Gesamten Netwerkverkehr mitschneiden

[Ragnarok 10]

hallo zusammen,

 

ich habe mal eine frage:

da wir zur zeit mehrere probleme mit unbefugtem datenzugriff von speziellen firmendokumenten haben, lasse ich sämtliche zugriffe auf die daten protokollieren.

seit gestern befinden sich mehrere zugriffe auch auf andere rechner statt mit dem benutzernamen "anonymous".

es ist nicht rauszufinden woher der zugriff kommt. das erreignisprotokoll spuckt leider nichts genaues aus.

der gastzugang ist auf sämtlichen rechnern deaktiviert.

hat jemand eine ahnung wie ich herausbekomme woher der zugang stattfindet?

gibt es eine möglichkeit den gesamten netzwerkverkehr mitzuschneiden von einem rechner aus, da ich wenn ich z.b. etherreal installiere, das ja nur die lokale netzwerkkarte mitschneidet.

gibt es ein tool mit dem es auch von einem beliebigen rechner geht?

 

folgende konfiguration:

2 linusserver

1 pdc nt server 4.0 (<-- ahhh!)

30 win2k clients

 

noch eine frage:

wir vermuten, daß es eventuell ein nutzer mit einem powerbook ist, der den zugriff auf die maschinen und die daten hat. leider kann ich dieses notebook nicht protokollieren. oder doch? gibt es die möglichkeit auch den mac mit zu protokollieren?

 

vielen dank für eure antworten.

 

gruß

 

ragnarok

[Hangman 10]

ciao

 

CA etrust intrusion detection.....

Liest und siehst du alles!!

[dongel 10]

Hallo,

wenn du das an der anonymous anmeldung festmachst das es unbefugten Zugriff gibt, kann ich dich beruhigen.

Wenn ich mich recht entsinne , machen einige Dienste das im Netzwerk und du hast ne anonymous -Anmeldung. :cool:

WEiss jetzt nicht mehr genau wo man das findet, aber microsoft oder google , das kann man genau nachlesen...

Hab mich deswegwn auch schonmal verrückt gemacht, zumal bei frisch installierten Systemen. Fakt ist, was ich oben beschrieben habe und auch mit sniffern wirst du eben nix finden.

 

mit internettem Gruß

 

dongel

[gidos 10]

Also ich würde mal die Software Sniffer Pro installieren von dieser gibt es sogar eine Demo. Danach mal nur die eine IP Adresse des Servers aufzeichnen. Am besten natürlich wenn du viel Zeit hast, damit du nur diesen Time Bereich durchkämen musst als so ein Zugriff stattgefunden hat. Im Netzwerkprotokollanalyzer siehst du dann schon mal von welcher IP auf den Server zugeriffen wurde und mit welchem Protokoll. Da kann sich auch kein Mac oder linux ect. davor verstecken. Wobei man abschliessend sagen muss dass dies gutes Netzwerkknowhow und eben Zeit voraussetzt.

WIr hatten erst kürzlich ein Problem bei uns zwar ganz andere Richtung DCHP Request gingen im Netz verloren. Nach rund 4 Tagen kammen wir dank Sniffer und anderen Tools und Messgeräten auf die schliche. Eine defekte Neztwerkkarte an einem Switch. Tja, aber hat ja gar nichts mit diesem Thread zu tun.

[solinske 10]

du kannst dir den sniffer ethereal ziehen und mit diesem den grsamten traffic aufzeichnen, ganz egal welches protokoll benutzt wird. nach den ersten groben auswertungen kann du dann captire filter definiren, damit die log nicht so unübersichtlich gross werden ...

[Necron 71]

Original geschrieben von solinske

du kannst dir den sniffer ethereal ziehen und mit diesem den grsamten traffic aufzeichnen

Klappt das auch, wenn ein Switch im Einsatz ist?

[jlo 10]

Du kannst mit etherreal den ganzen Netzwerkverkehr mitloggen. Häng einfach eine Linuxkiste (Windows??) an einen freien Port des Switches und konfiguriere diesen so, dass er den kompletten Verkehr aufzeichnet.

Jeder einigermaßen vernünftige Switch kann einen Port für den kompletten Verkehr konfigurieren. Schau einfach mal im Handbuch des Switches nach.

 

Gruß

 

Jlo