumente mit meiner eigenen Argumentation.
Egal ob es um das OSI-Modell, die Beispiele oder Vergleiche geht.

@Icer00
Das ich hier keine Rechtsberatung bekomme ist mir klar.

Ich lasse den Beitrag noch mal auf... vielleicht hat ja jemand eine Idee oder Ansatz der weiteres Licht ins Dunkel bringt...

Brammer
Bitte warten ..
Mitglied: brammer
08.01.2019 um 22:35 Uhr
Hallo,

@St-Andreas
Layer 4 aus versehen unterschlagen?

Brammer
Bitte warten ..
Mitglied: StefanKittel
LÖSUNG 09.01.2019 um 01:21 Uhr
Hallo,

was spricht dageben dem Kunden dies in einer Aktennotiz inklusive kurzer Erklärung mitzuteilen?

Stefan
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 09.01.2019 um 07:45 Uhr
Moin,

Um es mal mit einen Vergleich darzustellen:


İmho ist ein Ping wie das Schellen der Türklingel oder das Klopfen an die Haustür:

Wenn man das systematisch macht, um einen Einbruch vorzubereiten, z.B. zum prüfen ob jemand da ist oder um einen "Klingelstreich" zu spielen, dürfte das eindeutig nicht erlaubt sein.

Wenn man hingegen einen legitimen Grund hat, wie z.B. Post zustellen, Handwerksarbeiten durchführen, Freund besuchen, Hausieren , etc., sollte nichts dagegensprechen.

lks
Bitte warten ..
Ähnliche Inhalte
Firewall
Ping oder nicht Ping?
Erfahrungsbericht von LordGurkeFirewall10 Kommentare

Immer wieder erzählt mir jemand, dass man eine Firewall so konfigurieren soll, dass sie nicht auf ICMP-Echo-Requests ("Ping") antworten ...

Switche und Hubs
Ping Zeiten
Frage von Der.ITlerSwitche und Hubs23 Kommentare

Hallo Gemeinde. Ich habe 3 D-Link Switche. 2x D-Link DGS1210-24 1x D-Link DGS1210-10P 5 VLAN Tagged auf den LWL ...

Google Android
ANDROID - PING
Frage von MrRobot1997Google Android2 Kommentare

Hellas Leute. Habe da eine kurze Frage zu dem Betriebssystem Android. Kann man auf diesem Betriebssystem herausfinden, ob und ...

Entwicklung
Automatische Ping schleife
gelöst Frage von innovpizzaEntwicklung12 Kommentare

Hallo an alle, ich bin Auszubildender in einer Firma, in der wir gerade versuchen, vieles zu Automatisieren, so auch ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 23 StundenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 3 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
DNS
SFTP über DynDNS nicht OK - über ext. IP funktioniert es
gelöst Frage von C.MorgensternDNS10 Kommentare

Hallo zusammen! Ich habe Probleme beim SFTP Zugriff auf eine Linux Maschine vom WAN aus über eine DynDNS Adresse. ...

Netzwerkmanagement
Server bauen
Frage von JugendringNetzwerkmanagement10 Kommentare

Moin Moin, wir, der Jugendring sind ein ständig wachsender Verein mit vielen Unterprojekten. Da liegt es nah, dass wir ...

E-Mail
Rechtssichere Archivierung von emails
Frage von gerd33E-Mail9 Kommentare

Hallo zusammen, bin gerade dabei, eine revisions- und rechtsichere email-archivierung aucf meinem Server zu projektieren. Da eigentlich nur ich ...

Off Topic
Darf ich ein Forum erstellen das Produkte eines Herstellers betrifft?
Frage von cyberwallOff Topic9 Kommentare

Hallo Community, ich habe da eine "rechtliche" bzw. allgemeine Frage zum erstellen von Foren. Darf ich als "normale Person" ...