IP stöld

[kille28]

Hejsan!

 

Jag undrar en liten sak. Jag har chello som ISP och dynamisk IP tilldelning.

 

Kan någon smart nisse där ute ta mitt IP och surfa in nånstans och förstöra m.m.(bli inskriven i loggarna) och sedan får jag skulden?

 

Har hört om att det går men går det ??

 

Hur går det till i så fall?

 

För om det är så då kan man ju sätta dit folk jättelätt.

 

//Speedcore

 

[Mr Andersson]

Även om man kör med dynamisk IP-tilldelning (DHCP) så finns det inget som hindrar att man faktiskt skriver in en IP-adress i sin dator. Kravet är dock att den är i samma serie som DHCP-adresserna så att routas korrekt.

 

Men detta syns ganska snabbt i Chellos loggar, eftersom den IP-adressen som någon snor inte har delats ut till den MAC-adress som faktiskt använder IP-adressen.

 

 

 

[Glenn Larsson]

Problem uppstår dock med loggningen när ARP/IP spoofing attacker sker, å andra sidan så får (i bästa fall) en av parterna "Dubbel IP adress - Interfaced disablas" meddelandet, Är det dock en puckad ADSL/Bredbands router så finns det dock ingen garanti för att notifikering ska ske.

 

mvh

G

 

[ms_a]

det finns ju vad jag förstår folk som surfar med proxy, proxychain eller wingate (inte något av isp tilldelat utan egenhändigt fixat) vad är det för ipnr?? vet ni gurus det??

 

ms_a

 

[Mr Andersson]

I en proxy har man en IP-adress på utsidan (den kan man få via sin ISP mha DHCP) och en insidan. PÅ insdan kan man sen tilldela sina interna datorer IP-adresser mha DHCP.

 

En proxy i sig har ingen "magisk" IP-adress...

 

Var det ungefär detta du ville veta?

 

[ms_a]

nä... jag menar... jag har sett listor med ipadresser och portnummer som du ska kunna använda för att surfa anonymt på nätet (eg på nån annans ipadress alltså och inte sidorna som erbjuder anonym proxy)och en proxychain är såvitt jag begriper en kedja av ipnr som du går genom för att bli "osynlig" och dölja dina spår, och det kräver alltså en massa samarbete mellan isp i olika länder för att kolla loggarna och se vilket ip nr som är det ursprungliga.. och jag undrar bara vilka ipnr det är som används?? för vad jag förstår så är väl de flesta ipv4 upptagna??

 

ms_a

 

[Anders N]

Det är helt vanliga servrar och arbetsstationer som har en proxy installerad. Vissa tillhandahåller det som en tjänst, andra vet inte om att de har det.

 

Ciao,

Anders

 

 

[ms_a]

tack.. det var precis det jag ville veta och det var som jag trodde att många inte vet om att de tillhandahåller en proxy poäng till dej

 

ms_a

 

 

 

[kille28]

Tja!

 

Tack för svaren, men jag blev inte lugnare av det därför att jag inte greppade allt.

 

Kan jag säga att någon använt mitt IP eller inte?

Jag har ingen dator säger vi. Så de kan inte veta MAC adressen. Bevismaterialet är ju borta då. Även om jag står i Chellos loggar så kan de ju inte fälla därför att datorn är borta och jag kanske kan skylla på att någon snott mitt IP.

 

Kan detta gå vägen?

 

[Glenn Larsson]

>Jag har ingen dator säger vi.

 

Då är det väldigt enkelt att bevisa att det inte var du )

 

>Så de kan inte veta MAC adressen.

 

MAC adressen går alldit att få tag i, för modem (dialups/ppp's) så assignas en "virtuell" MAC adress, kan upplelvas att vara 00:00:00:00:00:00 i vissa fall.

 

IP adresser är ingenting unikt för DIG, det är INTE ett ID nummer som du får av Staten, utan när du kopplar upp dig så får du en adress ur ett grupp adresser som finns lediga, dessa "ägs" i av din ISP, som kanske t.om. leasar denna adress serie tillsammans med en annan isp (kanske tom på andra sidan planeten)

 

Har du en osäker proxy tjänst installerad så kan ansvar falla på dig för att du försummat att säkra upp tjänsten för att du tillsammans med den riktiga förbrytaren vill djävlas med företag x.

 

Om Spoofing:

ICMP och UDP har inga states(lägen), dessa protokoll är enkla att spoofa, TCP är dock något svårare att spoofa då det är en "statefull" protokollgrupp. Dock säger jag inte att vissa programmerare inte har lagt in sub funktioner i sina UDP protokoll och gjort det protokollet stateful.

 

Mvh

G

 

[kille28]

hej o tack för svaret.

 

jag förstod inte allt som du skrev under. Jag fattar attMAC adressen e bunden till min NIC men om jag gör mig av med min PC. Då har t.ex. polisen tappat bort mordvapnet så att säga, eller hur?

 

Vad faller under bevismaterial?

 

Ta detta exempel..

 

Du jobbar som admin på ett företag.

Du blir tillsagd att stanna hemma då d e brist på jobb. Kanske får kontakt med dig då arbete finns säger VD.

Du blir arg och loggar in via VPN till företagets brandvägg.

Tar bort filer via VNC och Terminal Services samt utdelningar.

Du loggar ut igen.

 

Dagen efter märker folk att ingenting fungerar då viktga filer tagits bort.

 

De tar in en brandväggskonsult för att kolla loggarna.

Han märker att någon med adminlösen loggat in vid en viss tidpunkt.

 

Nu till mina frågor:

 

- Räknas detta som intrång? Jag jobbade där som admin, har inte fåt en avskedan på papper och jag var orolig för backupen då det är mitt ansvar och därför loggade jag in. För att göra mitt jobb. Gratis

 

- Hur fungerar event viever loggarna? Om jag tar bort filer via Start/kör/ \\datornamn\c$. Står detta med i loggarna då om man inte har auditing på?

 

- Om jag tar bort filer via VNC? Står det någonting då fast utan auditing?

 

- Om jag tar bort via TS? Även här då jag inte har auditing.

 

----------

 

Jag försöker veta vad som räknas som bevismaterial som kan fälla den som gör detta.

 

Han loggade in med adminlösen, inget intrång alltså. Om nu vissa filer försvunnit kanske detta beror på andra saker eller virus t.ex. eller nåpgon dum anställd som gjort det för att sätta dit mig.

 

Vad tror ni som läser detta?

 

För om jag säger att jag loggat in just då som filerna togs bort så borde detta inte räknas som bevis. Därför att jag kan neka helt enkelt. Ord mot ord eller hur?

 

//Speedcore

 

[kille28]

men om man då gör sig av med datorn. försvinner inte bevismaterialet då?

 

 

 

[Mr Andersson]

Du blir arg och loggar in via VPN till företagets brandvägg.

Tar bort filer via VNC och Terminal Services samt utdelningar.

Du loggar ut igen.

 

 

Räknas detta som intrång? Jag jobbade där som admin, har inte fåt en avskedan på papper och jag var orolig för backupen då det är mitt ansvar och därför loggade jag in. För att göra mitt jobb. Gratis.

 

Nej, det räknas inte som intrång eftersom du faktiskt har lovlig tillgång till adminlösenordet. Men däremot är det knappast dina arbetsuppgifter att radera dessa filer. Eftersom det (forhoppningsvis) bara är ett fåtal personer som har tillgång till adminlösenordet OCH VPN-nyklarna, så är det väldigt lätt att ta reda på vem som gjort det.

 

- Hur fungerar event viever loggarna? Om jag tar bort filer via Start/kör/ \\datornamn\c$. Står detta med i loggarna då om man inte har auditing på?

 

Nej, det står normalt inte i loggen.

 

Om jag tar bort filer via VNC? Står det någonting då fast utan auditing?

 

CNV är exakt samma sak som att du satt vid konsolen.

 

- Om jag tar bort via TS? Även här då jag inte har auditing.

 

Samma sak.

 

Jag försöker veta vad som räknas som bevismaterial som kan fälla den som gör detta.

 

Bra logfiler.

 

Att f.d. anställda blivit sura är den vanligaste orsaken till att sånt här händer.

 

Så fort en anställd slutar, SKA alla lösenord och VPN-nyklar bytas.

 

 

 

 

 

 

[Hakinger]

men om man då gör sig av med datorn. försvinner inte bevismaterialet då?

 

Har inte kabelmodemet nåt slags ID? Jag tänkte på att jag en gång bytte ut det mesta i min dator, inkl nätverkskortet, men fick samma IP-adress iaf.

 

Detta svar fick jag från Comhem när jag undrade vad som styr IP-adressen.

 

Det stämmer bra att våra kunder får dynamiskt tilldelade ip-adresser. Den address man haft senast

får dock förtur så om nätet inte är alltför överbelastat så får man i princip alltid samma ip-adress tilldelad. Så om den server du är uppkopplad emot inte får slut på ip-adresser eller om du inte flyttas till en annan brygga så kommer du med största sannolikhet att behålla din ip-adress.

Den hårdvaruadress som vår DHCP-server utgår efter består av en kombination av modemets MAC-adress och bryggans MAC-adress.

 

Så Comhem visste vem jag var fast jag, i princip, hade gjort mig av med "bevismaterialet" Även om du gör dig av med kabelmodemet så har ju dom uppgifter om vem abbonnemanget med det IP-numret stod på när "brottet" begicks - abbonnemanget går ju bara till en specifik lägenhet (eller hus) som dom skickar räkningen till.

 

[inlägget ändrat 2003-02-14 17:49:26 av Pentti H]

[kille28]

hejsan!

 

tack för bra svar. mera sånt.

 

om jag rent ut säger att jag inte tog bort filerna kan de då sänka mig genom att kolla i loggar?

 

du sa att VNV är exakt samma sak som att du satt vid konsolen. Detta betyder vad? att loggarna inte registrerar?

 

 

 

[Mr Andersson]

om jag rent ut säger att jag inte tog bort filerna kan de då sänka mig genom att kolla i loggar?

 

Om man i en logg kan hitta att ditt användarnamn raderat filerna, så tror jag att du ligger rätt risigt till.... Men om du jobbat där länge och det inte har varit problem med dig tidigare, så har chefen nog rätt bra förtroende för dig och det är det lättare för dig.

 

du sa att VNV är exakt samma sak som att du satt vid konsolen. Detta betyder vad? att loggarna inte registrerar?

 

Korrekt.

 

 

 

[Reefer]

om jag rent ut säger att jag inte tog bort filerna kan de då sänka mig genom att kolla i loggar?

 

Ja.

 

Olaga intrång/Obehörig åtkomst.

 

 

 

[kille28]

hej igen!

 

men när registreras borttagning av filer i loggarna?

 

är det inte då man har satt audit på vissa filer själv?

 

om man inte har audit så orde det inte registreras vem och när som tagit bort om ens att de tagits bort. eller hur?