|
|  |
 |
|
 |
| |
| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
Malakim
Kreativ-Mod
Anm.Dat: Aug 31, 2004
Beiträge: 3882
Wohnort: Die Ebenen von Eleusis
  
Nach oben
|
|
jane-doe
Mitglied
Anm.Dat: Jul 05, 2006
Beiträge: 28
Wohnort: Babylon
Nach oben
|
 Verfasst am: Mo Jul 10, 2006 6:12 pm Titel: |
 |
|
sorry ... wollte nichtüberheblich oder belehrend wirken
die "GenII-Honeynets" haben keinen eigenen ip-stack mehr und sind wirklich fast nicht erkennbar von aussen ... durch manipulation von paketen am layer2-gateway können aber verzöreungen auftreten die gemessen werden können ... klar sind das extreme spezialisten die sich da auskennen und daher bleibt es ein hin-und-her ... kampf ...
aber honeynets sind nur so gut wie die leute die sie aufsetzen
lg
lara
_________________
mundus vult decipi |
|
Franziskaner
Inventar
Anm.Dat: Jan 04, 2003
Beiträge: 4850
Wohnort: Deep South 9
Nach oben
|
| Verfasst am: Mo Jul 10, 2006 6:44 pm Titel: |
|
|
| jane-doe hat folgendes geschrieben: | | sorry ... wollte nichtüberheblich oder belehrend wirken |
Na, wir sind ja nur neugierig und wollen dazulernen... 
| Zitat: | | die "GenII-Honeynets" haben keinen eigenen ip-stack mehr und sind wirklich fast nicht erkennbar von aussen ... durch manipulation von paketen am layer2-gateway können aber verzöreungen auftreten die gemessen werden können ... klar sind das extreme spezialisten die sich da auskennen und daher bleibt es ein hin-und-her ... kampf ... |
Ok, das ist aber nur der Fall, wenn vor dem Honeynet eben ein L2-Gateway sitzt, dass die Trafficanalyse durchführt. Wenn das dann nicht genug Dampf hat, gibbet da Verzögerungen. Wobei du das eh nur vernünftig tracen kannst, wenn du dir den Router direkt davor krallst, über das Internet gibts da immer starke Schwankungen und dann wirds unzuverlässig.
Ausserdem würd ich persönlich beim Honeynet eher nicht auf die Gatewayanalyse setzen, sondern am Monitorport vom Switch eine IP-less Maschine aufsetzen, die die Pakete im Honeynet live mitsnifft und dann erst die Analyse macht, wenn ordentlich Pakete gepuffert sind.
Das GenII macht IMHO eigentlich nur Sinn, wenn es in ein Produktivnetz gesetzt wird (weil dann auch interne Angriffe gesehen/analysiert werden) und wenn du die Snort-Events dazu benutzt, per Skripten die Firewall zu ändern als kleines IPS. Gut, ist billiger als 'ne Proventia, aber auch sehr viel arbeitsaufwändiger...
Rein für Analyse und Wildwatch würd ich aber kein Produktivnetz nehmen, sondern das Honeynet in ein eigenes öffentliches Netz stellen (oder im Perimeternetzwerk). Ist aber Philosophiesache...
| Zitat: | aber honeynets sind nur so gut wie die leute die sie aufsetzen
|
wohl wahr, wohl wahr... 
_________________
"We've got a basic version that will cost $129... we've got a Premium Version which will cost $129... we've got a business version! $129. An Ultimate version! We're throwing everything into it, it's $129." (Steve Jobs, WWDC 2007) |
|
Hosea
Forensianer
Anm.Dat: Dec 25, 2004
Beiträge: 1520
Nach oben
|
| Verfasst am: Mo Jul 10, 2006 6:55 pm Titel: |
|
|
Wie sieht das eigentlich "Rechtlich" aus, ist das sammeln der Daten aus dem Honeynet nicht "strafbar" ? (Vom Prinzip aus)
Wenn ich meine Autotür auflasse und den Wagen verlasse , gefällt das der Polizei auch nicht und schleppt ihn ab. Dabei sollte es nur ein HoneyCar werden. 
Lg Hosea
|
|
jane-doe
Mitglied
Anm.Dat: Jul 05, 2006
Beiträge: 28
Wohnort: Babylon
Nach oben
|
|
Franziskaner
Inventar
Anm.Dat: Jan 04, 2003
Beiträge: 4850
Wohnort: Deep South 9
Nach oben
|
| Verfasst am: Mo Jul 10, 2006 7:10 pm Titel: |
|
|
| jane-doe hat folgendes geschrieben: | | du weisst wovon du schreibst |
na, du aber auch... 
So kann ich ja noch nicht mal in der Firma fachsimpeln, da kippen unsere Netzwerker immer hinten um...
| Zitat: | | und profihacker sitzen oft näher am objekt als mann/frau denkt .... |
Und am erfolgreichsten sind immer noch die nichttechnischen Angriffe. Ich hab schon ein paar Mal einen kompletten Rechner an's Firmentor getragen bekommen...
@Hosea: Rechtlich gesehen ist es strafbar, wenn du dir zu Computersystemen Zugang verschaffst, die "gesichert" sind (recht schwammige Interpretation). I.d.R. würde ich einen Angriff auf ein Honeynet immer als versuchtes oder durchgeführtes Ausspähen von Daten (§269,270 StGB). Wenn dabei noch Techniken angewendet werden, die Daten oder Programme auf bestehenden Systemen ändern (wie z.B. Buffer Overflows), dann ist auch der Tatbestand der Computersabotage und Datenveränderung erfüllt (§303a,303b StGB). Unabhängig davon, ob es sich um Echtdaten im Produktivnetz oder um Lockdaten innerhalb eines Honeynets handelt.
_________________
"We've got a basic version that will cost $129... we've got a Premium Version which will cost $129... we've got a business version! $129. An Ultimate version! We're throwing everything into it, it's $129." (Steve Jobs, WWDC 2007) |
|
godfather
Neuzugang
Anm.Dat: Feb 20, 2007
Beiträge: 10
Nach oben
|
| Verfasst am: Di Feb 20, 2007 7:18 pm Titel: |
|
|
also wenn china wirklich die militärrechner von den usa angegriffen hat würde ich behaupten das sich amerika diesen angriff "erhofft" hat.
die beiden angriffe auf die militärrechner bevor waren 3 monate auseinander, es sei sooo leicht obwohl dort so wichtige informationen vorhanden sind? und der zweite angriff ist auch sooo leicht? es wurde nicht im thema sicherheit gemacht?
ich denke amerika hat die anzeigen "gefakt" damit ein möglicher gegner des landes sich denkt "ja da können wir uns wichtige informationen holen, die merken es ja eh nicht"
und schon hat china es versucht und amerika kennt seinen gegner...
also wenn es wirklich einen angriff von china auf die usa rechner gab würde ich mir den angriff so erklären.
mfg godfather
|
|
TheFreeman
Inventar
Anm.Dat: Jun 20, 2003
Beiträge: 546
Wohnort: Keine Ahnung....ist so dunkel hier !
Nach oben
|
| Verfasst am: Sa Feb 24, 2007 1:06 pm Titel: |
|
|
Ein Bekannter von mir arbeitet bei Dymler Chrysler in der Hackerabwehr. Der kommt in jedes Netz innerhalb Deutschlands rein sagt er, denn er ist immer auf dem neusten STand (muss er sein) und kennt jeden Kniff. Er meint auch, wahre Fachleute, Profis, Freaks, die wirklich Ahnung und mittlerweile vielleicht auch schon ein Jahrzehnt oder mehr Erfahrung haben kriegst du mit passiven Systemen wie herkömmlichen Firewalls oder anderen Blockern und Hidern nicht klein, die kommen da durch.
Das US-Militär muss selbst eine Riege von Hackern beschäftigen um Angriffe von aussen wirklich abwehren zu können. Das wären dann so Leute die den Hackern ihre Festplatten kurzschließen und solche Scherze.
Andererseits frage ich mich ob auf diesen an das Inet angeschlossenen PCs nicht nur nen Haufen Datenschrott herumliegt, die wirklich wichtigen Informationen lagern doch in sepparaten autonomen Netzwerken die nur über Terminals innerhalb des Pentagon zu erreichen sind!
Gruß,
Freeman
_________________
,,Ein Optimist ist ein Zeitgenosse, der ungenügend informiert ist !'' John B. Priestley
,,Immer mit der Ruhe...erstmal eine rauchen !'' |
|
Franziskaner
Inventar
Anm.Dat: Jan 04, 2003
Beiträge: 4850
Wohnort: Deep South 9
Nach oben
|
| Verfasst am: Sa Feb 24, 2007 2:35 pm Titel: |
|
|
| TheFreeman hat folgendes geschrieben: | | Ein Bekannter von mir arbeitet bei Dymler Chrysler in der Hackerabwehr. Der kommt in jedes Netz innerhalb Deutschlands rein sagt er, denn er ist immer auf dem neusten STand (muss er sein) und kennt jeden Kniff. |
Die Sicherheitsabteilung bei DC neigt manchmal dazu, sich selbst zu überschätzen. Wenn dich mit denen unterhältst, kannst nur ihren Starrsinn bewundern, ihren Kollegen neue Technologien zu erlauben, nicht ihre Sachkenntnis.
| Zitat: | | Er meint auch, wahre Fachleute, Profis, Freaks, die wirklich Ahnung und mittlerweile vielleicht auch schon ein Jahrzehnt oder mehr Erfahrung haben kriegst du mit passiven Systemen wie herkömmlichen Firewalls oder anderen Blockern und Hidern nicht klein, die kommen da durch. |
Ich würde die Anzahl der wahren Fachleute, die sich durch einigermassen durchdachte Sicherheitssysteme durchhacken können, in Deutschland auf unter 40 schätzen. Und die meisten davon haben Besseres zu tun. Das Problem sind heute automatisierte Angriffe über Würmer und Trojaner. Da müsste dir dein Bekannter einige Anekdoten über die "Wirksamkeit" der Abwehrmassnahmen seinen Konzerns zum Besten geben können...
Und viel gravierender sind die Vorfälle, bei denen Leute Notebooks mit sensiblen Firmendaten einfach mal im Taxi vergessen. Oder Spezialisten, die sich einfach mal kurz einen Access Point ins Firmennetz stellen, ohne zu wissen, was WPA ist...
| Zitat: | | Das wären dann so Leute die den Hackern ihre Festplatten kurzschließen und solche Scherze. |
Festplatten kurzschliessen. Ahja... 
Sorry, aber das halt ich für ziemlichen Mumpitz.
_________________
"We've got a basic version that will cost $129... we've got a Premium Version which will cost $129... we've got a business version! $129. An Ultimate version! We're throwing everything into it, it's $129." (Steve Jobs, WWDC 2007) |
|
Franziskaner
Inventar
Anm.Dat: Jan 04, 2003
Beiträge: 4850
Wohnort: Deep South 9
Nach oben
|
| Verfasst am: So Feb 25, 2007 10:55 am Titel: |
|
|
Was ich momentan feststelle ist, das z.Zt. ziemlich viele fehlgeschlagene Verbindungsanfragen aus chinesischen IP-Netzen und auch aus Arcor Netzen heraus auf IPSec-VPN-Server erfolgen. Dabei wird immer versucht, XAUTH und DES-Verschlüsselung zu propagieren, was der Responder selbstverständlich ablehnt.
Da hier immer die gleichen Proposals, Vendor-ID und Oakley Attribute auftauchen, geh ich hier mal von einem Wurm aus. Allerdings ist merkwürdig, das von den Arcor Netzen aus immer mehrfache Versuche in regelmässigen Abständen (6-8 sek.) gestartet werden, aus den chinesischen Netzen immer nur ein einziger Versuch...
Scheint mir, hier wird gerade versucht, VPN-Server mit XAUTH direkt anzugehen, da der Draft von Cisco wohl einige Schwachstellen hat. Momentan kann ich also allen, die ein Cisco-based VPN mit Username/Passwort Authentifizierung betreiben nur raten, zügigst auf eine PKI und ordentliche Authentifizierung mit Zertifikaten umzustellen...
_________________
"We've got a basic version that will cost $129... we've got a Premium Version which will cost $129... we've got a business version! $129. An Ultimate version! We're throwing everything into it, it's $129." (Steve Jobs, WWDC 2007) |
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
|
|
|
 |
|
 |
|
