Netwerksniffer und S4Y AGBs

[HornOx]

Hallo,
laut einem S4Y Supportmitarbeiter ist es bei einem S4Y Rootserver wegen der AGB nicht gestatten den Promiscuous Modus der Netzwerkkarte zu benutzten und das Sniffen im Promiscuous Modus sei Datenmanipulation im Netzwerk.
Nachdem ich mir jetzt zum dritten mal die S4Y AGBs durchgelesen habe und mein Wissen zum Promiscuous Modus aufgefrischt habe würde mich mal interessieren ob ich was falsch verstehe oder übersehe:

• Ich finde keinen entsprechenden Abschnitt in den AGBs. Gibt es neben den da noch andere die gelten?
• Promiscuous Mode ist bei Netzwerkkarten nur das Abschalten des Hardware MAC Filters, es werden keine Daten im Netzwerk manipuliert.
• Es ist kein Ausspähen von Daten, weil die Daten ohne meine Einflussnahme zu mir gesendet werden und ich einfach nur die falsche MAC/IP Addresse(besonde Sicherung??) ignoriere und die Packete protokoliere anstatt sie komentarlos zu verwerfen.
• Ein Root Server Administrator hat berechtigtes Intresse zu wissen was für Packete von und zu seiner Netzwerkkarte geschickt werden. Allein schon wegen der Traffic Abrechnung

Es geht mir hier nicht um die diversen Spoofings, Floodings oder anderen Arten die alle aktiv manipulierte bzw zu viele Datenpackete verschicken.
Ich habe nicht vor deswegen einen Rechtstreit anzufangen und alles was ihr hier sagt ist natürlich keine Rechtberatung sondern nur Meinungen aber ich würde mich freuen ich wenn ein Mißverständniss meinerseits ausschließen könnte bevor ich S4Y antworte.

 

[V40]

.....

• Ich finde keinen entsprechenden Abschnitt in den AGBs. Gibt es neben den da noch andere die gelten?
• Promiscuous Mode ist bei Netzwerkkarten nur das Abschalten des Hardware MAC Filters, es werden keine Daten im Netzwerk manipuliert.
• Es ist kein Ausspähen von Daten, weil die Daten ohne meine Einflussnahme zu mir gesendet werden und ich einfach nur die falsche MAC/IP Addresse(besonde Sicherung??) ignoriere und die Packete protokoliere anstatt sie komentarlos zu verwerfen

........

Hallo,

ich bin zwar kein Experte was Recht und Ordnung betrifft, aber ich finde du widersprichst dir gewissermaßen selbst.

Du änderst ganz gezielt etwas an dem dir vorgegebenen System (deine Einflussnahme) und schaltest den Promiscuous Mode um womit du die Möglichkeit hättest die Daten zu protokollieren.

Ob du das vorhast oder nicht steht wohl kaum für S4Y zur Debatte, für die zählt (verständlicherweise) nur der Faktor das du könntest.

Um es zum Abschluss zu bringen, ich würde mich da nicht auf irgendetwas einlassen (Rechtsstreit) da ich mir doch sehr sicher bin das man den kürzeren zieht.

 

[Spin-Doc]

Außerdem:

-Netzwerkkarte im Sniffer-Modus, dann ist ja kein normaler Betrieb möglich. Da brauchts dann schon zwei Karten. Denn entweder Karte normal verwenden, oder sniffen.
-Bringt das ganze eh nichts, an deinem Rootie kommen nur Pakete an, die auch für deine Rootie bestimmt sind, das erledigt der Switch an dem du hängst. Das kann man zwar durch mir-fällt-grad-net-ein-wie-das-heisst-Spoofing umgehen, aber jetzt gehts dann wirklich in Richtung nicht erlaubt, egal welche Ausreden man noch zusammenbastelt.

 

[Deleted member 3190]

laut einem S4Y Supportmitarbeiter ist es bei einem S4Y Rootserver wegen der AGB nicht gestatten den Promiscuous Modus der Netzwerkkarte zu benutzten und das Sniffen im Promiscuous Modus sei Datenmanipulation im Netzwerk.

Ob die AGBs Dir verbieten, den PM zu verwenden kann ich dir nicht sagen. Der Rest der Aussage ist aber schlicht falsch.

Es gibt genügend legitime Gründe, den PM einzusetzen. z.B.: Server in einer VM, IDS (z.B Snort). Dabei wird die Karte auch in den PM versetzt.
Eine Manipulation findet auch nicht statt.

Klar ist aber, das die Provider das nicht gerne sehen. Auf die Weise kommt man viel zu leicht Konfigurationsfehlern auf deren Seite auf die Schliche.

Und wenn Du dabei auf Daten anderer Kunden stösst, solltest Du diese schnell wieder löschen. Denn ein Mißbrauch dieser Daten rechtfertigt mit ziemlicher Sicherheit eine fristlose Kündigung.

 

[HornOx]

[...]weil die Daten ohne meine Einflussnahme zu mir gesendet werden

Du änderst ganz gezielt etwas an dem dir vorgegebenen System (deine Einflussnahme) und schaltest den Promiscuous Mode um womit du die Möglichkeit hättest die Daten zu protokollieren.

Ja. Ich habe auch schon kurzzeitig die IP Header analisiert und mitprotokoliert. Aber die Daten werden auch im Non-Promiscuous Mode zu mir gesandt. Das "ohne Einflussnahme" bezog sich nur auf das verursachen des Datenversands.

Netzwerkkarte im Sniffer-Modus, dann ist ja kein normaler Betrieb möglich.

Abgesehen von etwas höheren Latenzzeiten und einer erhöhten CPU Last hatte ich keine Probleme. Weder auf dem root Server mit Linux/tcpdump noch auf dem heimischen Rechner mit Windows/Wireshark.

Bringt das ganze eh nichts, an deinem Rootie kommen nur Pakete an, die auch für deine Rootie bestimmt sind

Ich war auch überrascht das ich fremde IP Packete empfangen habe, deshalb habe ich ein Ticket geöffnet und gesagt das es meiner Meinung nach ein Problem mit dem Netzwerk bzw eine Fehlkonfiguration gibt. S4Y hat bisher, abgesehen von dem von mir nicht nachvollziehbaren Hinweis das Sniffen gegen ihre AGBs verstößt und das ich das doch bitte in Zukunft seien lassen soll, nicht reagiert

@Thorashh: Danke für die Aussage und den Tipp

 

[HornOx]

Da der Support die Aussage bezüglich der AGBs revidiert hat und sich auf (auch wieder nicht nähergenannte ) Passagen im BGB beruft ist das Thema keine Vertragsfrage mehr und ich verlagere mich auf den allgemeinen Thread:[thread]9772[/thread]

 

[tty0]

mir-fällt-grad-net-ein-wie-das-heisst-Spoofing

Du meinst/suchst ARP-Spoofing.

 

[Spin-Doc]

Ja genau, das war es, was mir entfallen war.

Aber bezogen auf den Thread hab ich eben auch mal tcpdump bei mir laufen lassen. Und es kamen doch einige Pakete an meiner root-Kiste an, welche nicht für mich bestimmt waren. Komisch Sache das ganze.

 

[Lord_Pinhead]

Schade das ich die Tickets im neuen Powerpannel nicht mehr aufrufen kann von April diesen Jahres. Ich hatte das selbe Phänomen und habe es S4Y geschildert, die haben den Switch danach ausgetauscht und ich habe nichts mehr bekommen was nicht für mich bestimmt war an Packeten. Die haben sogar noch danke gesagt das ich das entdeckt habe, allerdings hatte ich die Ausrede das ich Probleme mit dem VPN habe *G* Eigentlich waren die Einträge in ntop damals recht verdächtig, es kamen DNS Requests von anderen Servern in völlig anderen Netzsegmenten.

Die C´t hat 2004 einen Check gemacht mit Rootservern, dort wurde das schon entdeckt und das man via Mac-Spoofing das Netzwerk abhören kann. Die haben Intergenia Informiert über das Problem und es sollte bis Weihnachten 2004 erledigt sein, angeblich Probleme nach einem Umzug des RZ.

Mit dem PM änderst du allerdings nicht die funktionsweise der Netzwerkkarte an sich, den sie tut genau das was sie sonst auch immer macht, nur verwirft sie die Packete nicht mehr, sondern gibt sie an das System weiter. Wie schon gesagt wurde, verwenden Programme die den Traffic messen (ntop) und IDS (Snort, Prelude) meist den PM. ARP an sich ist keine Sicherheitseinrichtung die als sicher gilt und sollte auch nicht als das angesehen werden. Es ist schlicht und einfach ein Protokoll das zur Adressierung im Netzwerk eingesetzt wird, nicht zur Sicherung des Verkehrs. Die Hardware Einrichtung im Netzwerk ist in diesem Fall die Sicherung des Verkehrs, und das kein falsches Packet an Rechner ausgeliefert wird. Da das an S4Y liegt, ist das kein Kündigungsgrund von S4Y und ist auch nicht gegen das BGB, den in diesem Fall wird die "Tat" nicht von dir begangen und du hast auch nicht aktiv mitgewirkt das es passiert, also dürfte die Rechtliche Grundlage, auf die sich der Support da stützt, mehr als wackelig.

Fazit: Wie du schon gesagt hast ist Kündigen die einzige Alternative und Publikmachung der Probleme im S4Y Netz. Vielleicht eine Mail an die C´t mit den PCAP Files und den kompletten Schriftverkehr zwischen dir und S4Y Die können dir auch genau sagen ob es ein Gesetzt gibt das in diesem Fall gilt, ich denke aber nicht.