Re: Netzsicherheit Monitoring

To: Debian <debian-user-german@lists.debian.org>
Subject: Re: Netzsicherheit Monitoring
From: Niels Jende <njende@njende.de>
Date: Fri, 21 Mar 2008 15:44:41 +0100
Message-id: <47E3C9D9.3020407@njende.de>
In-reply-to: <47E3B2C7.2040703@web-hh.de>
References: <47E3B2C7.2040703@web-hh.de>

Hallo Gerhard,

Gerhard Wendebourg wrote:
> Moin, moin in die Runde,
> 
> nachdem wir es im Netz mit immer groesserer Aggressivitaet zu tun haben
> - ob durch Datenkriminalitaet, durch Geheimdienste oder wen auch immer -
> bleiben nach meiner Einschaetzung die Abwehrwerkzeuge deutlich dahinter
> zurueck.
> 

naja, so dramatisch würd ich das ganze jetzt nicht sehen wollen...

> Ich bin nun seit einer Weile auf der Linux-Plattform unterwegs, kann
> aber nicht feststellen, dass ich mich deshalb sehr sicher fuehle.
> Haeufig beobachte ich im Netzverkehr Inkonsistenzen, die sich nicht
> aufklaeren lassen: teilweise intensiver Datenverkehr (bei DSL mit
> 16MBit), fuer den ich keine Anfragen meinerseits feststelle.
> 
> Oft sehe ich in solchen Faellen keine Alternative, als das Abstoepseln
> des Netzkabels: natuerlich habe ich auch etherreal / wireshark
> installiert, Bis die jedoch in geeigneter Startposition zur Datenanalyse
> gebracht sind, hat sich das fragliche Ereignis oft laengst erledigt.
> Ausserdem ist man konfrontiert mit einer Datenflut, die eine umfassende
> Analysetaetigkeit erfordert. Natuerlich kann man sich Filter
> bereitlegen; dass die zu einem Event / einem moeglichen Angriff passen,
> ist deshalb nicht gesagt.
>

zu diesen Punkten hat Jens ja schon was geschrieben...mehr würde mir da
jetzt adhoc auch nicht einfallen.

> Gibt es Werkzeuge, die mir helfen, den/die Verursacher des verdaechtigen
> Datenverkehrs auszumachen, ohne mich zuzuschuetten mit Informationen?
> Ich vermisse zb. bei Wireshark & Co, das Monitoring der Anwendungen, die
> auf das Netz zugreifen, um so einen Ausloeser fuer Netzverkehr
> aufzuspueren.
> Das wuerde mir die Moeglichkeit geben, in Faellen unangeforderten
> Datenverkehrs die Anwendung zu stoppen und weiter zu forschen.
> 
> Im Uebrigen: welche Firewallsoftware ermoeglicht mir zb. irgendwelchen
> "Hintergrund"-Netzverkehr zu blocken, zb. Zugriffe auf URLs, die nicht
> von mir angefragt wurden und/oder Netzverkehr mit Adressen, die keine
> ordentliche Namensaufloesung anbieten und sich somit nicht oder schlecht
> identifizieren lassen?
> 

Desktopseitig fällt mir da nur KMyFirewall ein, aber was die kann oder
nicht kann, entzieht sich gänzlich meiner Kenntnis. Wenn Du aber einen
dedizierten Rechner für das I-Net hast, dann könntest Du dir ja mal die
Astaro Firewall ansehen (für Privaten Gebrauch als SW kostenlos) oder
Dich mal auf den Seiten von ESET umsehen. Ich denke, dass entweder
Astaro oder ESET Deinen Ansprüchen gerecht wird.

> Ich wuerde mir wuenschen, bei unidentifizierbaren /fragwuerdigen
> Adressen ein Popup zu bekommen, mit der Anfrage, ob ich den Verkehr mit
> ihnen zulassen will.
> 
> Dank fuer weiterfuehrende Tipps
> 
> Gruss / GW
>

Beste Grüße
hth
Niels

Reply to:

References:
- Netzsicherheit Monitoring
  - From: Gerhard Wendebourg <gw@web-hh.de>

Prev by Date: Re: Netzsicherheit Monitoring
Next by Date: Re: Compiz
Previous by thread: Re: Netzsicherheit Monitoring
Next by thread: Re: Netzsicherheit Monitoring
Index(es):
- Date
- Thread