Netzwerk über Server einrichten
geschrieben am 29.04.2009 um 07:42 von Flameboy
Servus Forum und hallo vom neuen, ich habe folgendes Problem:
Wir haben hier ein Netzwerk, das auf eine Privatperson läuft aber von mehreren (30-40) Nutzern genutzt wird.
Nun möchte sich aber der Anschlussinhaber absichern, das er auf der Sicheren Seite ist falls doch einer der Nutzer illegale Sachen im Internet treibt und der Staatsanwalt eines Tages anklopft.
Das Netzwerk läuft über einen Server und dann über einen WLan router.
Momentan läuft auf dem Server ein Logger (Windump und Wireshark, beides probiert) mit denen ich mich aber nicht wirklich auskenne.
Das Problem hierbei ist das die Log Dateien recht groß werden, und irgendwo muss man das zeug ja auch speichern. Kann ich Wireshark mit dem Capture Filter so einstellen, das nur die für mich relevanten Daten (Von welcher Adresse, an welche adresse, welche uhrzeit, ggf. welches protokolle) gesichert werden und nicht das komplette Datenpaket?
Gibt es also eine Möglichkeit die Programme so einzustellen das nur wichtige Daten gespeichert werden? Oder welche Alternativen Programme oder Überwachungsmöglichkeiten gibt es so?
Momentan werden die Datenpakete anhand der MAC Adresse geloggt. Ich weiß das man die inzwischen leicht fälschen kann, aber ich vertraue da den Leuten im Netzwerk soweit.
Ein MAC Filter wäre das beste, aber gibt es einen MAC Filter für einen Win2003 Server?
Oder wie schlagt ihr vor so ein Netzwerk aufzubauen?
Viele Fragen, ich hoffe ihr könnt mir helfen :)
Beste Grüße
Flameboy
geschrieben am 29.04.2009 um 10:53 von Otaku19
da würde sich NetFlow anbieten, das muss aber dein Router unterstützen.
Wie du siehst wird da nicht das gesamte Paket aufgezeichnet, allerdings entstehen mit der zeit auch hier riesige Logs und es gibt nicht all zu viele kostenlose Flow Collectoren, dafür bietet die meiste kommerzielle Software auch gleich eine Haufen Tools zur Auswertung.
Ansonsten, mit Vertrauen beginnen die Probleme. Wenn man nicht haargenau weiß was auf den Rechnern läuft, wer da wann was tut sollte man sich absichern: Firewall, 802.1X und eben Netflow. evtl noch n eigenen Proxyoder man machts url und L7 Filtering direkt auf der Firewall.
Security ist erst gut wenn sie nervt :)
geschrieben am 29.04.2009 um 12:43 von Flameboy
Router ist ein stink normaler, haushaltsüblicher D-Link router (Der standard KabelBW Router) also nichts was das zeug mitmachen wird.
Weitere Tips und Vorschläge?
Der Aufbau des Netzwerkes ist wie folgt:
KabelBW Modem ==> Win2k Server ==> Dlink Wlan Router ==> Endnutzer
geschrieben am 29.04.2009 um 14:35 von Otaku19
jo, gscheites Equipment kaufen
geschrieben am 02.06.2009 um 06:48 von surfer01
Sollte doch mit einem Proxy zu lösen sein und man hat direkt die Möglichkeit aktiv eingreifen zu können, oder liege ich da falsch?
geschrieben am 02.06.2009 um 08:29 von Otaku19
mit einem proxy kann man nur die Applikationene beeinflussen die darüber laufen, das ist üblicherweise "nur" http/s, selten werden andere Applicationproxys verwendet.
Du könntest natürlich auch einfach einen Switch reinhängen der dir den Traffic spiegelt (oder ein Tap),da dran dann einen exklusiven "Snifferrechner",mit Wireshark capturefiltern dann eben ausfiltern was dich interessiert. Hätte den Vorteil das dir die logs nicht den Server zumüllen, oder das im Fall eines Problems von Wireshark (gibt immer wieder Security relevante Bugs) nicht der ganze Server abschmiert. Es gibt auch eigene Snifferappliances, die wären hier aber wohl zu viel des Guten.
Hab mir auch mal kurz den Network Monitor von MS angesehen, das Programm ist imho auch nicht übel.
[ Dieses Thema im Live-Forum aufrufen ]
|