7
Vorkommnisse im Netzwerk prüfen.
Hallo an Alle!
So gesehen bin ich auf der Suche nach einer Software mit deren Hilfe ich Herausfinde was genau im Netzwerk vor sich hin geht.
Ein Kunde meinte es würden komische Dinge passieren wie beispielsweise da Speichern von Daten an zuvor nie definierten Orten oder eine Plötzliche hohe Last auf dem Netzwerk.
Im Grund fällt mir dazu erstmal nur WireShark ein, wobei ich mir hierbei aber unsicher bin wonach ich da filtern sollte.
Ich benötige etwas was mit genau zeigen kann wo der Traffic herkommt oder welcher PC was genau im Netzwerk oder sonst woher anspricht (lesen, speicher oder ähnliches).
Nicht das irgendwo ein ungebetener Gast Zugriff hat.
Hat Jemand eine Idee oder Software für Sowas bereit im Einsatz und kann näheres dazu sagen?
Mit freundlichem Gruß
John
So gesehen bin ich auf der Suche nach einer Software mit deren Hilfe ich Herausfinde was genau im Netzwerk vor sich hin geht.
Ein Kunde meinte es würden komische Dinge passieren wie beispielsweise da Speichern von Daten an zuvor nie definierten Orten oder eine Plötzliche hohe Last auf dem Netzwerk.
Im Grund fällt mir dazu erstmal nur WireShark ein, wobei ich mir hierbei aber unsicher bin wonach ich da filtern sollte.
Ich benötige etwas was mit genau zeigen kann wo der Traffic herkommt oder welcher PC was genau im Netzwerk oder sonst woher anspricht (lesen, speicher oder ähnliches).
Nicht das irgendwo ein ungebetener Gast Zugriff hat.
Hat Jemand eine Idee oder Software für Sowas bereit im Einsatz und kann näheres dazu sagen?
Mit freundlichem Gruß
John
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 219935
Url: https://administrator.de/contentid/219935
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
Hi,
setz dir einen Proxy auf (Empfehlung: Squid) und lass sämtlichen Verkehr darüber routen.
Dann kannst du in aller Ruhe nachkontrollieren, was da vor sich geht.
Grüße
Exze
setz dir einen Proxy auf (Empfehlung: Squid) und lass sämtlichen Verkehr darüber routen.
Dann kannst du in aller Ruhe nachkontrollieren, was da vor sich geht.
Grüße
Exze
Hi john,
und ganz elegant Netlow, sflow, ipfix .... da siehst du alles.
Aber starte mal mit einem SNMP Layer2 Monitoring der Switchports. (Switch Port Monitor, PRTG, MRTG)
So ohne Anhaltspunkt wirst du sonst nicht weiter kommen. Erst recht nicht, wenn die Aussagen des Kunden zu wirr sind und du sie noch nicht verifiziert hast.
GRuß
Netman
und ganz elegant Netlow, sflow, ipfix .... da siehst du alles.
Aber starte mal mit einem SNMP Layer2 Monitoring der Switchports. (Switch Port Monitor, PRTG, MRTG)
So ohne Anhaltspunkt wirst du sonst nicht weiter kommen. Erst recht nicht, wenn die Aussagen des Kunden zu wirr sind und du sie noch nicht verifiziert hast.
GRuß
Netman
Dein Satz: "...genau zeigen kann wo der Traffic herkommt oder welcher PC was genau im Netzwerk oder sonst woher anspricht" Sagt ja schon alles, da gibt es maximal 2 freie Alternativen:
Ein Proxy wie oben genannt nützt dir rein gar nichts, wenn du z.B. checken willst ob Trojaner auf Rechnern unberechtigte Verbindungen aufmachen im Hintergrund die nicht Web basierend sind.
Das kann nur der Wireshark sinnvoll machen !
Für eine dauerhafte Überwachung benötigst du eine sFlow oder NetFlow fähige Switch Infrastruktur wie Kollege Netman schon richtig bemerkt hat.
Dann kannst du da mit den Klassikern, nTop, Cacti, MRTG, sFlow-Tools, usw. usw. arbeiten.
Dieses Forumstutorial gibt dir im Kapitel Netzwerk Monitoring einen groben Überblick:
Netzwerk Management Server mit Raspberry Pi
Wenn du dein Netzwerk nicht absicherst hat natürlich jeder beliebige ungebetene Gast vollen Zugriff aufs Netz, das sollte dir klar sein.
Wie man ein Netzwerk wasserdicht sichert vor solchen Zugriffen erklärt dir dieses Forumstutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
- Wireshark
- MS NetMonitor
Ein Proxy wie oben genannt nützt dir rein gar nichts, wenn du z.B. checken willst ob Trojaner auf Rechnern unberechtigte Verbindungen aufmachen im Hintergrund die nicht Web basierend sind.
Das kann nur der Wireshark sinnvoll machen !
Für eine dauerhafte Überwachung benötigst du eine sFlow oder NetFlow fähige Switch Infrastruktur wie Kollege Netman schon richtig bemerkt hat.
Dann kannst du da mit den Klassikern, nTop, Cacti, MRTG, sFlow-Tools, usw. usw. arbeiten.
Dieses Forumstutorial gibt dir im Kapitel Netzwerk Monitoring einen groben Überblick:
Netzwerk Management Server mit Raspberry Pi
Wenn du dein Netzwerk nicht absicherst hat natürlich jeder beliebige ungebetene Gast vollen Zugriff aufs Netz, das sollte dir klar sein.
Wie man ein Netzwerk wasserdicht sichert vor solchen Zugriffen erklärt dir dieses Forumstutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Zusätzlich zu aquis Ausführungen könntest Du noch eine oder mehrere snort-probes im Netzwerk verteilen, um zu schauen, was sich da an Malware tummeln könnte.
lks
lks
Zitat von @aqui:
Ein Proxy wie oben genannt nützt dir rein gar nichts, wenn du z.B. checken willst ob Trojaner auf Rechnern unberechtigte
Verbindungen aufmachen im Hintergrund die nicht Web basierend sind.
Das kann nur der Wireshark sinnvoll machen !
Ein Proxy wie oben genannt nützt dir rein gar nichts, wenn du z.B. checken willst ob Trojaner auf Rechnern unberechtigte
Verbindungen aufmachen im Hintergrund die nicht Web basierend sind.
Das kann nur der Wireshark sinnvoll machen !
Ah sorry ...
Ist klar. Entschuldige nochmal die unpassende Auskunft, hatte mal wieder n Brett vor´m Kopp. -.-
Grüße
Exze
Hallo,
je nach Netzwerk und auch vorhandenen Geräten sollte man die Dateigröße um die 2 GB anpeilen, da sonst sehr schnell
sehr große Dateien entstehen und die muss man dann hinterher ja auch noch sichten um herauszufinden was denn nun
dort von statten geht. Des weiteren wäre es gut wenn alle beteiligten Geräte auch ein und die selbe Uhrzeit haben!
Also sprich von ein und dem selben NTP Server Ihre Uhrzeit beziehen, dann muss man nachher nicht so viel umrechnen.
(Firewalls, Router, Switche, NAS & SAN Geräte, Server und Klient PCs)
Zusätzlich würde ich noch einmal versuchen alle PCs und Server nach Viren zu durchsuchen und dann auch einmal
alle GPOs checken ob man nicht vergessen hat die USB Ports zu sperren und/oder diese einmal zusätzlich mit
mechanischen USB Schlössern zu sichern, die dann an den USB Ports befestigt werden.
Einen Proxyserver wie Squid und zwei bis drei Snort Sensoren und einen Snort Server kann man dann hinterher
aufstellen wenn man weiß was vor sich geht und ich würde auch gleich den Rest mit abhandeln, wie zum
Beispiel einen LDAP Server für die Anbindung der Kabel gebundenen Geräte und einen Radius Server für die
Anbindung der Kabel losen Geräte, nur um sicher zu gehen dass von dort sich niemand Zugriff verschafft hat.
Gruß
Dobby
Im Grund fällt mir dazu erstmal nur WireShark ein, wobei ich mir hierbei aber unsicher bin wonach ich da filtern sollte.
In Deinem Fall am besten mal gar keine Filter setzen damit auch wirklich der gesamte Netzwerkverkehr gespeichert wird,je nach Netzwerk und auch vorhandenen Geräten sollte man die Dateigröße um die 2 GB anpeilen, da sonst sehr schnell
sehr große Dateien entstehen und die muss man dann hinterher ja auch noch sichten um herauszufinden was denn nun
dort von statten geht. Des weiteren wäre es gut wenn alle beteiligten Geräte auch ein und die selbe Uhrzeit haben!
Also sprich von ein und dem selben NTP Server Ihre Uhrzeit beziehen, dann muss man nachher nicht so viel umrechnen.
(Firewalls, Router, Switche, NAS & SAN Geräte, Server und Klient PCs)
Zusätzlich würde ich noch einmal versuchen alle PCs und Server nach Viren zu durchsuchen und dann auch einmal
alle GPOs checken ob man nicht vergessen hat die USB Ports zu sperren und/oder diese einmal zusätzlich mit
mechanischen USB Schlössern zu sichern, die dann an den USB Ports befestigt werden.
Einen Proxyserver wie Squid und zwei bis drei Snort Sensoren und einen Snort Server kann man dann hinterher
aufstellen wenn man weiß was vor sich geht und ich würde auch gleich den Rest mit abhandeln, wie zum
Beispiel einen LDAP Server für die Anbindung der Kabel gebundenen Geräte und einen Radius Server für die
Anbindung der Kabel losen Geräte, nur um sicher zu gehen dass von dort sich niemand Zugriff verschafft hat.
Gruß
Dobby
geile Idee,
ob der Aufwand aufgrund einer Vermutung realisierbar ist.
Aber messen ist immer besser als schätzen oder vermuten. Eine Verzögerung von 30 Sekunden wurde politisch pro Vorgang zu fünf Minuten und über den Tag hochgerechnet zu zwei Stunden Wartezeit eines Mitarbeiters. Die Bewesiführung ist in der Tat, schwierig.
ob der Aufwand aufgrund einer Vermutung realisierbar ist.
Aber messen ist immer besser als schätzen oder vermuten. Eine Verzögerung von 30 Sekunden wurde politisch pro Vorgang zu fünf Minuten und über den Tag hochgerechnet zu zwei Stunden Wartezeit eines Mitarbeiters. Die Bewesiführung ist in der Tat, schwierig.
