also… bei grossen Firmen ist der Einsatz einer Firewall,
diverser Policies, Betriebsvereinbarungen über den Betrieb
der Rechner, disziplinarische Vorschriften für die Mitarbeiter,
usw. usw. häufig der aktuelle Stand der Dinge.
Üblicherweise kommt man von draussen nicht in das Firmennetz
rein, und von drinnen raus isses genauso schwer. Die
firmeninterne Hardware ist ohne Adminrechte installiert, und
keiner kommt anders raus, als ausdrücklich erlaubt. Ausser mit
der normalen Software (Standard-Browser) kann man die Firmengrenzen
(Proxies, Firewall und den Webwasher) nicht überschreiten, alle
zweifelhaften Seiten werden perse geblockt.
Soweit die Theorie… die Praxis kann dann unter Umständen doch
ein wenig abweichen. Denn, wenn man weiss wie, kommt man doch raus.
SSL wirds schon richten. Ein Tunnel und Port 443 ist das Loch,
durch das man schlüpfen kann.
Die Frage ist nur, welche Spuren hinterlässt man? Was ist
mit dem DNS-Namen, mit dem man sich stellvertretend für die
IP beim Aufbau der Route verbindet? Der Traffic und die
Datenpakete sind ja bei bestehender Verbindung verschlüsselt,
aber die beiden IP’s sind doch erkennbar… oder täusche ich
mich da?
Die Verbindung wird mit Zertifikaten authentifiziert, die
Verschlüssleung ist über TLS realisiert, aber zumindest beim
Aufbau der Verbindung sind doch imho Daten in „Klarschrift“
protokollierbar… (denke ich mir mal)
Die Frage lautet also: Was können aufmerksame Admins festellen,
wenn man ab und zu mal kurzzeitig Dinge tut, die man im
Firmennetz eigentlich nicht dürfte, selbst wenn es sich nur
um so harmlose Dinge wie einen kurzen Blick auf die Baby-Cam
im Kinderzimmer zuhause handelt?
Das kommt natürlich drauf an welchen Aufwand man treibt.
Man kann einfach den Port 443 über den Proxy nach draußen nutzen, ohne zu verschlüsseln. die Technik wirds vermutlich nicht mitkriegen, aber wenn der Admin hinschaut sieht er den Spaß natürlich.
Wenn man die Verbindung verschlüsselt, sieht er schon viel weniger.
Und wenn man dann noch den für Webseiten typischen Frage-Antwort-Rythmus nachspielt (Seitenanfrage - Serverantwort - Anfragen nach Bildern etc. - Serverantworten - Pause, wobei Anfrage kürzer als Antwort, aber auch die nicht sehr lang) ist an dem Datenstrom nichts mehr zu erkennen.
Weiterhin sichtbar bleiben aber die IP-Adressen. Wenn du regelmäßig eine Einwahl-IP-Adresse (also eine von einem normalen Hausanschluss) aufrufst, und das ist die einzige für die du SSL verwendest, dann ist das natürlich immer noch auffällig.
Wenn du eine wechselnde IP hast, dann vermutlich über dyndns, auch das merkt der Admin wenn er will. Du bräuchtest also noch eine Methode heimlich an die IP ranzukommen.
Also mit einigen Täuschungsmanövern kann man das ganze unsichtbar machen. Allerdings ist fraglich ob sich der Aufwand lohnt. Die Admins haben doch sicher auch besseres zu tun als deine DynDNS-Verwendungshäufigkeit mit der des Durchschnittsbürgers abzugleichen.
Die Frage ist nur, welche Spuren hinterlässt man? Was ist
mit dem DNS-Namen, mit dem man sich stellvertretend für die
IP beim Aufbau der Route verbindet? Der Traffic und die
Datenpakete sind ja bei bestehender Verbindung verschlüsselt,
aber die beiden IP’s sind doch erkennbar… oder täusche ich
mich da?
Im Prinzip richtig. Tunnel per 80, 443 oder auch 53 sind durchaus ein Problem und hinterlassen - außer den Endpoints - auch keine Spuren. Auffallend ist lediglich der hohe Datenverkehr zu einer bestimmten IP (oder IP-Gruppe bei Tunneln zu dynamischen IPs) oder ein übermäßig hohes Datenvolumen auf 53.
Viele andere Programme nutzen btw. ähnliche Methoden, Skype ist da so ein Ärgernis, das Teil kriegt man auch nur gesperrt, wenn man deren Server gleich ganz blockiert.
Paranoide Admins verwenden manchmal Zwangsproxys mit Whitelisting, aber so viel Arbeit kann sich ein kleineres Unternehmen natürlich gar nicht leisten.
Danke für eure Ausführungen. Das war wirklich sehr
aufschlussreich. Und im Zusammenwirken mit der moralischen
Instanz meines Gewissens bleibt mir nur der Schluß, diese
technische Möglichkeit künftig nicht zu nutzen.
Ich denke, ein Heimnetzwerk ist selten so gut gesichert
und überwacht, wie das Netzwerk einer grossen Firma. Und
ich denke, ein Problem entsteht dann, wenn das Firmennetz-
werk durch einen Rechner kompromittiert wird, der über
einen unerlaubten Tunnel im Firmennetz integriert wurde.
Also laß ich das liebr sein…
Die Frage lautet also: Was können aufmerksame Admins
festellen,
wenn man ab und zu mal kurzzeitig Dinge tut, die man im
Firmennetz eigentlich nicht dürfte, selbst wenn es sich nur
um so harmlose Dinge wie einen kurzen Blick auf die Baby-Cam
im Kinderzimmer zuhause handelt?
Neben der technischen Möglichkeit, das klare Verbot der privaten Internet-Nutzung zu umgehen, sollte man disziplinarische Maßnahmen nicht außer acht lassen.
Je nach Umgebung und Umständen – nehmen wir mal an, Du arbeitest in einem sensiblen Bereich und Deine „harmlose Baby-Cam-Aktion“ schleust einen Virus ins Unternehmen – kann das durchaus für eine fristlose Kündigung reichen. Wenn der Admin die Aktion nicht bemerkt, die hinterher teuer bezahlten Forensiker tun das dann schon eher.