Netzwerkanalyse Software

[zer0core]

Hallo Leute,

ich wurde von unserem Datenschutz beauftragt alternative Software zu finden für folgende Programme:
Wireshark
nmap
Eraser portable

Für Wireshark überlege ich Microsoft Network Monitor oder PRTG Network Monitor vorzuschlagen?
Kennt ihr da noch gute alternativen?

Bei der Anwendung nmap bin ich mir noch nicht schlüssig und denke evtl. an LANspy?

Nun benötige ich noch eine Anwendung zum sicheren Löschen von HDDs.

Ich bitte um einige Vorschläge.

Danke und Gruß

 

[Madman1209]

Hi,

sicheres Löschen: Windows Formatierung. Ab Windows Vista unwiederherstellbar, sofern nicht "schnell" Formatierung gewählt wird.

Oder geht es um einzelne Daten? Weil du "Löschen von HDDs" geschrieben hast...

VG,
Mad

 

[zer0core]

danke für die schnelle Antwort
aber dies sind die Anforderungen für eine sichere Löschung:
"Löschung analog BSI-Vorgaben für sensible Daten (bspw. Gutmann Methode, FIPS, DoD) muss unterstützt werden"

 

[Madman1209]

Hi,

ist aber vollkommener Nonsens... kein Datenrettungsunternehmen der Welt kann Daten nach einmaligem Überschreiben wiederherstellen. Da reicht die normale Windows-Formatierung, hierzu gibt es auch Arbeiten und Untersuchungen, die das eindeutig belegen.

VG,
Mad

Edit: Sagt übrigens das BSI selbst auch! Der Link zum BSI steht aber leider hier nicht auf der Whitelist (ernsthaft CB?).

h**ps://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m02/m02433.html

Es wird immer diskutiert, wie viele Durchläufe bei einer Überschreibprozedur nötig sind, damit die Daten sicher gelöscht sind. Untersuchungen von Forensik-Laboren haben gezeigt, dass bereits nach einem Durchlauf mit geeigneten Zeichenfolgen oder Zufallszahlen keine Daten mehr rekonstruiert werden konnten. Für den normalen Schutzbedarf ist also ein einmaliges Überschreiben mit einem zuverlässigen Werkzeug ausreichend.

 

[Atkatla]

nmap und wireshark sind Branchen-Standard. Aus welchem Grund wird dort eine Alternative benötigt bzw. was muss die Alternative erfüllen, was die "Originale" nicht können?

 

[Tritze1693]

Hi,

Nonsens? http://www.krollontrack.de/
Mit Festplatte öffnen und Magnetabriebreste auswerten kann die auch mehrmals Überschrieben worden sein .

Für Wireshark würde ich auch NetMon 3.4 empfehlen, mit den neusten Parsern ist der sogar besser als Wireshark.
Für nmap evt. Fing.
Und zum Datenlöschen evt. Wipe.

Grüße Tritze

 

[Benzer]

Für den normalen Schutzbedarf ist also ein einmaliges Überschreiben mit einem zuverlässigen Werkzeug ausreichend.

Es gibt durchaus Bereiche die über den "normalen Schutzbedarf" hinaus gehen.

Ich finde die Datenschutzbeauftragten auch immer witzig... aber meistens ist bei dem was die wollen doch was dran.

 

[Madman1209]

Hi,

@Tritze1693

ja, Nonsens. Auch KrollOntrack kann Daten nach dem Überschreiben nicht wieder herstellen, keine Chance. Frag einfach mal direkt per Mail an und frag nach einer Garantie, dass sie Daten wiederherstellen können, wenn sie komplett einmal überschrieben wurden. Wirst sehen was du da als Antwort kriegst

@Benzer

Den Daten selbst ist es aber relativ egal, ob sie "sensibel" sind oder nicht. Wenn sie physikalisch nicht mehr herstellbar sind sind sie nicht mehr herstellbar. Punkt.

VG,
Mad

 

[zer0core]

Es geht nur darum mehr Auswahl von Anwendungen zu haben.

Bei Audits im Netzwerkbereich ist unter Umständen ein Aufzeichnen und Analysieren des Netzwerkverkehrs erforderlich. Hierdurch ergeben sich u.a. folgende Anforderungen an die einzusetzende Software:
- Unterstützung von Ethernet, IEEE 802.11, PPP/HDLC, Bluetooth, USB, Token Ring, Frame Relay, FDDI und WLAN Schnittstellen
- Unterstützung des Promiscuous Mode
- Entschlüsselungssupport für IPSec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEB und WPA/WPA2
- Aufzeichnung von Netzwerkverkehr (IPv4 wie auch IPv6)
- "Deep Inspection" Funktion
- grafische Analyse und Auswertung der Aufzeichnungen
- Filtermöglichkeit bereits beim Aufzeichnen auf z.B. Source und/oder Destination IP, Source und/oder Destination Ports, etc.
- live View der Aufzeichnungsdaten
- Offline Analyse Möglichkeit
- Diagrammausgabe von Verbindungswegen
- Importieren von standardisierten "Capture Files" wie z.B. tcpdump (libcap), Pcap, iplog, cap, etc.
- Speicherungsmöglichkeit aller Aufzeichnungen in standardisieren "Capture Files" wie z.B. tcpdump (libcap), Pcap, iplog, cap, etc.
Hier wird Wireshark verwendet.

und nmap:
Für das Auffinden und die Analyse von IP benutzenden Systemen werden adäquate Funktion benötigt. Diese müssen mindestens folgende Anforderungen erfüllen:
- Netzwerküberprüfung durch IP (IPv4 und IPv6) Scans
- Erkennen von offenen, gefilterten oder geschlossenen TCP sowie UDP Ports auf Zielsystemen
- Auslesen der Timestamp's bei Antwortpaketen
- Möglichkeit zum Durchführen von TCP Null, FIN oder Xmas Scans
- Traceroute bzw. Hops Analyse
- Erkennungsmöglichkeit von OS Systemen und Diensten
- Steuerung der Scan Intensivität (Geschwindigkeit)
- Möglichkeiten zur Einrichtung von Spoof-Mac Scans
- Die Ergebnisausgabe muss mindestens im XML, TXT und HTML Format erfolgen können
- Möglichkeit zur Protokollierung aller Ergebnisse
- Grafische Oberfläche

 

[Benzer]

@Madman1209:

Das ist richtig.... aber es geht doch um die Empfehlung des BSI. Der Punkt den du ansprichst, wird nur für "nicht sensible" Daten empfohlen.

 

[Atkatla]

Visual Networks Systems (von Fluke Networks ausgekoppelt oder ausgegründet) bietet Lösungen an, die sowohl auf Netzwerkaudits (Network Performance Appliance) als auch Applikations/Endpunkt Detektion/Analyse anbieten.
http://www.visualnetworksystems.com/vpm (Dort auf Components klicken, ist ein modulares System).

Kostet aber richtig Asche und ist nicht mal so nebenbei in ein großes Netz integriert..

Dann gibt es noch Forensic-Appliances auf dem Markt. Man spiegelt den gewünschten Traffic über einen Mirror-Port aus und leitet ihn in die Appliance, die ihn dann auswertet. Es kommt halt drauf an, was man am Ende eigentlich machen will. Bevor man Lösungen sucht, muss man den Bedarf kennen.

Evtl. hilfreich, aberbei weitem nicht vollständig: http://www.forensicswiki.org/wiki/Tools:Network_Forensics

 

[Stratotanker]

Beim Netzwerksniffer haben wir früher Sniffer pro von Network Associates benutzt. Wurde dann aber aber von Wireshark abgelöst. Für das sichere Löschen von Festplatten haben wir früher VS-Clean vom BSI benutzt. Da VS-Clean auf DOS aufsetzt und nicht mehr supportet wird, sind wir für die neuen SAS Platten auf DBAN umgestiegen. DBAN wird vom BSI anerkannt, da es gemäß IT Grundschutz einen Verifikationslauf macht.

Für nmap führe ich mal Snort bzw.Sourcefire an. Eigentlich als IDS bzw.IPS gedacht kann es auch aktiv im Netzwerk arbeiten und Scans durchführen. Dafür nutzen die Sensoren aktive und passive Scans und führen alles in einer RNA (Realtime Network Awareness) Datenbank zusammen und warnen bei bekannten Lücken und offenen Ports.