Illegale RAS-Einwahl - wie feststellen u. unterbinden?

#0
05.07.2006, 19:49
Member

Beiträge: 93
#1 Bei einem Netz mit tausenden von usern - wobei freilich jeder user auch ein Telefon hat - ist nicht auszuschliessen (bzw. eher wahrscheinlich) dass user einen eigenen Einwahl-Dienst betreiben und sich von extern auf ihren eigenen Rechner einwählen, der mit dem Intranet verbunden ist.

Gibt es technische Mögl. dies zu unterbinden bzw. festzustellen?
Seitenanfang Seitenende
20.07.2006, 14:20
Member

Beiträge: 214
#2 Feststellen - dafür gibt es z.B. das (kostenpflichtige) Tool "PhoneSweep" - telefoniert komplette Ranges ab und sucht nach Carriern.

Dürfte in etwa das sein, was Du suchst - ist aber, je nach Umfang, nicht ganz so günstig.

//edit - kostenlose Alternative: THC-Scan.
__________
the power to serve
Seitenanfang Seitenende
20.07.2006, 15:41
Moderator
Avatar hevtig

Beiträge: 2312
#3 Wie sieht es mit Berechtigungen aus?
Wenn sie keinen Einwahldienst installieren dürfen, dann hat man das Problem nicht.
Desweiteren könnte man über ein Einlogskript den RAS Dienst beenden. Evtl. eine VBS Datei schreiben, die alle 60 Mins überprüft, ob der Dienst beendet ist.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
23.07.2006, 08:11
Member

Themenstarter

Beiträge: 93
#4

Zitat

HeVTiG postete
Wie sieht es mit Berechtigungen aus?
Wenn sie keinen Einwahldienst installieren dürfen, dann hat man das Problem nicht.
Desweiteren könnte man über ein Einlogskript den RAS Dienst beenden. Evtl. eine VBS Datei schreiben, die alle 60 Mins überprüft, ob der Dienst beendet ist.
Danke für die Ideen - beide machen Sinn.
In unserem Fall ist dieses Tool THC-Scan interessant.
Bei uns gibt es halt viele Freiheiten, und ich versuche mit techn. Mitteln den Missbrauch dieser Freiheiten zu verhindern bzw. zu lokalisieren.

Ich schau mir das Tool THC-Scan mal an.

Danke!


EDIT:
Diese Seite (mit Video-anleitung zu THC-Scan) finde ich recht informativ.
http://thc.org.segfault.net/thc-scan/
Dieser Beitrag wurde am 23.07.2006 um 08:21 Uhr von spacyfreak editiert.
Seitenanfang Seitenende
23.07.2006, 10:45
Member

Beiträge: 214
#5 Alternativ kannst Du Dir auch ModemScan (http://www.wardial.net/) mal anschauen - findet auch Carrier über komplette Telefonranges, läuft unter Windows und ist sogar Freeware - auch ein sehr gutes Tool.
__________
the power to serve
Seitenanfang Seitenende
18.12.2006, 16:47
Member

Beiträge: 214
#6 Ich möchte dieses Thema nochmal aufgreifen - RAS-Identifikation ist ja soweit klar - wie aber könnte es aussehen, wenn ich von intern unautorisierte DSL-Anschlüsse (z.B. in anderen Standorten/Abteilungen) identifizieren will...?

In meinen Augen bleiben nicht viele Alternativen, außer da die T-Com in's Boot zu holen, oder...?
__________
the power to serve
Seitenanfang Seitenende
19.12.2006, 21:38
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#7 Ja, der liebe Nutzer im Netzwerk ist nunmal das größte Problem. Und um ehrlich zu sein: Illegale Einwahlserver kann man nur verhindern, wenn die Rechner der Nutzer dicht sind! Dabei sollte es aber schon reichen, wenn keine HW installiert werden kann - wobei das bei DSL auch nicht hilft.

Das Problem mit den geschilderten Tools ist, daß es im T-COM Netz einen Schutz dagegen gibt - sobald in einer gewissen Zeit eine gewisse Anzahl von Nummern aus einem Block gewählt werden, macht das Netz dicht und gibt Dir nur noch das Freizeichen. Kann man aber vorher mit der Telekom abklären, daß zu einem gewissen Zeitpunkt ein solcher Scan durchgeführt wird. Was dann auch sehr effektiv ist.

Weiterhin hilft es natürlich (bei Windows) den RAS und Routingdienst auf disabled zu setzen. Aber auch das gibt keine 100%tige Sicherheit.

Was bleibt? Regelmäßig auditieren und allen Auffälligkeiten nachgehen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
20.12.2006, 19:29
Member

Themenstarter

Beiträge: 93
#8 Letztendlich führt alles in allem der Weg zur Netzsicherheit zurück zum Mainframe.
Der User kriegt ne Tastatur, Maus u. TFT - und an der Wand hängt ne kleine graue Box, auf der ein Mini Linux und ein Webbrowser laufen.
Damit greift der User auf die Terminalserver im Hintergrund zu - und aus der Mops. Keine Viren, keine Würmer, keine illegalen Downloads.
Der User darf ENDLICH das machen, was ihm vor lauter techn. Möglichkeiten der DesktopPCs 20 Jahre lang verwehrt wurde - A.R.B.E.I.T.E.N.

Hehe
Seitenanfang Seitenende
22.12.2006, 08:00
Member

Beiträge: 214
#9

Zitat

Robert postete
Was bleibt? Regelmäßig auditieren und allen Auffälligkeiten nachgehen.
Keine Frage! ;)

Nur wird es schwer, Netzzugänge zu identifizieren und zu auditieren, wenn man nichtmal ansatzweise weiss, wo man suchen soll.

Ich kann nicht bei jedem Audit die komplette Range der T-Com scannen (die würden mir auch was anderes erzählen), weil der Kunde ja einen zusätzlichen Internetzugang haben könnte - davon mal abgesehen, dass ich ihn wohl auch dann kaum finden würde ;)

Sollten die User natürlich so doof sein, sich 'nen zusätzlichen DSL-Router in's Firmennetz zu stellen (am besten noch mit DHCP ;)) dauert's sicher nicht lange, bis das Ding gefunden wird - nmap -O sollte (!) sowas aufspüren können.

Sobald die Hardware aber nicht mehr direkt im internen Netz steht oder über irgendwelche VLANs "versteckt" wird, sieht's da schon anders aus... da stellt sich mir halt die Frage, ob es eine Möglichkeit gibt (ich sehe keine) außer die jeweiligen ISPs mit in's Boot zu holen - wobei es für ein deutsches Unternehmen sicher schwer wird, von AT&T Amerika über sowas Informationen zu bekommen...

Hach ja, die Terminalwelt ist doch die schönste! ;)
__________
the power to serve
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: