Hallo zusammen,
durch Zufall bin ich auf das Tool "(ntopng (https://www.ntop.org/)" gestoßen (Github hier: https://github.com/ntop/ntopng).
Das ist ein Web-basierter passiver Echtzeit-Netzwerkanalyzer, der unter anderem auch mit dem PCAP Format (was auch von Wireshark verwendet wird) umgehen kann.
Für FritzBoxen gibt es ein nettes Skript (https://github.com/ntop/ntopng/blob/dev/tools/fritzdump.sh), welches auf einem Linux System dafür sorgt, dass man - ohne weitere Zusatz-Tools - sämtlichen Datenverkehr, der durch die FritzBox geht direkt per Pipe in ntopng zur Verfügung hat.
So sieht man nicht nur, wie viele Daten rein oder raus gehen, sondern auch welcher Client im Heimnetz mit welchem externen Server Daten austauscht und über welches Protokoll das läuft.
Könnte man über die ntopng API (hier verfügbar: https://www.ntop.org/guides/ntopng/api/) ein Modul für FHEM bauen, was einem diverse Readings zur Verfügung stellt, sodass man nicht zwei Benutzeroberflächen benötigt?
Ich stelle mir das so ähnlich vor wie das FHEM FritzBox Modul mit TR-064 (https://wiki.fhem.de/wiki/FRITZBOX).
Wäre schön, wenn sich jemand mit Sachverstand die Infos mal ansieht und es vielleicht in ein neues Modul gießen kann.
Danke!
Klingt interessant.
Wirft aber mit Sicherheit neben einer Menge Daten auch rechtliche Fragen (je nach Nutzerkreis der Fritzbox) auf.
Das Script wird jedoch mit FritzOS >= 7 vermutlich nicht ohne Anpassung funktionieren.
In welcher Hinsicht meinst Du rechtliche Fragen?
Das Skript ist vom 27. August 2018 - da war es vermutlich mit FritzOS 7 noch nicht so weit her. Was für Anpassungen meinst Du werden ggf. notwendig sein?
Zitat von: HeikoGr am 28 Oktober 2019, 15:34:59
Klingt interessant.
Wirft aber mit Sicherheit neben einer Menge Daten auch rechtliche Fragen (je nach Nutzerkreis der Fritzbox) auf.
Das Script wird jedoch mit FritzOS >= 7 vermutlich nicht ohne Anpassung funktionieren.
Das Mitschneiden von Telefongesprächen und im allgemeinen von Datenverkehr (auch im privaten Bereich) ist in Deutschland grundsätzlich verboten. Es muss also sichergestellt werden, dass hier durch das Script keinerlei Daten mitgeschnitten werden.
Grüße Jörg
JoWiemann war schneller:
Datenschutz. Wenn du die Fritzbox nicht zu 100% alleine nutzt.
Das gilt aber nicht nur für Telefongespräche! Auch E-Mails, Chats, URL-Verläufe...
FritzOS7:
Sorry, mein Fehler. Ich dachte FritzOS 7 hätten das cgi-bin Verzeichnis nicht mehr. hab aber gerade nachgeschaut: Das URL Schema von dem Capture Script ist noch gültig. cgi-bin/capture_notimeout gibt's noch.
Zitat von: HeikoGr am 28 Oktober 2019, 15:46:56
Datenschutz. Wenn du die Fritzbox nicht zu 100% alleine nutzt.
Sorry, aber Datenverkehr bedeutet auch meistens eine externe Kommunikation. Und auch hier gilt: Das Mitschneiden ist verboten.
Es muss also sichergestellt werden, dass nur der interne Datenverkehr gemonitort wird.
Grüße Jörg
Zitat von: JoWiemann am 28 Oktober 2019, 15:46:34
Das Mitschneiden von Telefongesprächen und im allgemeinen von Datenverkehr (auch im privaten Bereich) ist in Deutschland grundsätzlich verboten. Es muss also sichergestellt werden, dass hier durch das Script keinerlei Daten mitgeschnitten werden.
Danke Dir für die Erklärung.
Also darf ich vom Prinzip her - auch wenn ich der einzige Nutzer in meinem Heimnetz bin - nicht mitlesen, was für Daten von meinem PC aus an diverse Webserver rein und raus gehen, wenn ich surfe bzw. ich darf nicht anschauen, welche Daten mein Smart-TV alles sendet und empfängt, wenn er online ist?
Eiderwei... :-\
Zitat von: r00t2 am 28 Oktober 2019, 15:51:34
Danke Dir für die Erklärung.
Also darf ich vom Prinzip her - auch wenn ich der einzige Nutzer in meinem Heimnetz bin - nicht mitlesen, was für Daten von meinem PC aus an diverse Webserver rein und raus gehen, wenn ich surfe bzw. ich darf nicht anschauen, welche Daten mein Smart-TV alles sendet und empfängt, wenn er online ist?
Eiderwei... :-\
Na ja, Du kannst ja mal die Gegenstelle fragen, ob sie damit einverstanden ist. Jedenfalls hast Du ja zugestimmt, dass Dein Smart TV Daten an Dienstleister bereit stellt. Einfach mal den Spieß umdrehen.
PS: Bin mal gespannt auf die Antworten...
Grüße Jörg
Ich würde ein ganz klares: "es kommt darauf an!" in den Raum werfen.
Ein pauschales mitschneiden und analysieren des gesamten Datenverkehrs ist mit Sicherheit kritisch zu betrachten.
Alles andere ist eine Einzelfallbetrachtung. (Analyse, Debugging, etc.)
Und bevor jemand auf falsche Gedanken kommt: Auch die Metadaten (also ohne Inhalt) können schon kritisch sein.
Auf welche Gesetzeslage bezieht ihr euch dabei? Da mich das Thema wirklich interessiert möchte ich mich hier weitergehend einarbeiten.
Zitat von: r00t2 am 28 Oktober 2019, 16:00:04
Auf welche Gesetzeslage bezieht ihr euch dabei? Da mich das Thema wirklich interessiert möchte ich mich hier weitergehend einarbeiten.
https://www.admin-magazin.de/Das-Heft/2011/05/Was-beim-Sniffen-erlaubt-ist-und-was-nicht
Grüße Jörg
Den Artikel kenne ich, danke Dir dennoch!
Nur geht es dort in der Hauptsache um ein Firmenumfeld und die Beziehungen des Unternehmens zu den schutzwürdigen Daten seiner Mitarbeiter.
Ein ähnliches Thema wird hier ebenfalls behandelt: https://www.security-insider.de/netzwerkueberwachung-mit-wireshark-a-597584/
Aussage dort: "... Im privaten Umfeld des eigenen Netzwerks ist der Einsatz eher unkritisch, während in einem Firmennetz eine Erlaubnis einzuholen ist. ...".
Zitat von: r00t2 am 28 Oktober 2019, 16:18:13
Den Artikel kenne ich, danke Dir dennoch!
Nur geht es dort in der Hauptsache um ein Firmenumfeld und die Beziehungen des Unternehmens zu den schutzwürdigen Daten seiner Mitarbeiter.
Ein ähnliches Thema wird hier ebenfalls behandelt: https://www.security-insider.de/netzwerkueberwachung-mit-wireshark-a-597584/
Aussage dort: "... Im privaten Umfeld des eigenen Netzwerks ist der Einsatz eher unkritisch, während in einem Firmennetz eine Erlaubnis einzuholen ist. ...".
"...Im privaten Umfeld des eigenen Netzwerks ist der Einsatz eher unkritisch..." Privates Umfeld bedeutet, nur der Datenverkehr innerhalb Deines Netzes. Nicht der Datenverkehr von und ins Internet. Selbst der Datenverkehr in Deinem Netz bedarf der Zustimmung der Beteiligten. Die DS-GVO und auch das Telemediengesetz gilt für Alle.
[persönliche Stellungnahme]
Ich persönlich finde es einfach wichtig, dass wir das Thema Datenschutz und Privatsphäre ernst nehmen. Ich gehe auch nicht in den Zimmern meiner Kinder spionieren und monitore schon gar nicht deren Datenverkehr. Von meiner Frau mal ganz abgesehen... Aber das muss jeder für sich selber klären und dann verantworten.
[/persönliche Stellungnahme]
Grüße Jörg
Oh weh, da hab ich ein Fass aufgemacht, wie es scheint.
Aber darüber reden ist vielleicht ja sogar gut und hilft dem allseitigen Verständnis zur Problematik. Wenn es zu OT wird bzw. das Thema zu heiß wird, bitte Info an mich. Gerne ändere ich dann auch den Titel wenn erforderlich/gewünscht.
Persönlich halte ich es auch für eine absolut wichtige Sache den Datenschutz und die Privatsphäre zu respektieren und zu schützen. Es wäre vermutlich in diesem Fall zu erfragen, welche Daten ausgewertet werden und in welcher "Tiefe". Letztendlich stellen Tools wie z. B. der Windows Taskmanager auch schon Möglichkeiten zur Verfügung zu monitoren, welche Prozesse wie viel Datenpakete im LAN ein und ausgehend haben. Geht man einen Schritt weiter und schaut man z. B. mit netstat -abn welche Verbindungen von den Prozessen hergestellt sind, so hat man weitere Informationen, usw.
Und ein paar Fragen sind vielleicht auch genauer zu definieren: Wo hört "mein Netz" auf und wo fängt der andere Part an? Ist "mein Netz" alles hinter dem NAT?
Wäre in diesem Zusammenhang vielleicht sogar Software wie Pi-Hole bedenklich, wo man auch die Aktivitäten in der View "Clients over time" clientweise verfolgen kann und welche Seiten wann geblockt wurden?
Oder wie sieht es mit Dingen wie der FritzBox CallList aus. Immerhin werden hier auch persönliche Informationen (wer hat wann wen wie lange angerufen) gemonitored. Oder dem FritzBox Modul allgemein, welches mir monitored, welche Clients wann am LAN-Netz angemeldet sind?
Oder Tools wie netdata, die eine Vielzahl verschiedener Datenquellen "anzapfen" und monitoren können? https://www.admin-magazin.de/Das-Heft/2018/09/Monitoring-mit-Netdata
Zitat von: r00t2 am 28 Oktober 2019, 16:50:16
Oh weh, da hab ich ein Fass aufgemacht, wie es scheint.
Aber darüber reden ist vielleicht ja sogar gut und hilft dem allseitigen Verständnis zur Problematik. Wenn es zu OT wird bzw. das Thema zu heiß wird, bitte Info an mich. Gerne ändere ich dann auch den Titel wenn erforderlich/gewünscht.
Persönlich halte ich es auch für eine absolut wichtige Sache den Datenschutz und die Privatsphäre zu respektieren und zu schützen. Es wäre vermutlich in diesem Fall zu erfragen, welche Daten ausgewertet werden und in welcher "Tiefe". Letztendlich stellen Tools wie z. B. der Windows Taskmanager auch schon Möglichkeiten zur Verfügung zu monitoren, welche Prozesse wie viel Datenpakete im LAN ein und ausgehend haben. Geht man einen Schritt weiter und schaut man z. B. mit netstat -abn welche Verbindungen von den Prozessen hergestellt sind, so hat man weitere Informationen, usw.
Und ein paar Fragen sind vielleicht auch genauer zu definieren: Wo hört "mein Netz" auf und wo fängt der andere Part an? Ist "mein Netz" alles hinter dem NAT?
Wäre in diesem Zusammenhang vielleicht sogar Software wie Pi-Hole bedenklich, wo man auch die Aktivitäten in der View "Clients over time" clientweise verfolgen kann und welche Seiten wann geblockt wurden?
Oder wie sieht es mit Dingen wie der FritzBox CallList aus. Immerhin werden hier auch persönliche Informationen (wer hat wann wen wie lange angerufen) gemonitored. Oder dem FritzBox Modul allgemein, welches mir monitored, welche Clients wann am LAN-Netz angemeldet sind?
Oder Tools wie netdata, die eine Vielzahl verschiedener Datenquellen "anzapfen" und monitoren können? https://www.admin-magazin.de/Das-Heft/2018/09/Monitoring-mit-Netdata
Sorry aber das ist doch Unsinn, ich werde mir von niemand verbieten lassen dass ich mir den Netzwerktraffic der über mein privates Netzwerk läuft, zu analysieren. Genau das selbe macht eigentlich jede IDS/IPS, selbst Antispam oder Antimalwar Lösungen analysieren Daten. Genauso wie ich mein Grundstück mit Kameras überwache. Ich verwendete Ntopng sehr lange, mittlerweile habe ich was professionelleres. Mach dir keine Sorgen und mach es einfach.
Sent from my iPad using Tapatalk
Disclaimer: Ich sehe das Thema nicht ganz so schwarz wie JoWiemann - möchte aber davor warnen das Thema nicht ernst zu nehmen.
Letztlich ist jeder selbst für sein handeln verantwortlich!
Ich wollte nur darauf hinweisen, dass es kritisch sein kann.
Zitat von: schka17 am 28 Oktober 2019, 21:16:18
Sorry aber das ist doch Unsinn, ich werde mir von niemand verbieten lassen dass ich mir den Netzwerktraffic der über mein privates Netzwerk läuft, zu analysieren.
Ersteinmal nachvollziehbar, aber unter Umständen brandgefährlich.
https://www.informationssicherheit-aktuell.de/fritzbox-der-spion-im-eigenen-haus/ geht ganz gut auf den Paketmitschnitt ein:
ZitatWer sich nun frisch ans Werk macht, egal ob in seiner Behörde, seinem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahegelegt. Es handelt sich hier um kein Kavaliersdelikt, sondern um eine Straftat. Und das gilt auch für den Einsatz im heimischen privaten Netzwerk ohne Kenntnis der anderen Familienmitglieder / Nutzer.
Hinweis: Die Paragrafen stimmen so nicht mehr.
Zitat von: schka17 am 28 Oktober 2019, 21:16:18
Genau das selbe macht eigentlich jede IDS/IPS, selbst Antispam oder Antimalwar Lösungen analysieren Daten.
1. Arbeiten diese Systeme anders. In der Regel sollten sie die Daten nicht speichern.
2. Kenne ich niemanden der Privat IDS/IPS betreibt - In Firmen sollte es dann eine Betriebsvereinbarung zum Betrieb dessen geben.
3. DSGVO: Grundsatz der Zweckbindung oder Zweckbestimmung. Es wird also nicht ohne Anlass gehandelt
4. werden auch IDS/IPS (und SSL Proxys) von Datenschützern kritisch gesehen. Und nur weil jemand anderes etwas macht ist es nicht gleich legal.
Zitat von: schka17 am 28 Oktober 2019, 21:16:18
Genauso wie ich mein Grundstück mit Kameras überwache.
So lange du keinen öffentlichen Weg damit "mit überwachst" - vermutlich kein Problem
SchlusswortWenn sich die Diskussion weiter in Richtung "legal - illegal - sch...egal' entwickelt bin ich raus. Dafür ist mir die Zeit zu schade.
[quote
1. Arbeiten diese Systeme anders. In der Regel sollten sie die Daten nicht speichern.
2. Kenne ich niemanden der Privat IDS/IPS betreibt - In Firmen sollte es dann eine Betriebsvereinbarung zum Betrieb dessen geben.
3. DSGVO: Grundsatz der Zweckbindung oder Zweckbestimmung. Es wird also nicht ohne Anlass gehandelt
4. werden auch IDS/IPS (und SSL Proxys) von Datenschützern kritisch gesehen. Und nur weil jemand anderes etwas macht ist es nicht gleich legal.
So lange du keinen öffentlichen Weg damit "mit überwachst" - vermutlich kein Problem
[/quote]
Normalerweise äussere ich mich nicht in solchen Diskussionen, da habe ich beruflich genug damit zu tun, aber manchmal regt mich diese Ermahnungsmentalität einfach auf, Hinweise sind ja gut und nett aber es wird halt manchmal etwas übertrieben .
Zu Punkt 1. Selbstverständlich werden die Daten für forensische Analysen gespeichert, man kann sogar automatisiert PCAP Files erstellen und damit dann auch den Paketinhalt analysieren. Kann man natürlich auch aussschalten.
2. Macht mittlerweile jeder der zuhause ein Unifi USG, Sophos, Opnsense, Pfsense etc. hat., und hier geht es ja natürlich nur um das private Netzwerk.
3. DSGVO trifft im privaten Netzwerk hier nicht zu, und in Österreich sind manche Dinge auch sehr einfach z.b. Mit einer Betriebsvereinbarung geregelt.
4. Kritisch sehen heisst gar nichts und es ist in keiner Weise verboten. Und wenn ich mir so anschaue was man mit den Checkpoints, Palo Alto, Fortinets usw schon alles macht, auch mit SSL verschlüsselten Daten, dann ist das was Ntong liefert harmlos. Und das mit den Kameras ist definitiv kein Problem
Hinzufügen muss ich jetzt auch noch dass Ntopng keine Paketdaten (also den Inhalt) aufzeichnet , sondern nur die Networkflow, also wer mit wem und mit welchen Protokoll kommuniziert hat. Das ist vergleichbar mit den Anrufdaten der Fritzboxen die mittlerweise auch sehr verbreitet sind, und darüber denkt niemand nach!
Mir hat das jedenfalls schon viel bei Fehlersuchen oder Optimierungen geholfen. Auch den einen oder anderen Angriff abzuwehren bzw. Abwehrmaßnahmen zu verbessern.
Aber es sollte wirklich die ursprüngliche Frage im Vordergrund stehen, da kann ich leider nicht viel beitragen, ich nutze sowohl FHEM als auch Ntopng schon sehr lange hatte aber nie den Bedarf das irgendwie zu integrieren da es sich hier um ganz unterschiedliche Aufgaben handelt. Ich hatte mal mit Grafana ein paar Dashboards erstellt und im Iframe dargestellt, aber eigentlich nie verwendet daher wieder ausgebaut.
Sent from my iPad using Tapatalk
Wenn du beruflich damit zu tun hast hoffe ich, dass wir nicht im gleichen Unternehmen arbeiten ;)
Komisch. Und ich dachte echt die DSGVO sei Europarecht...
Deine Antworten gehen alle in Richtung meiner Anmerkung oben: nur weil andere es auch machen, ist es nicht immer legal.
Und Darauf Hinweisen ist was anderes als ermahnen. Wie ich schon schrieb: alles in eigener Verantwortung! Ich persönlich sehe das auch nicht immer so streng - wenn aber ein Familienmitglied Berufsgeheimnisträger ist sind wir (siehe Zitat oben) im strafbewehrten Bereich.
Was ntopng mit den Daten macht weiss ich nicht, aber an der Fritzbox werden mit dem Script von oben ALLE Daten abgegriffen.
Gesendet von iPhone mit Tapatalk
Zitat von: HeikoGr am 29 Oktober 2019, 06:01:08
Wenn du beruflich damit zu tun hast hoffe ich, dass wir nicht im gleichen Unternehmen arbeiten ;)
[\quote]
Eher nicht, die zwei Personen die bei mir arbeiten kenne ich.
Zitat von: HeikoGr am 29 Oktober 2019, 06:01:08
Komisch. Und ich dachte echt die DSGVO sei Europarecht...
[\quote]
Natürlich, aber dort geht es darum wie man die Daten natürlicher Personen verarbeitet und um den Schutz der schützenswerten Daten dieser natürlichen Personen, ist es sehr simplifiziert, aber deswegen in diesem Umfeld praktisch nicht umsetzbar.
Deine Antworten gehen alle in Richtung meiner Anmerkung oben: nur weil andere es auch machen, ist es nicht immer legal.
Da sind wir uns einig!
Und Darauf Hinweisen ist was anderes als ermahnen. Wie ich schon schrieb: alles in eigener Verantwortung! Ich persönlich sehe das auch nicht immer so streng - wenn aber ein Familienmitglied Berufsgeheimnisträger ist sind wir (siehe Zitat oben) im strafbewehrten Bereich.
mit dem Ermahnen wollte ich nicht dich ansprechen, hinweisen ist schon in Ordnung. Das is ganz sicher ein wichtiger Punkt( aber eher weniger verbreitet als IDS/IPS) und sehe ich auch so, aber dafür gibt es bei mir eine Netzwerksegmentierung, private und berufliche Geräte und Daten sind streng getrennt und beruflicher Datenkommunikation nur über VPN.
Was ntopng mit den Daten macht weiss ich nicht, aber an der Fritzbox werden mit dem Script von oben ALLE Daten abgegriffen.
Gesendet von iPhone mit Tapatalk
Ihr und eure Fullquotes :)
Und nein, meinerseits soll das Thema keinesfalls in Richtung "Legal, illegal, sch-egal" gehen.
Zum Thema: Soweit ich das raus gefunden habe speichert ntopng die Daten nicht, sondern wertet diese nur aus - ähnlich wie z. B. die Anzeige eines Taskmanagers/Prozessmanagers.
Sprich: Durch das Skript wird ein ständiger "Flow" an Daten in ntopng geschleust (ähnlich einem FIFO Speicher). Aus denen zieht ntopng seine Statistiken und Metriken. Dabei werden wohl keine (Daten)inhalte gespeichert, sondern nach der Verwertung der Informationen (wie z. B. verwendetes Protokoll, Größe des Datenpakets, verwendete Ports, IPs, etc.) werden die Daten aus dem Strom verworfen und durch neue aufgefüllt.
Die Statistikdaten werden dann sehr wohl gespeichert. Wobei ich das persönlich nicht so eng sehen würde, da aus den Statistiken (vermutlich) keine einzelnen Datenpakete und schon gar kein Inhalt derer mehr rekonstruiert werden können. Die gespeicherten Statistikdaten sehe ich dann persönlich eher so wie z. B. die Telefonliste der FritzBox CallList oder die Daten der diversen Presence-Abfragen, die mit FHEM möglich sind und in den Logfiles landen.
Hallo,
ich war viele Jahre als IT-Sicherheitsbeauftragter tätig und kenne die Diskussionen mit dem Datenschutz aus dem FF.
Wenn Daten mitgeschnitten werden, dann gilt eine Zweckbindung, z.B. die IT-Sicherheit. Wie soll man ansonsten Angriffe auf das interne Netz überhaupt nachweisen, wenn man nicht zumindestens die URLs aufzeichnet? Auch raucht man diese z.B. um dieverse Filter (Jugendschutz, bekannte Seiten mit Schadenswirkungen etc. sperren zu können.
Solange die mitgeschnittenen Daten nicht zur Arbeits-, Leistungs- und Verhaltenskontrolle benutzt werden (wie z.B. es alle Tracking Cookies ja doch machen oder google über google - Analytics, sondern zweckgebunden zur Absicherung des Netzwerkes gegen Einbruch und Schadenswirkungen, ist das Aufzeichnen der URLs zumindest nach meinen Kenntnissen in Ordnung.
Wir hatten z.B. fast jeden Tag Virenalarme auf PCs und konnten über die aufgezeichneten Daten dann die URLs als Verursacher identifizieren und sperren.
Elektrolurch
Danke für Deine Einschätzung!
Bitte bei der Diskussion nicht aus den Augen verlieren dass es (mir) primär nicht um den Einsatz in einem Unternehmen geht, sondern im Privathaushalt.
Ich denke beim Einsatz in Unternehmen sind wir uns einig, dass die Rechtsvorschriften so klar sind, dass alle Beteiligten einer (ggf. zeitlich begrenzten) Aktion (bestenfalls schriftlich) zustimmen müssen, ehe sie anlaufen darf.
Der Vollständigkeit-halber:
die ct hat folgendes Projekt am laufen, in welcher ein Raspberry-Pi als Mitm Proxy die laufenden Verbindungen auswerten kann.
https://github.com/ct-Open-Source/ctraspion
Leider wird (auch) hier - meiner Meinung nach - vollkommen unzureichend auf den Datenschutz eingegangen. Zumindest in der gedruckten Ausgabe hätte ich einen deutlichen Hinweis dazu erwartet...