Tauschbörsen
 

Hallo Gemeinde !

Ich habe folgendes Problem:
In einer unserer Filialen wird die Standleitung offensichtlich für illegale Machenschaften benutzt. Denn das im Produkt integrierte Transfervolumen wurde um 165GB, davon 151GB Upload überschritten und die Telekom verrechnet uns fast 7000 Euro zusätzlich. Jetzt habe ich von der Leitung den Auftrag bekommen, dei in Frage kommenden PC, die an dieser Leitung hängen, softwaremäßig zu checken. Da ich aber mit den ganzen Tauschbörsen usw. nicht up to date bin, einige Fragen an die Spezialisten: Wonach muss ich suchen? Oder gibt es Tools, die solche Programme automatisch aufspüren? Oder gibt es Programme, die ich auf den Maschinen installieren kann und die den Traffic pro PC messen, ohne gleich ersichtlich zu sein.
Zugang zum Router bekomme ich leider nicht, da die Telekom die Passwörter für den Router nicht herausrückt. Ist ein Netzwerk, an dem ca. 50 PCs hängen mit fixen IPs. Der Userkreis geht von absoluten DAUS bis zu nehme ich an doch versierteren Usern.

lg
Tellme

In einer Firma sollte jedenfalls eine zentrale Firewall derartiges verhindern.
Nur die folgenden Ports sollten nach draußen offen gelassen werden:

Port | Dienst
80 - HTTP
20,21 - FTP
110 - POP3
25 - SMTP
53 - DNS
37 - time
546,547 - DHCP
23 - Telnet
69 - TFTP
135 - RPC

edit: Mit einem portscan kannst Du demzufolge intern nach der Nutzung anderer Ports Ausschau halten.

wenn du nur upload und keinen dl hast würd ich eher auf einen illegalen ftp server oder auf einen virus tippen.

Wenn dort ein mailserver steht könnte es auch eine hängengebliebene ausgehende email sein.

Falls sich die telekom nich kulant zeigt würde ich ausserdem sofort den provider wechseln.

Einige Tauschbörsen und die dafür notwendigen ports

Kazaa Lite 1214
eMule 4661, 4662, 4665, 4672
BitTorrent 6881 bis 6889
Soulseek 2234, 5534
DirectConnect konfigurierbar
Gnutella 6346

übrigens: wenn den usern keine firmenpolicy bezüglich internetnutzung (nachweislich) kenntlich gemacht wurde bzw. die rechner nicht entsprechend abgesichert sind (keine admin-rechte für die user), hat man keine handhabe gegen den mitarbeiter ...

höchstens der admin könnte wegen fahrlässigkeit in argumentatinsnotstand kommen ;) ...

außerdem: um welches produkt von der TA handelt es sich? idR sind deren router so konfiguriert, dass nur bestimmte ports offen sind und die öffnung zusätzlicher ports explizit angefordert werden muss ... ev. kommt hier dann die TA auch in argumentationsnotstand und verzichtet auf die nachverrechnung ;) ...

Trojaner bzw. offenes mail relay ist am wahrscheinlichsten? FTP server ist hinter einem router ohne adminrechte etwas unpraktisch :D

@tellme - schau mal ob die IP hier irgendwo gelistet ist. http://www.senderbase.org/

kann LouCypher nur beipflichten - so ein Ungleichgewicht zwischen Up/Download ist entweder ein FTP-Server, ein freigiebiger p2p-Sharer, oder ihr habt euch ein mistiges Vieh eingefangen.
(oder offenes WLAN ? )

Habt ihr im Netzwerk einen FTP Server am Laufen bzw. irgendeinen Samba Share, der von außen erreichbar ist ?

Es kann gut sein, dass ihr da Server für die Allgemeinheit spielt.

Ich würd mal schleunigst die Firewall überprüfen - denn die ist wahrscheinlich nicht gerade strikt konfiguriert.
Wenn es möglich ist, die aktiven Verbindungen auf der Firewall anzuschauen, würd ich das mal machen.

Edit:
Hab überlesen, dass du auf den Router keinen Zugang hast. Soweit ich weiß erlaubt der vorkonfigurierte Router, falls nicht anders gewünscht, keine Verbindungen nach innen.

Ansonsten:
Torkel mal von PC zu PC und überprüf die mal.

Letztendlich bleibt die Schuld aber wahrscheinlich am Admin hängen :hammer:

Edit2:
pm oder post mal die IP, vielleicht kann man da was aufspüren ;)

da wird es sich fast 100%ig um einen Str0 handeln.
http://de.wikipedia.org/wiki/Stro
Der lauft aber sicher nicht auf Port 21. Blöd müsstens ja sein ;)

dagegen würde aber der vorkonfigurierte TA Router sprechen, der meines Wissens alle Ports nach innen ab Werk gesperrt hat ?

Gegen den ftp spricht vor allem, dass jemand die warez per externen notebook oder DVDs mitgebracht haben muss. Wer tut sich sowas "in der Szene" schon an:D

Danke für die vielen Antworten.

Also:
Die Leitung um die es sich handelt ist bis auf die Sicherheitsstufe 1 (???) der Telekom unbeschränkt, da diese Leitung hauptsächlich von einer relativ kleinen internationalen Abteilung unseres Hauses verwendet wird, vorwiegend Osteuropa. Dort wird ausschließlich mit Laptops gearbeitet. Diese haben sehr wohl DVD-Laufwerke, was auch die Möglichkeit einschließt Filme upzuloaden. Daher war meine erste Vermutung, das einer der Ostblockmitarbeiter möglicherweise Filme per ftp nach Hause "schickt".

Einen Virus kann ich ausschließen, da diese extreme Überschreitung eigentlich schon im Juni war und uns erst jetzt durch die extreme Rechnung aufgefallen ist. Die Überprüfung der Transfervolumen in den folgenden Monaten bleibt im grünen Bereich, ohne das eine größere Virensäuberungsaktion erforderlich gewesen wäre.

Meiner Meinung nach ist die ganze Aktion sowieso sinnlos, denn wenn sich der Typ etwas auskennt, sind die Spuren schon lange verwischt.

Rechtliche Folgen hat er von unserer Seite wegen Mißbrauchs sowieso nicht zu befürchten, weil es für dieses zusätzliche Netzwerk keine Betriebspolicy gibt.
Schadenersatz ist auch nicht vorgesehen, da ab sofort eine unlimited Leitung geschaltet wird. Der "schuldige" Kollege soll nut eine ordntliche gelbe Karte erhalten. Was ich aber verhindern muss ist eine Wiederholung denn irgendwann fallen wir sicher der RIAA auf wenn der so weiter macht :D

Und die einschlägigen Ports werde ich bei der Telekom sicher sperren lassen.

Dank an alle Poster
Tellme

Dürfte geklärt sein
 

Ich habe bei der Kontrolle auf allen Laptops der internationalen Mitarbeiter das Programm Skype gefunden, teilweise auch mit angeschlossenen Webcams.
Auf Befragen gaben die Mitarbeiter zu, regelmässig über Skype mit der Heimat zu kommunizieren, da sie oft monatelang nicht nach Hause kommen.
Also dürfte der Traffic daher kommen. Was mich aber noch interessieren würde:

Kann man über Skype von PC zu PC auch Daten austauschen? Denn auf einem Laptop habe ich einen leeren Ordner "My Skype Received Files"
gefunden, der auf den anderen Laptops nicht vorhanden ist, trotz installiertem Skype.

Ist also ein typischer Fall von "gratis" telefonieren übers Internet, wie die Skype-Werbung dem unbedarten User suggeriert.

Danke nochmal für eure Antworten

lg
Tellme

dann gäbs viel traffic in beide richtungen und nicht nur in eine.

Ja, Filetransfer ist damit auch möglich.

Bei diesen Transfervolumen und der Useranzahl - wie wär's denn mal mit einer Box/Appliance mit Stateful Inspection?

Wenn der User von unserer Seite per Webcam telefoniert und von der anderen Seite nur telefoniert wird, dann könnte doch das Verhältnis up/download doch wesentlich auseinanderklaffen, oder nicht? Verhältnis ist ca. 75:25 Prozent.

Bezüglich Dateiaustausch:
Ich kann also ähnlich ftp auf einen entfernten PC auf eine Freigabe zugreifen und dort eine Datei ablegen, oder wie muss ich mir das vorstellen?

Bin mit solchen Programmen wie gesagt absolut nicht firm.

Danke
Tellme

jupp, ist via skype möglich, wie es auch bei den meisten messengern möglich ist.

Inwieweit Ports geöffnet sein müssen kann ich dir nicht sicher sagen, ich glaub aber eher, dass die nur zum Empfangen benötigt werden.

Also theoretisch kann jemand über skype files zu einem Freund / seinem Rechner zu Hause schicken.
Dort muß aber meines Wissens auch skype laufen.

Nichtsdestotrotz solltet ihr den Kauf einer Firewall in Betracht ziehen, um vorallem die Benutzung von innen etwas zu limitieren.
Gute Firewalls sollten in der Lage sein, den Traffic per MAC fix regelbar zu machen, nicht dass ein User am Tag 1 GB oder mehr verbraten kann.

Vorallem, da ihr ja anscheinend WLAN habt, sollte das auch ganz bewußt abgesichert werden.

Ein gutes Logging wäre zudem auch nicht verkehrt, also nicht den Inhalt der Internetaktivitäten, sehrwohl aber den Traffic nach IP oder besser MAC der Netzwerkkarte ausgewertet.

Eine Nutzungspolicy wäre sicher auch nicht verkehrt, Mißbrauch kann man zwar niemals zu 100 Prozent ausschließen, das abschreckende Element könnte jedoch den einen oder anderen zum Umdenken bewegen.

Re: Dürfte geklärt sein
 

Bei 150GB upload Volumen käme man auf ca. 700.000 Sprachtelefonie Minuten mit Skype. Das escheint mir jetzt als etwas zu viel ;) Wie schon erwähnt wäre der traffic aber bei Sprache ungefähr symmetrisch. Videotelefonie wird IMHO von Skype nicht unterstützt.

Wenn ihr für traffic nach extern keine port oder sonstige firewall Beschränkungen habt, dann kann so gut wie jedes Programm genutzt werden. z.B. Windows Remote Desktop, VNC, ein ssh-tunnel? usw.

Re: Re: Dürfte geklärt sein
 

NICHT RICHTIG! :eek: --> Mittlerweile gibt's 'n PlugIn für skype: http://www.video4im.com/ :idee:

Danke für die Erklärung, das mit Skype der Datenaustausch auch möglich ist, das wird es unter anderem sein.

Bezüglich Firewall:

Unser internes Firmennetz ist sicher eines der sichersten in Österreich, dort traue ich mich zu behaupten, das überhaupt nichts geht.
In der Außenstelle ist jedoch die internationale Abteilung, in der fast ausschließlich ausländische Mitarbeiter arbeiten, vorwiegend aus dem ehemaligen Ostblock, Finnland und auch Italien. Dieses Netzwerk wird von einer 2MBit Standleitung versorgt, welche schon vor meiner Zeit von der TA eingerichtet wurde und deren Sicherheitsstandart eine Grundsicherung durch die TA enthält, sonst aber bewusst offen gehalten ist, um die ungestörte Kommunikation zwischen den einzelnen Dienststellen europaweit zu ermöglichen, dh. es sind keinerlei Beschränkungen auf den PCs eingerichtet. Denn wenn etwas nicht gehen würde, wäre der Admin eine arme Sau.

Den Ansatz der Mitarbeiter über Skype zu telefonieren kann ich auch nachvollziehen, da bei uns die Telefonrechnungen relativ stringent überwacht werden. Und irgendwie müssen sie auch die privaten Kontakte in die Heimat aufrecht erhalten.

Das Problem mit der Nachzahlung ist mittlerweile auch vom Tisch, da morgen früh auf ein unbeschränktes Produkt der TA umgestellt wird, welches mit der TA preisgleich ausgehandelt wurde.

Die Nachforschungen wurden veranlasst, damit nicht etwa über eine fixe IP unseres Unternehmens ein Warezserver betrieben wird.

Einschränkungen der Verwendbarkeit der Leitung oder protokollierung des Traffics ist bei uns auf Grund sehr stringenter Datenschutzwächter nicht möglich, wenn eine solche Überwachung auffliegen würde, hätten wir ernsthafte Probleme, da es sich um ein Projekt der EU handelt. Daher haben die lokalen Admins auch keine Zugriffsmöglichkeiten auf den Router, da ein solcher Zugriff per EU-Richtlinie für betriebsinterne Mitarbeiter verboten ist (angeblich geheimer Datenverkehr. FÜr eine gezielte IP-Überwachung einzelner Mitarbeiter brauchen wir einen Gerichtsbeschluss oder eine EU-Zustimmung. Die Leitung wäre an sich ein Paradies. ;)

Danke für die zahlreichen Anregungen und Tipps
Tellme

Ein weiteres EU-Projekt, wo Geld sinnlos beim Fenster rausgepulvert wird... :heul:

Absurde Auffassung von Datenschutz kombiniert mit außergewöhnlich seltsamer Sicherheitsphilosphie :confused:

Geb ich dir vollkommen recht, aber gegen die kommt man nicht an, egal was man auch versucht. Aber die EU hat offensichtlich doch auch Vorteile, wenn man auf dem Klavier spielen kann.:eek:

Ich werde heute meinen Bericht abgeben und festhalten, was ich auf welchem Gerät gefunden habe, geordnet nach Seriennummer, da die Überprüfung ja anonym erfolgen musste, dh. ich weiß nicht welcher Laptop welchem der Herren gehört.

Was solls, mein Job ist erledigt, sollen sich die hohen Herren ihre gutbezahlten Köpfe zerbrechen und die SChlüsse daraus ziehen.

lg
Tellme

Das muß man sich mal auf der Zunge zergehen lassen:

Da ist eine Firma oder Organisation, die jegliches Logging IP-basiert oder MAC-basiert, aufgrund des "Datenschutzes" verbietet.
Darüberhinaus hat niemand in der Organisation/Firma Zugriff auf eine essentielle Sicherheitskomponente (Router,Firewall) - aber trotzdem wird sich dann aufgeregt, wenn es Probleme wie die von dir geschilderten gibt.

Datenschutz ist schön und gut, ich verstehe auch, dass man den Usern so viel Freiheit geben kann, dass ihr Surfverhalten anonym bleibt.

Was aber ein Traffic Logging bzw. eine Traffic Limitierung am Datenschutz aushebelt ist mir schleierhaft.

Das lädt ja dazu ein, die Verbindung mißbräuchlich zu verwenden.

Einhergehend mit der Definition des Datenschutzes dort darf man ja eigentlich auch nicht die Clients der Mitarbeiter nach Spuren durchsuchen - das wiegt meiner Ansicht nach weit schwerer als Traffic-Logging bzw. Limitierung an der Firewall.

Und einem ISP das Sicherheitskonzept überlassen, der wahrscheinlich ein 08/15 Standardmuster für die Einrichtung wählt, ist äußerst befremdend.

Scheinbar ist dieses Konzept ja doch nicht so ausgefeilt :hammer:

:verwunderbin:

vor allem wenn man so gar nicht weis welche log einstellungen im router aktiv sind und das surfverhalten der user sowieso ohne euer wissen geloggt wird und von den telekom mitarbeitern nach lust und laune angeschaut werden kann.

Hallo !

Ich verstehe euer aller Befremden über diese Struktur in unserer Abteilung und ich teile sie auch. Aber Fakt ist nun einmal, das die dafür verantwortlichen Entscheidungsträger im österreichischen Part dieser Abteilung als absolute technische Daus gelten dürfen und daher für diese Trafficmessung ist gleich Datenspionage gilt. Und Datenspionage ist ein hässliches Wort. Noch dazu wo angeblich Top geheime Daten über diese Leitungen laufen.

Die gestrige Kontrolle beschränkte sich auch lediglich auf die Tatsache, das die verwendeten Geräte kurz vor Ablauf der Garantie stehen und daher von mir auf ausschließlich technische Mängel beschränkt wurde :engel:

lg
Tellme

wieso machst dir dann überhaupt die mühe, such den dir am nächsten pc aus und sag die nw karte ist kaputt und das was.

War nicht wirklich die große Mühe:
Mit dem Dienstauto Wien zu verlassen, Reisegebühren verrechnen und an Ort und Stelle als großer Guru hofiert zu werden hat was ;) :D

lg
Tellme

Sag mal wo ist denn das? :D

Ich brech ab :lol:
Top geheime Daten, und man nimmt einen TA Router, der von der TA konfiguriert wurde. Und keiner hat Zugriff auf Logs ?

Wenns nicht so traurig wär, dann würd ichs äußerst amüsant finden.

Räumlich ist die Filiale in Traiskirchen, warum?:p

lg
Tellme

Also bei der Geheimhaltung wird er Dir das sicher nicht hier im Forum verraten dürfen ;)

Das mit den geheimen Daten war eigentlich von meiner Seite eher ironisch gemeint, aber es herrscht bei denen eine ziemliche "ich bin geheim und wichtig" Phobie.
Nach einer Rücksprache bei den Telekomikern hat mir der das so erklärt: Der Router protokolliert den Verkehr in einer Datei, welche alle zwei Minuten, wenn die Dateigrösse erreicht ist, gelöscht wird.

Aber was solls, die Zeiten der lebensverkürzenden Aufregungszustände in meinem Leben ist gott sei dank schon vorbei.

lg
Tellme

Sry noch einer

Noch einer sry

Und noch einer Sry

Also dashalt ich jetzt aber für einen Schwachsinn. Von wem hast die Aussage?
Der Router (sofern es ein Cisco ist) hat ein LOg-File drinnen auf dem man eine Woche retour verfolgen kann.
Bei welcher Hotline hast diese Weisheit erfahren?

Das soll ein Cisco Router sein, welcher eben auf Grund der Phobien extra so konfiguriert worden sein soll. Aber das ist schon einige Jährchen her, denn für die heutige Umstellung auf das unlimited Produkt muss sogar der Router getauscht werden.

Die Auskunft stammt übrigens von einem 2nd Level Supporter an der Business Hotline.

lg
Tellme

Weisst du noch den Namen desjenigen?
Dann werd ich gleich ein Wörtchen mit dem Reden. :)

Für ein Unlimited braucht man normalerweise keinen eigenen Router. Vielleicht wars schon ein älteres Modell und er wurde gleich im Zuge der Umstellung getauscht.

@harry
Bist Du vielleicht ein Telekom Mitarbeiter?
Dann würde ich auch mal Deine Hilfe benötigen
lg Peter

ja bin ich. Schreib ne PM was genau du brauchst. Danke