nicht angemeldet
Host im Lokalen Netz "verstecken"
Hello,
ich habe gerade ein Streitgespräch...
Kann man einen Host im lokalen Netz "verstecken"?
Ist es möglich, einen Host irgendwie erreichbar anzubinden, ohne dass er unter normalen Umständen auffindbar ist?
Ich habe behauptet, dass das nicht geht.
Erstens hinterlässt er auf den Clients irgendwie Spuren (in irgendwelchen Logs), wenn man Kontakt damit aufnimmt.
Zweitens könnte man auch alle "normalen" Dienste ausprobieren und würde dann bei irgendeiner IP doch einen offenen Port finden.
Diese IP muss dann ja irgeneinem Gerät zugeordnet sein.
Da bliebe als Idee nur ein Spezialprogramm, dass man dann von der CD starten müsste. Aber die müsste man dann ja bei sich haben und außerdem würde auch das bei üblichen Clients sicherlich wieder irgendwelche Spuren hinterlassen.
Und wenn der Host gerade aktiv ist (z.B. weil er Datensicherung betreibt) und jemand schmeißt seinen Trafficmonito an, wäre er doch auch sichtbar.
Liege ich da so falsch?
Harzliche Grüße vom Berg
http://bergpost.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)
-
Mahlzeit,
Kann man einen Host im lokalen Netz "verstecken"?
Ist es möglich, einen Host irgendwie erreichbar anzubinden, ohne dass er unter normalen Umständen auffindbar ist?Reine Definitionsfrage, denke ich. Angenommen, du meinst mit "lokales Netz" ein TCP/IP-Netz - dann ist es sicher möglich, einen Rechner aufzusetzen, der schlicht und ergreifend auf keinerlei Anfragen an seine IP in irgendeiner Weise reagiert (schön alles ins Leere laufen lassen) ... dann sähe es unter Umständen für alle Rechner, die versuchen mit ihm Kontakt aufzunehmen, so aus, als gäbe es ihn gar nicht.
Problem ist natürlich nur: er ist dann nicht erreichbar. Man könnte ihn natürlich so konfigurieren, dass er auf ein gewisses "Anklopfmuster" hin (z.B. x Pakete auf Port 123, y Pakete auf 234, z Pakete auf Port 345, dann wieder i Pakete auf Port 234 und danach j auf Port 987) irgendeinen Dienst auf irgendeinem bestimmten Port für die anfragende IP freischaltet - aber genau in diesem Moment käme er ja sozusagen aus seiner "Unsichtbarkeit" hervor.
Erstens hinterlässt er auf den Clients irgendwie Spuren (in irgendwelchen Logs), wenn man Kontakt damit aufnimmt.
DAS wirst du sowieso nie verhindern können.
Zweitens könnte man auch alle "normalen" Dienste ausprobieren und würde dann bei irgendeiner IP doch einen offenen Port finden.
Nicht zwangsläufig - der Host kann ja einfach ausnahmslos alle Anfragen ignorieren.
Da bliebe als Idee nur ein Spezialprogramm, dass man dann von der CD starten müsste. Aber die müsste man dann ja bei sich haben und außerdem würde auch das bei üblichen Clients sicherlich wieder irgendwelche Spuren hinterlassen.
Und spätestens hier hab ich nicht mehr so ganz verstanden, was du meinst ... redest Du jetzt von der Konfiguration eines Hosts? Was hat das mit Clients zu tun?
Und wenn der Host gerade aktiv ist (z.B. weil er Datensicherung betreibt) und jemand schmeißt seinen Trafficmonito an, wäre er doch auch sichtbar.
Ähm - kommt doch darauf an, WIE der Host die Datensicherung betreibt, oder?
Liege ich da so falsch?
Ein klares "jein".
MfG,
EKKi-
Hello,
Da bliebe als Idee nur ein Spezialprogramm, dass man dann von der CD starten müsste. Aber die müsste man dann ja bei sich haben und außerdem würde auch das bei üblichen Clients sicherlich wieder irgendwelche Spuren hinterlassen.
Und spätestens hier hab ich nicht mehr so ganz verstanden, was du meinst ... redest Du jetzt von der Konfiguration eines Hosts? Was hat das mit Clients zu tun?
Das hast Du eigentlich schon beantwortet.
Das "Anklopfmuster" müsste ja irgendwie erzeugt werden.
Und dafür eignet sich dann doch bestens ein Spezial-Client.Und wenn der Host gerade aktiv ist (z.B. weil er Datensicherung betreibt) und jemand schmeißt seinen Trafficmonito an, wäre er doch auch sichtbar.
Ähm - kommt doch darauf an, WIE der Host die Datensicherung betreibt, oder?
Naja, irgendwie über ein Protokoll auf dem Netz.
Das muss dann ja auf irgendeinen Dienst der zu sichernden Geräte zugreifen.
Und das wurde dann im Traffic-Log auftauchen. Null Traffic = Null DatenverkehrLiege ich da so falsch?
Ein klares "jein".
Also doch "Radio Eriwan" ...
Harzliche Grüße vom Berg
http://bergpost.annerschbarrich.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)
-
Mahlzeit,
Das hast Du eigentlich schon beantwortet.
Das "Anklopfmuster" müsste ja irgendwie erzeugt werden.
Und dafür eignet sich dann doch bestens ein Spezial-Client.Na gut - überredet. Wobei er ja sicher nicht erforderlich wäre. ;-) Und außerdem wäre es (wenn ich deine Gedanken richtig deute) dann ja wiederum ein Hinweis darauf, dass sich irgendwo in der hinterletzten zugemauerten Kellernische noch irgendwo ein geheimer Server befindet. ;-)
Und wenn der Host gerade aktiv ist (z.B. weil er Datensicherung betreibt) und jemand schmeißt seinen Trafficmonito an, wäre er doch auch sichtbar.
Ähm - kommt doch darauf an, WIE der Host die Datensicherung betreibt, oder?
Naja, irgendwie über ein Protokoll auf dem Netz.
MUSS er das?
Das muss dann ja auf irgendeinen Dienst der zu sichernden Geräte zugreifen.
Nicht, wenn dieser spezielle, hochgeheime Host ein eigenes Bandlaufwerk (o.ä.) hat.
Und das wurde dann im Traffic-Log auftauchen. Null Traffic = Null Datenverkehr
0 Traffic != 0 Sicherung ;-)
Liege ich da so falsch?
Ein klares "jein".
Also doch "Radio Eriwan" ...Klar - kommt halt immer darauf an, wie man "unsichtbar" definiert. Sicher ist es - wenn man nur den Host betrachtet - irgendwie möglich, ihn so zu "verstecken", dass er im normalen Netzwerkverkehr nicht gefunden werden kann. Aber was nutzt ein Host, mit dem man keine Daten austauschen kann. Und spätestens, wenn ein Client, der die "geheime" Zugangsprozedur kennt, Kontakt zum Server aufnimmt, entstehen verräterische Spuren - wo auch immer.
Just another fucking "security by obscurity" ...
Ich würde davon abraten.
MfG,
EKKiPS: Frage an Radio Eriwan: "Ich bin Krankenschwester und habe sieben Kinder. Nun soll ich in die Röntgenstation versetzt werden. Stimmt es, dass Röntgenstrahlen unfruchtbar machen?"
Antwort: "Im Prinzip ja. Aber verlassen Sie sich nicht darauf!"
-
-
-
Moin!
Kann man einen Host im lokalen Netz "verstecken"?
Definiere "versteckt sein".
Ist es möglich, einen Host irgendwie erreichbar anzubinden, ohne dass er unter normalen Umständen auffindbar ist?
Das hängt von der Definition von "versteckt sein" und "entdecken" ab.
Komplette Unsichtbarkeit scheitert im LAN daran, dass der Datenverkehr nicht unsichtbar bleiben kann.
Sofern der Host kabelgebunden angeschlossen ist, ist allein schon die Tatsache, das das Kabel mit Auto-Negotitiation- und Link-Impulsen versehen auf dem Hub/Switch aufliegt, eindeutiges Kriterium für Anwesenheit. Komplette Abwesenheit kann man da nur erreichen, indem man das Kabel zieht - das wiederum verhindert dann aber versteckten Datentransfer.
Um am Ethernet-Datenverkehr teilnehmen zu können, muß der Host ARP-Requests beantworten. Das könnte er natürlich sehr selektiv tun, trotzdem sind diese Datenpakete detektierbar.
Dasselbe gilt selbstverständlich, sollte der Host nur eingeschränkte Konnektivität für TCP oder UDP anbieten wollen: Auch wenn eine Firewall jedem anderen Host vorspiegelt, ein Port wäre geschlossen, so kann doch grundsätzlich immer festgestellt werden, dass andere Hosts erfolgreich mit diesem Port kommunizieren.
Erstens hinterlässt er auf den Clients irgendwie Spuren (in irgendwelchen Logs), wenn man Kontakt damit aufnimmt.
Das könnte man ja abschalten.
Zweitens könnte man auch alle "normalen" Dienste ausprobieren und würde dann bei irgendeiner IP doch einen offenen Port finden.
Das kann man filtern.
Diese IP muss dann ja irgeneinem Gerät zugeordnet sein.
Das hingegen kann in größeren Netzwerken ziemlich kompliziert sein.
Da bliebe als Idee nur ein Spezialprogramm, dass man dann von der CD starten müsste. Aber die müsste man dann ja bei sich haben und außerdem würde auch das bei üblichen Clients sicherlich wieder irgendwelche Spuren hinterlassen.
Die Frage ist doch, welches Szenario betrachtet werden soll. Der geheime Datenaustausch zwischen zwei Stationen kann natürlich auch im lokalen Netz stattfinden, ohne dass das allzusehr auffällt. Verschleierungsmethoden gibt es genug, solange man sich was hinreichend merkwürdiges ausdenkt, was einerseits nicht standardmäßig beobachtet wird und andererseits nicht irgendeine Intrusion Detection aktiviert. Es wäre ja denkbar, in einem ansonsten nur IP führendem LAN mit IPX oder NetBEUI zu arbeiten. Oder rohe Ethernet-Pakete auszutauschen. Allein durch das ganz andere Protokoll dürften die üblichen IP-basierenden Methoden ins Leere greifen.
Andererseits: Datenaustausch geht nicht ohne Daten, die Daten sind elektrische Impulse im Kabel oder elektromagnetische Wellen im Funkspektrum, und damit grundsätzlich detektierbar.
- Sven Rautenberg
--
"Love your nation - respect the others."