[OT] Erkennen von Tunneln

nes · Posted: Mon Sep 13, 2004 8:19 am Post subject: [OT] Erkennen von Tunneln

Mich würde es sehr interessieren, wie schwierig bzw. wie wahrscheinlich es ist, bestehende Tunnel z.b. über HTTP zu erkennen. Und nachdem hier einige wirkliche Fachleute sind ... nun, sorry für OT, ich bitte trotzdem um Hilfe.

Ich hab mir schon einiges rausgesucht zu dem Thema:
http://www.heise.de/security/artikel/print/43716
http://www.jfranken.de/homepages/johannes/vortraege/ssh3.de.html
http://helpdesk.rus.uni-stuttgart.de/~rustomfi/Firewalls/Grundlagen/tunnel.html

Bei der Heise-Url wird schon eingermassen darauf eingegangen, daß es für den Netzwerkadministrator schwierig, nicht aber unmöglich ist, Missbrauch ( z.B. bestehende SSL via HTTP - Tunnel ) zu erkennen. Aber wie wahrscheinlich ist es nun wirklich, daß eine Firma einen solchen "Missbrauch" auch tatsächlich entdeckt?

Konkret geht's um ein Tunnel SSH via HTTP welches am Tag vielleicht eine halbe Stunde, max. Stunde offen ist, ohne allzuviel Datenverkehr (Keine "Saugorgien").

lg., nes

PS: Bitte keine "Moralapostel"

Daß ein solches Vorgehen nicht hundertprozentig korrekt ist, ist mir selbst klar.

oscarwild · Posted: Mon Sep 13, 2004 9:49 am Post subject:

Moin nes,

die Wahrscheinlichkeit, eine getunnelte SSH zu erkennen, halte ich für äußerst gering. Der Tunnel bedient sich ja lediglich der Möglichkeiten, die das HTTP-Protokoll bereitstellt, und für SSH sollte die benötigte Bandbreite im "Grundrauschen" des Unternehmens untergehen.

Das hilft Dir aber natürlich auch nicht weiter, wenn gerade jemand zur falschen Zeit den Netzwerkverkehr aus anderen Gründen unter die Lupe nimmt, und Dich dabei zufällig entdeckt... ganz unabhängig von jeder Moral (ich hab das auch schon gemacht *g*) muß Dir klar sein, daß Dich das Deinen Kopf kosten kann (fristlose Kündigung)!
_________________
http://blog.selbsthilfenetzwerk-cannabis-medizin.de

ian! · Posted: Mon Sep 13, 2004 10:19 am Post subject: Re: [OT] Erkennen von Tunneln

amne · Posted: Mon Sep 13, 2004 5:57 pm Post subject:

Auch wenn die Wahrscheinlichkeit des erwischt werdens realativ gering ist würde ich das besser lassen. Die Sicherheitsrichtlinien in der Firma sind vermutlich nicht ohne Grund so, selbst wenn du nur zuhause mal checken willst ob der Rechner noch mit dem Update beschäftigt ist - aus der Sicht eines ständig nervösen und paranoiden Administrators könntest du in dieser Session ebenso gerade die wichtigsten Geschäftsgeheimnisse übertragen - ist ja schliesslich verschlüsselt und er kann nicht mal reinschauen.
_________________
Dinosaur week! (Ok, this thread is so last week)

nes · Posted: Mon Sep 13, 2004 6:11 pm Post subject:

Alles klar, hab's schon kapiert.

Danke Euch!

user · Apprentice Joined: 08 Feb 2004 Posts: 212

Die Wahrscheinlichkeit ist abhängig von Unternehmen, deren Infrastruktur, deren User und nicht zuletzt von deren paranoiden Admins :-)

Wenn du es darauf anlegt oder schon auf dem "kieker" bisst, so würde ich es nicht drauf anlegen.

Der Vergleich mit dem "Grundrauschen" gilt hier nicht, Grundrauschen schützt vor Entdecken nicht, da sehr wohl jeder einzelne "Ton" getrennt "gehört" bzw. protokolliert werden kann.
Blendet man alle Aufrufe aus, die unabhängig von mehreren Users kommen, so bleiben die speziellen Aufrufe übrig die nur von einem User stammen und die nur für ein Ziel bestimmt wiederholt vorkommen.
Stimmen jetzt die HTTP Header nicht mit dem Firmen Browser Header überein, kommen HTTP Post methods vor, wird nur exzessiv https verwendet, wiederholen sich die Aufrufe zynklisch auf die Sekunde genau, führt der selbe Aufruf stets zu unterschiedlichen Antwortdaten, so wird es schwer für dich gegenüber deinem Chef zu argumentieren, warum wieso weshalb dein Arbeitsplatz nicht das normale Userverhalten aufzeigt.

Besser Nachfragen ob dies oder jedes möglich und/oder erlaubt/verboten ist und mit dem richtigen Grund kannst du deine Arbeitsweise im Unternehmen verbessern. :-)

Ragin · l33t Joined: 14 Apr 2003 Posts: 776

Was aber noch keiner gesagt hat: Wie kann man das entdecken. Das wäre doch aus Adminsicht eher interessant

.
Hat da jemand eine Idee?

@amne: was mich schon Ewigkeiten beschäftigt....was ist das eigentlich für eine Dose in deinem Profilbild???
_________________
"Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird."

Clifford Stoll, amerik. Astrophysiker u. Computer- Pionier

nes · Posted: Tue Sep 14, 2004 7:34 am Post subject:

Ragin · l33t Joined: 14 Apr 2003 Posts: 776

Naja, aber dann suche ich eigentlich die Nadel im Heuhaufen.
Effektiv kann das in einem Firmennetzwerk so ziemlich alles sein. Wenn man nicht gerade Daten saugt fällt dies auch kaum auf, da der Traffic recht dürftig ist. Einzig eine lang bestehende Verbindung könnte dann ein Hinweis sein.
_________________
"Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird."

Clifford Stoll, amerik. Astrophysiker u. Computer- Pionier

nes · Posted: Tue Sep 14, 2004 10:30 am Post subject:

amne · Posted: Thu Sep 16, 2004 6:59 pm Post subject:

Ragin · l33t Joined: 14 Apr 2003 Posts: 776

Ahhhh...
Endlich sieht man dich mal in voller Größe

.
_________________
"Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird."

Clifford Stoll, amerik. Astrophysiker u. Computer- Pionier