tool zur netzwerkkontrolle

[groove-i.d]

ahoi!

ich würde gerne wissen, ob es ein tool zur überprüfung meines (wlan-) netzwerks gibt. mich würde beispielsweise interessieren, wer gerade an unserm netzwerk hängt, wieviel derjenige gerade saugt und wie es mit der allgemeinen stabilität aussieht.

manchmal is unser netz so saulangsam, daß ich glaube, irgendwer hat sich da eingehackt.

sollte das bordeigene netzwerkdienstprogramm unter anderem dafür geegnet sein, würde mir das reichen. dann bräuchte ich dazu allerdings eine kleine anleitung, weil ich es nicht sporadisch kennengelernt habe.

danke für die hilfe!

 

[hwschroeder]

Eigentlich müsste Dein Accesspoint das doch hergeben, in dem er Dir eine "Station List" anzeigt der momentan per WLAN konnektierten Teilnehmer.
Meine Netgear WG602 bieten dass und auch im WLAN des Zyxsel (Arcor WLAN Modem200) oder einem AP von Lucent Orinoco habe ich dass schon gesehen.

Falls Du eine FritzBox hast, gibts ein entsprechendes Bandbreitenmanagement in der Fritz selbst.

Und um zu wissen, ob Dein WLAN gehackt wurde, änder einfach mal den WPA... oder schalt den MacAdressFilter zu, dann solltest Du eigentlich alle "Bösen Buben" aus Deinem WLAN draussen lassen können.

Poste mal bitte, wie Deine Infrastruktur gestrickt ist.

 

[MacMark]

Wenn du bestimmte Ports weiterleitest vom DSL-Router zu lokalen Rechner, dann rechne damit, daß Skriptprogramme von außen gelegentlich versuchen, sich zu verbinden. Da sie gerne eine Liste von Paßworten und Loginnamen abarbeiten, kann das schon etwas stören. Abhilfe ist, wenn man ungewöhnliche Ports weiterleitet, beispielsweise ssh, falls du das nutzt, nicht auf 22, sondern anderswo. Damit schaltet man den Anteil der dummen Skripte schonmal aus.

 

[groove-i.d]

vielen dank, Ihr beiden.
das sind ein paar infos, für welche ich etwas mehr zeit brauche, als ich heute habe.
ich seh' mir das alles mal in ruhe an und meld emich dann wieder.

die idee mit der mac-filterung habe ich auch schon erwogen.
wie geht das genau und am einfachsten?
in dem moment, wo alle zugelassenen leute am rechner hängen und man im router-konfigprogramm ihre adressen aufgelistet bekommt, genau diese zulassen?

ich hatte damals keine möglichkeit in dem konfigprogramm gefunden, die macadressen manuell einzugeben.

 

[Kiteman]

Also ich würde vielleich gleich ein (W)Lan-Sniffer mir ziehen, mit dem Du den Netzwerktraffic monitoren/filtern kannst. Eines der herausragenden Tools aus dem Open Source Bereich ist Ettercap -> ettercap.sourceforge.net.

Aber Achtung, dieses Tool kann u. U. die privacy anderer Leute stören.

Kiteman

 

[hwschroeder]

Zum Thema XP und WPA hab ich im User Manual des 501 auf S.22ff auch noch einges gefunden, dass kannst Du mal nachschauen.
Und ansonsten, MAC Adress, dass muss ich mir nocheinmal anschauen, der einzige 501, den ich in den Fingern habe, steht da, wo meine VPN Verbindung im Moment nicht funktioniert , da muss ich wohl mal anrufen, "und den Stecker ziehen" lassen.

 

[AhabDE]

Was du haben willst, ist das kleine Tool ntop, es zeigt dir genau an was in deinem LAN passiert, ohne jedoch wie ein sniffer den gesamten Pakteinhalt zu lesen - die packetheader reichen ja für deine Infos.

 

[hwschroeder]

Öhmmmm, hast Du auch mal eine kleine Anleitung zu ntop unter OSX? Ich habe gesehen, es da einen Webaccess, aber wo und auf welchem Port?

Ich hab mir da das 5MB Packet von sourceforg geladen, installiert und mit /usr/local/ntop-3.2/bin/ntop -u <user> -i mal versucht auszuprobieren, da tut aber nix im Terminal und auch nicht in nem Fenster oder so ??????

 

[Moriarty]

Sowas ist schon eine coole Sache...

...habe z.B. auch manchmal den Verdacht, dass z.B. mein Nachbar auf meinem WLAN mitsurft. Könnte ich das eindeutig nachweisen, evtl. sogar die Seiten, die er ansurft?

So nach dem Motto, ihn draussen auf dem Hof vor allen anderen ansprechen: "Ach, wie wars denn gerstern abend so auf *******.de?"

Gibt es ein einfaches Tool, welches ohne viel Aufwnad mir als Besitzer des WLANs ermöglicht, eine Liste zu sehen mit allen "Zugreifern" und was diese grad machen?

Kann mir vorstellen, dass jeder Netzwerkbesitzer an sowas interessiert wäre... bisher finde ich nur komplizierte Tools mit Terminal-artiger Bedienung...

Gruß
Dennis

 

[astraub]

Hallo,

wenn Ihr einen Apple Accesspoint verwendet, könnt Ihr die Apple Airport Tools (rechte Seite -> Airport Management Tools) verwenden. Die Client Utility zeigt Euch an wie gut der Client empfängt, das "grosse" Admintools zeigt Euch (leider nur auf PPC Macs) alle Clients an - dies lässt sich auch loggen.

Gruss
Andreas

 

[MacMark]

Access Points (APs) und ähnliche Geräte schreiben Logfiles, die man sich ansehen/runterladen kann.

APs zeigen zur Laufzeit (in ihrer Weboberfläche zur Administration beispielsweise) an, welche Netzwerkkarte gerade mit dem AP verbunden ist. Aber: Netzwerkkarten-IDs (MAC-Addressen) lassen sich leicht fälschen.

 

[AhabDE]

Öhmmmm, hast Du auch mal eine kleine Anleitung zu ntop unter OSX? Ich habe gesehen, es da einen Webaccess, aber wo und auf welchem Port?

Ich hab mir da das 5MB Packet von sourceforg geladen, installiert und mit /usr/local/ntop-3.2/bin/ntop -u <user> -i mal versucht auszuprobieren, da tut aber nix im Terminal und auch nicht in nem Fenster oder so ??????

1. darwin-port von ntop installieren.
2. Doku von ntop Webmodus lesen.
3. Per Safari sich die Ergebnisse vom ntop-Server (http://localhost:[dein gesetzter port beim Starten von ntop]) ansehen und verstehen lernen. Ist aber sehr übersichtlich.

 

[MacMark]

Bei Fink gibt es auch ntop für OS X
http://pdb.finkproject.org/pdb/package.php/ntop

 

[AhabDE]

ntop muss übrigens als root laufen, also im terminal bitte so starten:

sudo /usr/local/ntop-3.2/bin/ntop -w 666 -i en1

wobei, hier ntop den webserver mit port 666 nimmt und auf dem airport interface (en1) lauscht.

Dann mit http://localhost:666 sehen was im LAN passiert.

 

[MacMark]

...
wobei, hier ntop ... auf dem airport interface (en1) lauscht.

Wechselt ntop den Treiber für Airport aus? Es muß die Karte im Passivmodus betreiben, um alles erlauschen zu können.

 

[pepi]

ntop arbeitet einfach im Promiscuous mode, mehr nicht. Mittels SNMP könntest Du auch noch Deinen Router befragen was sich so tut. Die DHCP Table gibt evt. ein wenig Auskunft darüber welche IPs an wen vom Router vergeben wurden. Das hilft allerdings nichts, wenn der vermeintliche Eindringling sich selbst manuell eine IP zugewiesen hat.
Manche Router können auch DNS Logs schreiben und so mitteilene, welche Seiten angesurft wurden. (zB Netgear)

Gibt es denn begründeten Verdacht auf Misbrauch? Wie hast Du Dein WLAN abgesichert?
Gruß Pepi

 

[hwschroeder]

ntop ..... uh ha, (Terminal)

So ein Megaterminal, 2h und 300MB download und dann am Ende Error

Darwinports installiert und dann im Termin gerademal s.u. eingegeben.
Jemand eine Idee (Error am Ende)



:~ hwschroder$ sudo port install ntop
---> Fetching libiconv
---> Attempting to fetch libiconv-1.10.tar.gz from ftp://ftp.gnu.org/gnu/libiconv
---> Verifying checksum(s) for libiconv
---> Extracting libiconv
---> Configuring libiconv
---> Building libiconv with target all
---> Staging libiconv into destroot
---> Packaging tgz archive for libiconv 1.10_1+darwin_8
---> Installing libiconv 1.10_1+darwin_8
---> Activating libiconv 1.10_1+darwin_8
---> Cleaning libiconv
---> Fetching gettext
---> Attempting to fetch gettext-0.14.6.tar.gz from ftp://ftp.gnu.org/gnu/gettext
---> Verifying checksum(s) for gettext
---> Extracting gettext
---> Applying patches to gettext
---> Configuring gettext
---> Building gettext with target all
---> Staging gettext into destroot
---> Packaging tgz archive for gettext 0.14.6_0
---> Installing gettext 0.14.6_0
---> Activating gettext 0.14.6_0
---> Cleaning gettext
---> Fetching gawk
---> Attempting to fetch gawk-3.1.5.tar.bz2 from ftp://ftp.gnu.org/gnu/gawk
---> Verifying checksum(s) for gawk
---> Extracting gawk
---> Applying patches to gawk
---> Configuring gawk
---> Building gawk with target all
---> Staging gawk into destroot
---> Packaging tgz archive for gawk 3.1.5_2
---> Installing gawk 3.1.5_2
---> Activating gawk 3.1.5_2
---> Cleaning gawk
---> Fetching XFree86
---> Attempting to fetch XFree86-4.5.0-src-1.tgz from http://distfiles-od.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-1.tgz from http://distfiles-msn.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-1.tgz from http://distfiles-bay13.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-1.tgz from http://distfiles-od.opendarwin.org/
---> Attempting to fetch XFree86-4.5.0-src-2.tgz from http://distfiles-od.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-2.tgz from http://distfiles-msn.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-2.tgz from http://distfiles-bay13.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-2.tgz from http://distfiles-od.opendarwin.org/
---> Attempting to fetch XFree86-4.5.0-src-3.tgz from http://distfiles-od.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-3.tgz from http://distfiles-msn.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-3.tgz from http://distfiles-bay13.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-3.tgz from http://distfiles-od.opendarwin.org/
---> Attempting to fetch XFree86-4.5.0-src-4.tgz from http://distfiles-od.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-4.tgz from http://distfiles-msn.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-4.tgz from http://distfiles-bay13.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-4.tgz from http://distfiles-od.opendarwin.org/
---> Attempting to fetch XFree86-4.5.0-src-5.tgz from http://distfiles-od.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-5.tgz from http://distfiles-msn.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-5.tgz from http://distfiles-bay13.opendarwin.org/XFree86
---> Attempting to fetch XFree86-4.5.0-src-5.tgz from http://distfiles-od.opendarwin.org/
---> Verifying checksum(s) for XFree86
---> Extracting XFree86
---> Applying patches to XFree86
---> Configuring XFree86
---> Building XFree86 with target World
---> Staging XFree86 into destroot
---> Packaging tgz archive for XFree86 4.5.0_2
---> Installing XFree86 4.5.0_2
---> Activating XFree86 4.5.0_2
Error: Target com.apple.activate returned: Image error: /usr/X11R6/include/DPS/ColorSB.h already exists and does not belong to a registered port. Unable to activate port XFree86.
Error: The following dependencies failed to build: gd2 XFree86 freetype zlib jpeg libpng gdbm libpcap
Error: Status 1 encountered during processing.

 

[groove-i.d]

uiii, das is ja regelrecht explodiert in den letzten stunden.

ntop sehe ich mir mal genauer an. leider weiß ich jetzt schon, daß ich "dumme" fragen, weil unerfahren, haben werde.

sacht mal, mit dem netzwerkdienstprogramm kann ich da gar nix in der richtung ausloten?

 

[groove-i.d]

Gibt es denn begründeten Verdacht auf Misbrauch? Wie hast Du Dein WLAN abgesichert?
Gruß Pepi

ahoi!
gute frage und ich fühle mich mal angesprochen.
da ich nicht alles so öffentlich ausposaunen möchte - nehmt's nicht persönlich -, frage ich mal gegen:

reicht wep-verschlüsselung aus?
ich habe dies wählen müssen, weil andere hausbewohner nicht anders dekodieren/codieren können.

damit es unsere nachbarn "sehen" können, habe ich es sichtbar gelassen.

was sag(s)t Ihr/Du?

 

[MacMark]

a) WEP kann in Sekunden geknackt werden. In wenigen Sekunden.
b) Die Sichtbarkeit oder Nichtsichtbarkeit bringt keinen Sicherheitsgewinn.
c) MAC-Adressen lassen sich kinderleicht fälschen.

Deine einzige Chance ist WPA mit sicherem Paßwort. Sinnlose, lange Kombination aus verschiedensten Zeichen, groß und klein, alles gemixt.