Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerke einrichten

 
Netzwerk über Server einrichten

geschrieben am 29.04.2009 um 07:42 von Flameboy

Servus Forum und hallo vom neuen, ich habe folgendes Problem:


Wir haben hier ein Netzwerk, das auf eine Privatperson läuft aber von mehreren (30-40) Nutzern genutzt wird.
Nun möchte sich aber der Anschlussinhaber absichern, das er auf der Sicheren Seite ist falls doch einer der Nutzer illegale Sachen im Internet treibt und der Staatsanwalt eines Tages anklopft.

Das Netzwerk läuft über einen Server und dann über einen WLan router.

Momentan läuft auf dem Server ein Logger (Windump und Wireshark, beides probiert) mit denen ich mich aber nicht wirklich auskenne.
Das Problem hierbei ist das die Log Dateien recht groß werden, und irgendwo muss man das zeug ja auch speichern. Kann ich Wireshark mit dem Capture Filter so einstellen, das nur die für mich relevanten Daten (Von welcher Adresse, an welche adresse, welche uhrzeit, ggf. welches protokolle) gesichert werden und nicht das komplette Datenpaket?

Gibt es also eine Möglichkeit die Programme so einzustellen das nur wichtige Daten gespeichert werden? Oder welche Alternativen Programme oder Überwachungsmöglichkeiten gibt es so?

Momentan werden die Datenpakete anhand der MAC Adresse geloggt. Ich weiß das man die inzwischen leicht fälschen kann, aber ich vertraue da den Leuten im Netzwerk soweit.

Ein MAC Filter wäre das beste, aber gibt es einen MAC Filter für einen Win2003 Server?

Oder wie schlagt ihr vor so ein Netzwerk aufzubauen?

Viele Fragen, ich hoffe ihr könnt mir helfen :)

Beste Grüße
Flameboy
 

geschrieben am 29.04.2009 um 10:53 von Otaku19

da würde sich NetFlow anbieten, das muss aber dein Router unterstützen.

Wie du siehst wird da nicht das gesamte Paket aufgezeichnet, allerdings entstehen mit der zeit auch hier riesige Logs und es gibt nicht all zu viele kostenlose Flow Collectoren, dafür bietet die meiste kommerzielle Software auch gleich eine Haufen Tools zur Auswertung.

Ansonsten, mit Vertrauen beginnen die Probleme. Wenn man nicht haargenau weiß was auf den Rechnern läuft, wer da wann was tut sollte man sich absichern: Firewall, 802.1X und eben Netflow. evtl noch n eigenen Proxyoder man machts url und L7 Filtering direkt auf der Firewall.
Security ist erst gut wenn sie nervt :)
 

geschrieben am 29.04.2009 um 12:43 von Flameboy

Router ist ein stink normaler, haushaltsüblicher D-Link router (Der standard KabelBW Router) also nichts was das zeug mitmachen wird.

Weitere Tips und Vorschläge?


Der Aufbau des Netzwerkes ist wie folgt:

KabelBW Modem ==> Win2k Server ==> Dlink Wlan Router ==> Endnutzer
 

geschrieben am 29.04.2009 um 14:35 von Otaku19

jo, gscheites Equipment kaufen
 

geschrieben am 02.06.2009 um 06:48 von surfer01

Sollte doch mit einem Proxy zu lösen sein und man hat direkt die Möglichkeit aktiv eingreifen zu können, oder liege ich da falsch?
 

geschrieben am 02.06.2009 um 08:29 von Otaku19

mit einem proxy kann man nur die Applikationene beeinflussen die darüber laufen, das ist üblicherweise "nur" http/s, selten werden andere Applicationproxys verwendet.

Du könntest natürlich auch einfach einen Switch reinhängen der dir den Traffic spiegelt (oder ein Tap),da dran dann einen exklusiven "Snifferrechner",mit Wireshark capturefiltern dann eben ausfiltern was dich interessiert. Hätte den Vorteil das dir die logs nicht den Server zumüllen, oder das im Fall eines Problems von Wireshark (gibt immer wieder Security relevante Bugs) nicht der ganze Server abschmiert. Es gibt auch eigene Snifferappliances, die wären hier aber wohl zu viel des Guten.
Hab mir auch mal kurz den Network Monitor von MS angesehen, das Programm ist imho auch nicht übel.
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 23.10.2017