Moin!

Kann man einen Host im lokalen Netz "verstecken"?

Definiere "versteckt sein".

Ist es möglich, einen Host irgendwie erreichbar anzubinden, ohne dass er unter normalen Umständen auffindbar ist?

Das hängt von der Definition von "versteckt sein" und "entdecken" ab.

Komplette Unsichtbarkeit scheitert im LAN daran, dass der Datenverkehr nicht unsichtbar bleiben kann.

Sofern der Host kabelgebunden angeschlossen ist, ist allein schon die Tatsache, das das Kabel mit Auto-Negotitiation- und Link-Impulsen versehen auf dem Hub/Switch aufliegt, eindeutiges Kriterium für Anwesenheit. Komplette Abwesenheit kann man da nur erreichen, indem man das Kabel zieht - das wiederum verhindert dann aber versteckten Datentransfer.

Um am Ethernet-Datenverkehr teilnehmen zu können, muß der Host ARP-Requests beantworten. Das könnte er natürlich sehr selektiv tun, trotzdem sind diese Datenpakete detektierbar.

Dasselbe gilt selbstverständlich, sollte der Host nur eingeschränkte Konnektivität für TCP oder UDP anbieten wollen: Auch wenn eine Firewall jedem anderen Host vorspiegelt, ein Port wäre geschlossen, so kann doch grundsätzlich immer festgestellt werden, dass andere Hosts erfolgreich mit diesem Port kommunizieren.

Erstens hinterlässt er auf den Clients irgendwie Spuren (in irgendwelchen Logs), wenn man Kontakt damit aufnimmt.

Das könnte man ja abschalten.

Zweitens könnte man auch alle "normalen" Dienste ausprobieren und würde dann bei irgendeiner IP doch einen offenen Port finden.

Das kann man filtern.

Diese IP muss dann ja irgeneinem Gerät zugeordnet sein.

Das hingegen kann in größeren Netzwerken ziemlich kompliziert sein.

Da bliebe als Idee nur ein Spezialprogramm, dass man dann von der CD starten müsste. Aber die müsste man dann ja bei sich haben und außerdem würde auch das bei üblichen Clients sicherlich wieder irgendwelche Spuren hinterlassen.

Die Frage ist doch, welches Szenario betrachtet werden soll. Der geheime Datenaustausch zwischen zwei Stationen kann natürlich auch im lokalen Netz stattfinden, ohne dass das allzusehr auffällt. Verschleierungsmethoden gibt es genug, solange man sich was hinreichend merkwürdiges ausdenkt, was einerseits nicht standardmäßig beobachtet wird und andererseits nicht irgendeine Intrusion Detection aktiviert. Es wäre ja denkbar, in einem ansonsten nur IP führendem LAN mit IPX oder NetBEUI zu arbeiten. Oder rohe Ethernet-Pakete auszutauschen. Allein durch das ganz andere Protokoll dürften die üblichen IP-basierenden Methoden ins Leere greifen.

Andererseits: Datenaustausch geht nicht ohne Daten, die Daten sind elektrische Impulse im Kabel oder elektromagnetische Wellen im Funkspektrum, und damit grundsätzlich detektierbar.

- Sven Rautenberg