Hallo Forenmitglieder, ich habe in mühevoller Kleinarbeit eine Auswerteumgebung für forensische Imageauswertungen und Malwareanalyse eingerichtet. Hierfür habe ich ein Ubuntu 12.04 LTS genutzt. Soweit läuft auch alles super, nur zwei ersehnte Funktion bekomme ich nicht zum laufen:

Unter Backtrack oder älteren Ubuntuversionen habe ich eine Netzwerkbrücke zur Aufzeichnung des Netzwerkverkehrs zwischen zwei Netzwerkkarten mit folgendem Script / Befehlsfolge eingerichtet:

Ifconfig eht0 0.0.0.0

Ifconfig eht1 0.0.0.0

brctr addbr mybridge

brctr addif mybridge eth0

brctr addif mybridge eth1

brctr stp mybridge off

ifconfig mybridge up

Ziel soll es sein, die Netzwerkkonfiguration (Standart-Installation, Standart-Konfiguration, noch nichts geändert) meiner Auswerteumgebung mit einem Script umzustellen auf eine Bridge. Eth0 bleibt am Internet; eth1 wird transparent durchgeleitet, sodass ich den Traffic eines zweiten (physikalischen) Rechners, angeschlossen an eht0, mitschneiden und sofort auswerten kann.

Problem zwei: Ich möchte den gesamten Traffic meines Auswerterechners / einer VM über einen Proxy umleiten und so https- Verbindungen aufzubrechen (sslstrip/ ssltrap/ Fiddler) oder ausgehenden Traffic der Malware zu manipulieren (Tamper Data/ Burp Suite/ OWASP ZAP-Proxy).

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000

iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 10000

mit einem laufenden Dienst auf Port 10000.

Wie gesagt: Unter Ubuntu 10 ... und Backtrack funktioniert das einwandfrei. Unter Ubuntu 12.04. will mir das ums Verrecken nicht gelingen. Ich habe schon alles Mögliche ausprobiert, diverse Tipps getestet und verzweifle langsam.

Bitte gebt mir jetzt nicht den Tip:

• Bei Backtrack zu bleiben

• Meine Bemühungen aufzugeben

• Es in einem anderen Forum oder anderen Forenplatz zu versuchen

• Es mal mit der IP-Tables Konfiguration zu versuchen

• Mich mal mit Netzwerktechnik zu beschäftigen

• Mir fundiertes Grundwissen anzueignen

• .....

In der Hoffnung, von Euch eine Umfassende Antwort und eine funktionierende Lösung zu erhalten

Mary

Bitte Codeblöcke benutzen! ("Zahnrad-auf-Papier"-Symbol, links vom Smiley im Editor)

Die Einrichtung einer Netzwerkbrücke ist auch im Wiki sehr schön beschrieben, allerdings dort mit einem Eintrag in der /etc/network/interfaces.

Ein echtes Problem hast du erst dann, wenn die Einrichtung nach der im Wiki beschriebenen Methode nicht geht.

Danke für den Hinweis. Die Beschreibung bezieht sich auf UBUNTU 11.10. Hätte ich die nicht schon ausprobiert, hätte ich hier nicht so einen ausführlichen Post abgesetzt. Ich sag ja, ich habe ein Problem!

Ich hatte da noch eine Idee. Vielleicht hilft es ja was…

1
2
3
4
5
6
7
8
9

ifconfig eth0 down
ifconfig eth1 down
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
brctl addbr mybridge
brctl addif mybridge eth0
brctl addif mybridge eth1
brctl stp mybridge off
ifconfig mybridge up

Nimm Dir eine Live-CD, einen Rechner mit zwei Netzwerkkarten und teste es mal. Bis Ubuntu 11 ist das alles kein Problem; mach ich ca. zwei mal die Woche. Ich brauche eine funktionierende LÖSUNG für UBUNUTU 12.04. Da funktioniert das alles nicht!!!!!!!

Ich stehe voll auf dem Schlauch. Evtl. sind irgendwelche Sicherheitspatches hinzugefügt worden, die eine entsprechende Manipulation verhindern. Ich kriege das nicht zum laufen und habe beeits diverse Leute um Hilfe gebeten.

Mary

Hallo,
wurde der Network-Manager nicht gestoppt? Dieser verwaltet ansonsten die Schnittstellen.

ps aux | grep [N]etwork

Siehe als Beispiel auch Internetverbindungsfreigabe - Netzwerkbrücke, und beachte ebenfalls das Skript.

Ja, genau das was ich möchte. Die Konfiguration / das Script entspricht weitgehend meiner manuellen Konfiguration, bis auf den Befehl "setfd $bridge $forward_delay". Den Netzwerkmanager habe ich auch schon mal deinstalliert, damit er mit nicht in die Quere kommt. Hat auch nichts gebracht. Ich komme erst nächste Woche zum Testen, habe aber wenig Hoffnung.

Danke.

Mary

Prüfe die Einstellungen der Brücke mit

brctl show

Keine Fehler, dann stimmt wahrscheinlich mit den Iptables-Regeln etwas nicht.

Ebenfalls prüfen:

sudo iptables -t nat -n -L -v

Brücke Fehlerfrei eingerichtet. An IP-Tables war ich nicht dran "...die Netzwerkkonfiguration (Standart-Installation, Standart-Konfiguration, noch nichts geändert)". Geht nicht.

Was soll man mit der Aussage „Geht nicht“ konkret anfangen?

Wie sieht die Konfiguration aus?

brctl show
ifconfig mybridge
sudo iptables -t nat -n -L -v

Ich bin für den Rest der Woche aus dem Rennen. Danach kann ich alle Konfigurationen senden, die ich habe. Am einfachsten ist jedoch, da ich nichts an den iptables geändert habe und das Script für die Einrichtung der Brücke ja schon von mir gesendet wurde, jemand eine Live-CD nimmt, die Sache ausprobiert und mir eine Lösung mitteilt. Sonst könnten es mehr als nur die DREI Outputs werden

Also BITTE BITTE BITTE, nicht Konfigurationen anfordern, sondern Lösungen bieten.

Mary

PS: Vielleicht bin ich damit ein bisschen unverschämt, aber stochern im Nebel macht mich wahnsinnig.