Illegale RAS-Einwahl - wie feststellen u. unterbinden? |
||
---|---|---|
#0
| ||
05.07.2006, 19:49
Member
Beiträge: 93 |
||
|
||
20.07.2006, 14:20
Member
Beiträge: 214 |
#2
Feststellen - dafür gibt es z.B. das (kostenpflichtige) Tool "PhoneSweep" - telefoniert komplette Ranges ab und sucht nach Carriern.
Dürfte in etwa das sein, was Du suchst - ist aber, je nach Umfang, nicht ganz so günstig. //edit - kostenlose Alternative: THC-Scan. __________ the power to serve |
|
|
||
20.07.2006, 15:41
Moderator
Beiträge: 2312 |
#3
Wie sieht es mit Berechtigungen aus?
Wenn sie keinen Einwahldienst installieren dürfen, dann hat man das Problem nicht. Desweiteren könnte man über ein Einlogskript den RAS Dienst beenden. Evtl. eine VBS Datei schreiben, die alle 60 Mins überprüft, ob der Dienst beendet ist. __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
23.07.2006, 08:11
Member
Themenstarter Beiträge: 93 |
#4
Zitat HeVTiG posteteDanke für die Ideen - beide machen Sinn. In unserem Fall ist dieses Tool THC-Scan interessant. Bei uns gibt es halt viele Freiheiten, und ich versuche mit techn. Mitteln den Missbrauch dieser Freiheiten zu verhindern bzw. zu lokalisieren. Ich schau mir das Tool THC-Scan mal an. Danke! EDIT: Diese Seite (mit Video-anleitung zu THC-Scan) finde ich recht informativ. http://thc.org.segfault.net/thc-scan/ Dieser Beitrag wurde am 23.07.2006 um 08:21 Uhr von spacyfreak editiert.
|
|
|
||
23.07.2006, 10:45
Member
Beiträge: 214 |
#5
Alternativ kannst Du Dir auch ModemScan (http://www.wardial.net/) mal anschauen - findet auch Carrier über komplette Telefonranges, läuft unter Windows und ist sogar Freeware - auch ein sehr gutes Tool.
__________ the power to serve |
|
|
||
18.12.2006, 16:47
Member
Beiträge: 214 |
#6
Ich möchte dieses Thema nochmal aufgreifen - RAS-Identifikation ist ja soweit klar - wie aber könnte es aussehen, wenn ich von intern unautorisierte DSL-Anschlüsse (z.B. in anderen Standorten/Abteilungen) identifizieren will...?
In meinen Augen bleiben nicht viele Alternativen, außer da die T-Com in's Boot zu holen, oder...? __________ the power to serve |
|
|
||
19.12.2006, 21:38
Ehrenmitglied
Beiträge: 2283 |
#7
Ja, der liebe Nutzer im Netzwerk ist nunmal das größte Problem. Und um ehrlich zu sein: Illegale Einwahlserver kann man nur verhindern, wenn die Rechner der Nutzer dicht sind! Dabei sollte es aber schon reichen, wenn keine HW installiert werden kann - wobei das bei DSL auch nicht hilft.
Das Problem mit den geschilderten Tools ist, daß es im T-COM Netz einen Schutz dagegen gibt - sobald in einer gewissen Zeit eine gewisse Anzahl von Nummern aus einem Block gewählt werden, macht das Netz dicht und gibt Dir nur noch das Freizeichen. Kann man aber vorher mit der Telekom abklären, daß zu einem gewissen Zeitpunkt ein solcher Scan durchgeführt wird. Was dann auch sehr effektiv ist. Weiterhin hilft es natürlich (bei Windows) den RAS und Routingdienst auf disabled zu setzen. Aber auch das gibt keine 100%tige Sicherheit. Was bleibt? Regelmäßig auditieren und allen Auffälligkeiten nachgehen. R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
20.12.2006, 19:29
Member
Themenstarter Beiträge: 93 |
#8
Letztendlich führt alles in allem der Weg zur Netzsicherheit zurück zum Mainframe.
Der User kriegt ne Tastatur, Maus u. TFT - und an der Wand hängt ne kleine graue Box, auf der ein Mini Linux und ein Webbrowser laufen. Damit greift der User auf die Terminalserver im Hintergrund zu - und aus der Mops. Keine Viren, keine Würmer, keine illegalen Downloads. Der User darf ENDLICH das machen, was ihm vor lauter techn. Möglichkeiten der DesktopPCs 20 Jahre lang verwehrt wurde - A.R.B.E.I.T.E.N. Hehe |
|
|
||
22.12.2006, 08:00
Member
Beiträge: 214 |
#9
Zitat Robert posteteKeine Frage! Nur wird es schwer, Netzzugänge zu identifizieren und zu auditieren, wenn man nichtmal ansatzweise weiss, wo man suchen soll. Ich kann nicht bei jedem Audit die komplette Range der T-Com scannen (die würden mir auch was anderes erzählen), weil der Kunde ja einen zusätzlichen Internetzugang haben könnte - davon mal abgesehen, dass ich ihn wohl auch dann kaum finden würde Sollten die User natürlich so doof sein, sich 'nen zusätzlichen DSL-Router in's Firmennetz zu stellen (am besten noch mit DHCP ) dauert's sicher nicht lange, bis das Ding gefunden wird - nmap -O sollte (!) sowas aufspüren können. Sobald die Hardware aber nicht mehr direkt im internen Netz steht oder über irgendwelche VLANs "versteckt" wird, sieht's da schon anders aus... da stellt sich mir halt die Frage, ob es eine Möglichkeit gibt (ich sehe keine) außer die jeweiligen ISPs mit in's Boot zu holen - wobei es für ein deutsches Unternehmen sicher schwer wird, von AT&T Amerika über sowas Informationen zu bekommen... Hach ja, die Terminalwelt ist doch die schönste! __________ the power to serve |
|
|
||
Gibt es technische Mögl. dies zu unterbinden bzw. festzustellen?