[Modul Request]Echtzeit-Analyse des Netzwerkverkehrs mit ntopng auf FritzBox

[HeikoGr]

Disclaimer: Ich sehe das Thema nicht ganz so schwarz wie JoWiemann - möchte aber davor warnen das Thema nicht ernst zu nehmen.
Letztlich ist jeder selbst für sein handeln verantwortlich!

Ich wollte nur darauf hinweisen, dass es kritisch sein kann.

Sorry aber das ist doch Unsinn, ich werde mir von niemand verbieten lassen dass ich mir den Netzwerktraffic der über mein privates Netzwerk läuft, zu analysieren.

Ersteinmal nachvollziehbar, aber unter Umständen brandgefährlich.
https://www.informationssicherheit-aktuell.de/fritzbox-der-spion-im-eigenen-haus/ geht ganz gut auf den Paketmitschnitt ein:

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer.

Hinweis: Die Paragrafen stimmen so nicht mehr.

Genau das selbe macht eigentlich jede IDS/IPS, selbst Antispam oder Antimalwar Lösungen analysieren Daten.

1. Arbeiten diese Systeme anders. In der Regel sollten sie die Daten nicht speichern.
2. Kenne ich niemanden der Privat IDS/IPS betreibt - In Firmen sollte es dann eine Betriebsvereinbarung zum Betrieb dessen geben.
3. DSGVO: Grundsatz der Zweckbindung oder Zweckbestimmung. Es wird also nicht ohne Anlass gehandelt
4. werden auch IDS/IPS (und SSL Proxys) von Datenschützern kritisch gesehen. Und nur weil jemand anderes etwas macht ist es nicht gleich legal.

Genauso wie ich mein Grundstück mit Kameras überwache.

So lange du keinen öffentlichen Weg damit "mit überwachst" - vermutlich kein Problem

Schlusswort
Wenn sich die Diskussion weiter in Richtung "legal - illegal - sch...egal' entwickelt bin ich raus. Dafür ist mir die Zeit zu schade.

[schka17]

[quote
1. Arbeiten diese Systeme anders. In der Regel sollten sie die Daten nicht speichern.
2. Kenne ich niemanden der Privat IDS/IPS betreibt - In Firmen sollte es dann eine Betriebsvereinbarung zum Betrieb dessen geben.
3. DSGVO: Grundsatz der Zweckbindung oder Zweckbestimmung. Es wird also nicht ohne Anlass gehandelt
4. werden auch IDS/IPS (und SSL Proxys) von Datenschützern kritisch gesehen. Und nur weil jemand anderes etwas macht ist es nicht gleich legal.
So lange du keinen öffentlichen Weg damit "mit überwachst" - vermutlich kein Problem

[/quote]

Normalerweise äussere ich mich nicht in solchen Diskussionen, da habe ich beruflich genug damit zu tun, aber manchmal regt mich diese Ermahnungsmentalität einfach auf, Hinweise sind ja gut und nett aber es wird halt manchmal etwas übertrieben .

Zu Punkt 1. Selbstverständlich werden die Daten für forensische Analysen gespeichert, man kann sogar automatisiert PCAP Files erstellen und damit dann auch den Paketinhalt analysieren. Kann man natürlich auch aussschalten.
2. Macht mittlerweile jeder der zuhause ein Unifi USG, Sophos, Opnsense, Pfsense etc. hat., und hier geht es ja natürlich nur um das private Netzwerk.
3. DSGVO trifft im privaten Netzwerk hier nicht zu, und in Österreich sind manche Dinge auch sehr einfach z.b. Mit einer Betriebsvereinbarung geregelt.
4.  Kritisch sehen heisst gar nichts und es ist in keiner Weise verboten. Und wenn ich mir so anschaue was man mit den Checkpoints, Palo Alto, Fortinets usw schon alles macht, auch mit SSL verschlüsselten Daten, dann ist das was Ntong liefert harmlos. Und das mit den Kameras ist definitiv kein Problem

Hinzufügen muss ich jetzt auch noch dass Ntopng keine Paketdaten (also den Inhalt) aufzeichnet , sondern nur die Networkflow, also wer mit wem und mit welchen Protokoll kommuniziert hat. Das ist vergleichbar mit den Anrufdaten der Fritzboxen die mittlerweise auch sehr verbreitet sind, und darüber denkt niemand nach!

Mir hat das jedenfalls schon viel bei Fehlersuchen oder Optimierungen geholfen. Auch den einen oder anderen Angriff abzuwehren bzw. Abwehrmaßnahmen zu verbessern.

Aber es sollte wirklich die ursprüngliche Frage im Vordergrund stehen, da kann ich leider nicht viel beitragen, ich nutze sowohl FHEM als auch Ntopng schon sehr lange hatte aber nie den Bedarf das irgendwie zu integrieren da es sich hier um ganz unterschiedliche Aufgaben handelt. Ich hatte mal mit Grafana ein paar Dashboards erstellt und im Iframe dargestellt, aber eigentlich nie verwendet daher wieder ausgebaut.




Sent from my iPad using Tapatalk

[HeikoGr]

Wenn du beruflich damit zu tun hast hoffe ich, dass wir nicht im gleichen Unternehmen arbeiten

Komisch. Und ich dachte echt die DSGVO sei Europarecht...

Deine Antworten gehen alle in Richtung meiner Anmerkung oben: nur weil andere es auch machen, ist es nicht immer legal.

Und Darauf Hinweisen ist was anderes als ermahnen. Wie ich schon schrieb: alles in eigener Verantwortung! Ich persönlich sehe das auch nicht immer so streng - wenn aber ein Familienmitglied Berufsgeheimnisträger ist sind wir (siehe Zitat oben) im strafbewehrten Bereich.

Was ntopng mit den Daten macht weiss ich nicht, aber an der Fritzbox werden mit dem Script von oben ALLE Daten abgegriffen.



Gesendet von iPhone mit Tapatalk

[schka17]

Wenn du beruflich damit zu tun hast hoffe ich, dass wir nicht im gleichen Unternehmen arbeiten
[\quote]
Eher nicht, die zwei Personen die bei mir arbeiten kenne ich.

Komisch. Und ich dachte echt die DSGVO sei Europarecht...
[\quote]

Natürlich, aber dort geht es darum wie man die Daten natürlicher Personen verarbeitet und um den Schutz der schützenswerten Daten dieser natürlichen Personen, ist es sehr simplifiziert, aber deswegen in diesem Umfeld praktisch nicht umsetzbar.

Deine Antworten gehen alle in Richtung meiner Anmerkung oben: nur weil andere es auch machen, ist es nicht immer legal.

Da sind wir uns einig!

Und Darauf Hinweisen ist was anderes als ermahnen. Wie ich schon schrieb: alles in eigener Verantwortung! Ich persönlich sehe das auch nicht immer so streng - wenn aber ein Familienmitglied Berufsgeheimnisträger ist sind wir (siehe Zitat oben) im strafbewehrten Bereich.

mit dem Ermahnen wollte ich nicht dich ansprechen, hinweisen ist schon in Ordnung. Das is ganz sicher ein wichtiger Punkt( aber eher weniger verbreitet als IDS/IPS) und sehe ich auch so, aber dafür gibt es bei mir eine Netzwerksegmentierung, private und berufliche Geräte und Daten sind streng getrennt und beruflicher Datenkommunikation nur über VPN.

Was ntopng mit den Daten macht weiss ich nicht, aber an der Fritzbox werden mit dem Script von oben ALLE Daten abgegriffen.



Gesendet von iPhone mit Tapatalk

[r00t2]

Ihr und eure Fullquotes

Und nein, meinerseits soll das Thema keinesfalls in Richtung "Legal, illegal, sch-egal" gehen.

Zum Thema: Soweit ich das raus gefunden habe speichert ntopng die Daten nicht, sondern wertet diese nur aus - ähnlich wie z. B. die Anzeige eines Taskmanagers/Prozessmanagers.

Sprich: Durch das Skript wird ein ständiger "Flow" an Daten in ntopng geschleust (ähnlich einem FIFO Speicher). Aus denen zieht ntopng seine Statistiken und Metriken. Dabei werden wohl keine (Daten)inhalte gespeichert, sondern nach der Verwertung der Informationen (wie z. B. verwendetes Protokoll, Größe des Datenpakets, verwendete Ports, IPs, etc.) werden die Daten aus dem Strom verworfen und durch neue aufgefüllt.

Die Statistikdaten werden dann sehr wohl gespeichert. Wobei ich das persönlich nicht so eng sehen würde, da aus den Statistiken (vermutlich) keine einzelnen Datenpakete und schon gar kein Inhalt derer mehr rekonstruiert werden können. Die gespeicherten Statistikdaten sehe ich dann persönlich eher so wie z. B. die Telefonliste der FritzBox CallList oder die Daten der diversen Presence-Abfragen, die mit FHEM möglich sind und in den Logfiles landen.

[Elektrolurch]

Hallo,

ich war viele Jahre als IT-Sicherheitsbeauftragter tätig und kenne die Diskussionen mit dem Datenschutz aus dem FF.
Wenn Daten mitgeschnitten werden, dann gilt eine Zweckbindung, z.B. die IT-Sicherheit. Wie soll man ansonsten Angriffe auf das interne Netz überhaupt nachweisen, wenn man nicht zumindestens die URLs aufzeichnet? Auch raucht man diese z.B. um dieverse Filter (Jugendschutz, bekannte Seiten mit Schadenswirkungen etc. sperren zu können.
Solange die mitgeschnittenen Daten nicht zur Arbeits-, Leistungs- und Verhaltenskontrolle benutzt werden (wie z.B. es alle Tracking Cookies ja doch machen oder google über google - Analytics, sondern zweckgebunden zur Absicherung des Netzwerkes gegen Einbruch und Schadenswirkungen, ist das Aufzeichnen der URLs zumindest nach meinen Kenntnissen in Ordnung.
Wir hatten z.B. fast jeden Tag Virenalarme auf PCs und konnten über die aufgezeichneten Daten dann die URLs als Verursacher identifizieren und sperren.

Elektrolurch

[r00t2]

Danke für Deine Einschätzung!

Bitte bei der Diskussion nicht aus den Augen verlieren dass es (mir) primär nicht um den Einsatz in einem Unternehmen geht, sondern im Privathaushalt.

Ich denke beim Einsatz in Unternehmen sind wir uns einig, dass die Rechtsvorschriften so klar sind, dass alle Beteiligten einer (ggf. zeitlich begrenzten) Aktion (bestenfalls schriftlich) zustimmen müssen, ehe sie anlaufen darf.

[HeikoGr]

Der Vollständigkeit-halber:

die ct hat folgendes Projekt am laufen, in welcher ein Raspberry-Pi als Mitm Proxy die laufenden Verbindungen auswerten kann.
https://github.com/ct-Open-Source/ctraspion

Leider wird (auch) hier - meiner Meinung nach - vollkommen unzureichend auf den Datenschutz eingegangen. Zumindest in der gedruckten Ausgabe hätte ich einen deutlichen Hinweis dazu erwartet...