# Internettraffic überwachen und manipulieren

## LL0rd

Hallo,

ich wollt  mal nachfragen, wie ich den Netzwerktraffic überwachen kann und den auch (on the fly)verändern kann. Beispielsweise soll es verboten werden Daten auf einen fremden (!= IP Adresse xx.xx.xx.xx)FTP Server hochzuladen. Das directory listing und das runterladne von fremden Servern soll erlaubt sein. Wenns geht, dann soll die Datei zwar erstellt werden, der Inhalt soll aber nur Müll sein. 

Genauso soll das auch mit Kennwörtern sein. Sobald ein bekanntes Kennwort unverschlüsselt übers Netz übertragen wird, solls durch Müll ersetzt werden. 

Ist das irgendwie möglich? Womit würde das denn gehen?

----------

## toskala

überwachen kannst mit ntop, bzw. tcpdump, ethereal die sache mit dem manipulieren is mir unbekannt.

----------

## ian!

 *LL0rd wrote:*   

> Genauso soll das auch mit Kennwörtern sein. Sobald ein bekanntes Kennwort unverschlüsselt übers Netz übertragen wird, solls durch Müll ersetzt werden.

 

Welchen Sinn soll das haben? Verbiete unsichere Protokolle, richte Applicationgateways ein. Und um so mehr du als Admin hochrüstest, somehr werden auch ggf. die User hochrüsten und Tunnel aufsetzen etc.

----------

## LL0rd

also das mit dem Überwachen ist ja nicht das Problem. Gibt ja genug sniffer..... Nur das Manipulieren ist so eine Sache....

 *Quote:*   

> Welchen Sinn soll das haben? Verbiete unsichere Protokolle, richte Applicationgateways ein. Und um so mehr du als Admin hochrüstest, somehr werden auch ggf. die User hochrüsten und Tunnel aufsetzen etc.

 

Es soll den Sinn haben, die Mitarbeiter vor dummen Ideen zu schützen. Es geht nicht um Misstrauen gegenüber den Mitarbeitern. Die werden absichtlich nichts machen, aber es kann dann doch sein, dass da etwas Dummes passiert.

----------

## schachti

 *LL0rd wrote:*   

> 
> 
> Es soll den Sinn haben, die Mitarbeiter vor dummen Ideen zu schützen. Es geht nicht um Misstrauen gegenüber den Mitarbeitern. Die werden absichtlich nichts machen, aber es kann dann doch sein, dass da etwas Dummes passiert.
> 
> 

 

Dann verbiete entsprechende Dienste lieber, anstatt die Daten so zu verändern, daß ein nicht erklärbares Fehlverhalten entsteht. Das führt nämlich nur dazu, daß Deine Mitarbeiter sich stundenlang damit beschäftigen, warum sie sich denn nun nicht einloggen können oder warum die hochgeladene Datei nur Müll enthält. Wenn der Dienst aber a priori gesperrt ist, merken sie, daß es nicht geht, und lassen es sein.

----------

## LL0rd

Ich kann ja schlecht den Zugriff auf das Webt komplett blocken. Und wenn man ja schon den Content manipuliert, dann man man auch problemlos dem Mirarbeiter eine Mail und/oder eine Nachricht per Nachrichtendienst zukommen lassen. 

Ausserdem würde mich das auch die Funktionsweise interessieren, wie man den Content manipuliert.

----------

## think4urs11

So auf die Schnelle gelesen könnte net-ftp/frox (zumindest für FTP) sein was du suchst.

Es scheint jedenfalls so zu sein als ob man damit getrennt Freigaben für GET und PUT machen könnte.

Richtige Contentmanipulation wie sie dir vorschwebt macht keinen Sinn - und ist im schlimmsten Fall auch noch rechtlich bedenklich.

Dann lieber ein klares 'entweder es geht' oder 'geht eben nicht' aber kein 'geht, gibt aber nur Müll'.

----------

## LL0rd

ok, danke... ich werde frox gleich mal probieren. 

Aber mich würde trotzdem interessieren, wie ich den Netzwerktraffic manipulieren kann. Die rechtliche Seite ist mir da jetzt etwas egal. Sagen wir einfach (privat bei mir zu Hause, wo nur ich Zugriff aufs Netzwerk habe), ich mag keine Äpfel und möchte, dass der String Apfel im Internettraffic durch Birne ersetzt wird.  :Wink: 

Es kann doch nicht so schwer sein, etwas am Traffic zu verändern? Ist ja auch eine Form der Man in den middle attack.

----------

## Genone

Sicher, wenn man lange genug mit iptables rumspielt und sich evtl. ein eigenes Modul schreibt müsste das schon gehen.

----------

## think4urs11

 *Genone wrote:*   

> Sicher, wenn man lange genug mit iptables rumspielt und sich evtl. ein eigenes Modul schreibt müsste das schon gehen.

 

nennt man das dann nicht Inline-Snort?  :Rolling Eyes: 

----------

## LL0rd

It then uses new rule types (drop, sdrop, reject) to tell iptables whether the packet should be dropped, rejected,  modified, or allowed to pass based on a snort rule set. 

Hmm.... es könnte was sein.... ich glaub, ich werde das testen. Mal schauen.......

----------

## slick

 *LL0rd wrote:*   

> Ausserdem würde mich das auch die Funktionsweise interessieren, wie man den Content manipuliert.

 

Das würde ich aber umfangreich dokumentieren und den Nutzern erklären. Denn rechtlich ist das IMHO ziemlich knifflig, da Du die Daten der Nutzer wissentlich manipulierst. Hierbei wäre jedoch zu unterscheiden ob sie privat surfen dürfen oder ausschliesslich geschäftlich. Bei ersterem wirst Du IMHO automatisch zum "Teledienstanbeiter" und da hast Du rechtlich betrachtet sehr vieles zu beachten. 

u.a. siehe http://www.vnr.de/vnr/pressemeldungen/presse_06282.html

----------

## LL0rd

hmmm also wenn ich das hier so lese, dann wäre ja sogar das 0815 loggen von Squid verboten......

----------

## slick

 *http://www.vnr.de/vnr/pressemeldungen/presse_06282.html wrote:*   

> Ist die private Internetnutzung erlaubt, darf der Arbeitgeber Inhalte oder Verbindungsdaten privater Nachrichten nicht protokollieren oder anderweitig aufzeichnen und kontrollieren. 

 

Wer die private Nutzung erlaubt ist selber schuld. Weil wie gesagt, dann unterliegt er als Admin rechtlich ganz anderen Regeln. Da gabs mal bei heise in einer Nachricht einen Link auf ein PDF welches das genau beleuchtet, konnte es allerdings nicht finden.

EDIT:

http://www.bitkom.org/files/documents/Leitfaden_Email_u_Internet_im_Unternehmen_1.1_2004.pdf

http://www.bfd.bund.de/information/flyer_net.pdf

----------

## LL0rd

Okay, ist jetzt zwar etwas OT, aber doch interessant. Also möglich wäre es dann, wenn ich die Nutzung des Internets am Arbeitsplatz verbiete. Den Mitarbeitern ein Merkblatt über die Nutzung des Internets erstelle, in dem steht, wie die mit ihren Kennwörtern, Daten, etc. umzugehen haben, dass der Internetzugang überwacht wird....etc.......

Ich werde gleich mal versuchen mit Inline Snort Daten zu manipulieren. Leider ist die Doku zu dem Programm nicht die beste ;(

----------

## think4urs11

 *LL0rd wrote:*   

> Also möglich wäre es dann, wenn ich die Nutzung des Internets am Arbeitsplatz verbiete. Den Mitarbeitern ein Merkblatt über die Nutzung des Internets erstelle, in dem steht, wie die mit ihren Kennwörtern, Daten, etc. umzugehen haben, dass der Internetzugang überwacht wird....etc.......

 

 *slick wrote:*   

> Wer die private Nutzung erlaubt ist selber schuld. Weil wie gesagt, dann unterliegt er als Admin rechtlich ganz anderen Regeln. Da gabs mal bei heise in einer Nachricht einen Link auf ein PDF welches das genau beleuchtet, konnte es allerdings nicht finden.
> 
> http://www.bitkom.org/files/documents/Leitfaden_Email_u_Internet_im_Unternehmen_1.1_2004.pdf

 

Man beachte vor allem folgendes...

 *Bitkom Leitfaden wrote:*   

> Auch ein völlig regelungsloser Zustand bezüglich der dienstlichen und privaten Nutzung von Email und Internet oder ein nicht überwachtes Verbot der privaten Nutzung kann dazu führen, dass eine sog. 'betriebliche Übung' geschaffen wird. Dies kann als Erlaubnis der privaten Nutzung gewertet werden.

 

Heißt nichts anderes als nur per Arbeitsvertrag/Betriebsvereinbarung o.ä. verbieten reicht nicht, es MUß auch kontrolliert werden; mindestens in Stichproben ansonsten gilt doch wieder 'alles ist privat'.

----------

