Sniffing im IT-System zur Fehlersuche der IT

  • Moin zusammen,


    wir haben gerade wieder ein "Leckerchen" auf dem Tisch, das uns etwas überfordert.


    Unsere Telefonanlage (IP-Telefonie) hat zeitweise Aussetzer, die zum Abbruch des Gespräches führen, noch bevor es begonnen hat. Das sieht natürlich kundenseitig reichlich blöd aus. Nun hat unsere IT schon alles versucht, den Fehler zu lokalisieren, ist aber bisher gescheitert. Jetzt überlegt man, mit einem Sniffing-Tool (Wireshark) den gesamten Ein- und ausgehenden Datenverkehr der Firma mitzusniffen, um dann, wenn ein Fehler gemeldet wird, ein Abbild zu ziehen und darin suchen zu können.

    Das heißt aber auch, dass der gesamte Datenverkehr, also Mails, Telefongespräche, Datenübertragungen etc. aus diesem Zeitraum offen liegen.

    Jetzt wäre ja eine Möglichkeit, den Kollegen den Zugriff zu gewähren und sie anschließend zu "blitzdingsen". Nur leider gibt es das noch nicht ;)

    Hat schon jemand eine ähnliche Situation durch und entsprechende Erfahrungen sammeln können?


    Danke und Gruß

    Dirk

  • Im Regelfall sollte der aufgezeichnete Datenstrom maximal eingegrenzt werden, weil sich ansonsten die Daten eh nicht mehr sinnvoll auswerten lassen. Bestenfalls sind das nur die Telefonkommunikationen.

    Im Regelfall kann eure IT die Verschlüsselung nicht aufbrechen, die zwischen zwei Endpunkten ausgehandelt wird. Der Aufruf einer Webseite wie z. B. dieses Forum (https) ist verschlüsselt und kann nur vom Webserver des ifb und von dir entschlüsselt werden. Da macht eine Aufzeichnung nichts aus. Selbiges gilt für fast alle anderen Verbindungen auch. Abhängig von der Stelle, an der aufgezeichnet wird, ist da nur wenig Klartext / unverschlüsseltes dabei.

    In anderen Fällen wird an der Firewall die Verschlüsselung geöffnet. Das ist technisch durch eigene Zertifikate möglich und eigentlich nur zulässig, wenn jegliche Art der privaten Nutzung verboten ist. Da sieht es dann schon anders aus. Allerdings hat der AG dann meistens eh das Recht, diese Daten zu sehen, auch ohne das aufwändige Mitschneiden.


    Wenn man solche Daten zur Fehleranalyse auswertet, dann liest man nicht ausversehen private Dinge mit. Und (ich weiß, das wollen viele nicht hören) wenn eure IT deine E-Mails lesen will, dann hat sie deutlich bequemere Wege dazu. Werden sie erwischt, wird ihnen gekündigt. Das gilt aber auch beim Mitschneiden und ausspähen.


    Habt ein wenig Vertrauen in die IT. Oder setzt jemanden daneben, der sich das einfach mal mit anschaut, was da passiert. Ist aber je nach eigener Erfahrung eher ein Blick in die Matrix.

  • Hallo dirk,


    fehlersuche muss sein. Ihr seit in derMitbestimmung. Also BV zu dem Thema machen.


    Wir haben hierzu in unserer Lösung eine GBV. Auch wir wollen, dass die Fehler behoben werden aber die Mitarbeiter und deren Daten geschützt sind. Darum haben wir in der BV hierzu folgende Sätze hineingeschrieben, damit sicher dem Mitarbeiter nichts passieren kann und die Auswerter wissen, was sie dürfen und was nicht.

    Da die Datenschutzgrundverordnung gilt und eine Verfahrensrichtlinie zu jeder Anwendung gemacht werden müssen sind die Freiheiten über die GBV geregelt. Wir haben hierzu in der BV hierzu folgende Sätze hineingeschrieben:


    Im Rahmen des üblichen Systembetriebs werden Log-Dateien auf den Servern geschrieben, welche die Nutzung des jeweiligen Services protokollieren. Die Log-Dateien sind notwendig um die dauerhafte Verfügbarkeit des Services zu gewährleisten und im Fehlerfall die Ursachen zu ermitteln und damit beheben zu können.


    Der Zugriff auf die Dateien ist ausschließlich den Systemadministratoren der verschiedenen Applikationen möglich. Zum Zwecke des Sperrens der Zulassung von nicht benutzten Services (Housekeeping) und zur Ursachenermittlung bei konkreten Störungen und Problemen kann die IT hiervon Auszüge (Datum der letzten Nutzung durch einzelne Mitarbeiter) erhalten. Darüber hinaus sind Downloads und die Weitergabe der Log-Dateien unzulässig.


    Eine Auswertung personenbezogener Daten ist unzulässig und findet nicht statt, wenn dies in der Betriebsvereinbarung nicht ausdrücklich zugelassen ist.


    Werden gleichwohl solche Auswertungen vorgenommen, so sind etwaig darauf beruhende personelle Einzelmaßnahmen unwirksam; in solchem Zusammenhang gewonnene personenbezogene Daten bzw. Zugriffsdaten dürfen außer zu Zwecken der Strafverfolgung, nicht verwendet werden und sind unverzüglich zu löschen.


    Arbeiten zur Fehlerdiagnose/-behebung durch die jeweils zuständigen Systemadministratoren bleiben hiervon unberührt.



    Gruß

    Rabauke

  • Ich hoffe das die IT das auf den Telefonverkehr beschränkt. Wenn dort alles mitgeschnitten wird und ausgewertet werden soll/wird wird man den Fehler in der Masse der Daten wahrscheinlich nicht finden wenn das Unternehmen größer ist.

    Normalerweise ist ja normales Netzwerk und IP-Telefonie netzwerkseitig auch getrennt.
    Interessant sind nach meinem Verständnis sowieso nicht die Dateninhalte des Transfers sondern die Metadaten für die Nutzdatentransfer.

    Aber das sollte dann nach der Aktion, bei der welcher Sicht der BR das Verfahren erklären lassen sollte, in einer Betriebsvereinbarung geregelt werden. Weil aktuell muss ja auch ein dringendes Softwareproblem gelöst werden nach meinem Verständnis.

  • Wenn ich unsere IT da richtig verstanden habe, ist das in diesem speziellen Fall nicht möglich, eine Trennung vorzunehmen. Also geht alles drüber.


    Ist halt vertrackt, die Geschichte. Aber schon mal vielen Dank für die Informationen, die bisher gekommen sind. Alles hilft da doch irgendwie weiter :):thumbup:


    Viele Grüße

    Dirk

  • Wenn der Netzwerktrafic jetzt schon nicht zwischen Rechner und Telefonie getrennt ist in verschiedenen Subnetzen dann ist das meiner Meinung nach der erste Fehler welcher vorliegt. Weil ich muss ja in der Lage sein das sauber getrennt zu priorisieren für die Telefonie.

  • Bei einem Softphone ist die netzwerkseitige Trennung von Rechner und Telefonie nur mit einer zweiten Netzwerkkarte machbar. Oder mit Trunkfähigen Netzwerkkarten und virtuellen Netzwerkadaptern. Maximal unpraktisch.

    Willkommen in der neuen modernen Welt: Priorisieren erfolgt nach Anwendung, nicht nach Subnetz. Das kann inzwischen sogar die FritzBox zu Hause.


    Schließt per allgemeiner BV personelle Maßnahmen auf Basis von Logfiles aus und ermöglicht der IT die Auswertung zur Fehlerbehebung. Bei uns ist der IT sogar die Weitergabe der Logfiles an den AG verboten. Lediglich anonymisierte Auszüge zur Darstellung eines Sachverhalts dürfen weitergegeben werden.

  • Bei einem Softphone ist die netzwerkseitige Trennung von Rechner und Telefonie nur mit einer zweiten Netzwerkkarte machbar. Oder mit Trunkfähigen Netzwerkkarten und virtuellen Netzwerkadaptern. Maximal unpraktisch.

    Willkommen in der neuen modernen Welt: Priorisieren erfolgt nach Anwendung, nicht nach Subnetz. Das kann inzwischen sogar die FritzBox zu Hause.

    Bei uns hängen die IP Telefone in eigenen Subnetzen mit anderen IP Adressen und sind vom Rest des Netzwerkverkehrs getrennt. Allerdings haben wir noch normale IP Telefone auf dem Schreibtisch. Und glücklicherweise keinen Mangel an IP V4 Adressen im Unternehmen.

  • Moin zusammen,


    mann, mann, das geht hier ja richtig vorwärts! Super! :thumbup:


    Aaalso, zuförderst mal bin ich mit der Frage nach der Organisation unseres Netzes überfordert. Da muss ich mich noch mal richtig schlau machen. Habe aber eine Äußerung eines IT-Kollegen im Hinterkopf, der mal erwähnte, dass das wohl nicht zu trennen ist. Was ja auch zum Entstehen der Problematik geführt hat.

    Weiterhin haben wir gestern ins Auge gefasst, zu diesem Thema eine BV/GBV aufzusetzen. Da werden wir uns natürlich gerne an Euren Vorschlägen orientieren, aber wohl auch noch einen Fachanwalt konsultieren. Wir möchten da natürlich sicher sein, auch alles zu berücksichtigen.


    Bis hierher schon mal vielen, vielen Dank. Falls natürlich noch jemand einen weiteren Tip hat, immer gerne her damit ;)


    Viele Grüße

    Dirk

  • Ahoi,


    ich bin selber Admin und das Problem mit der Telefonanlage liegt zu über 90% an der Telefonanlage.

    Dort sind die Fehler zu suchen. Auch bei den IP-Telefonen gibt es Möglichkeiten für Systemlogs.


    Wenn im Netzwerk mitgehört wird, ist, wie oben schon beschrieben, fast aller Inhalt verschlüsselt.

    An Hand der Headers von Datenpaketen lassen sich durchaus Netzwerkprobleme finden, allerdings kommen da die restlichen 10% ins Spiel, was eben auf eine prinzipielle Netzwerkproblematik hinweist.


    Am Ende mit dem Hersteller der TA sprechen. Unsere ist gemietet. Wenn ich was nicht hinbekomme - zack - Support anrufen.... :)


    Gruß

  • Am Ende mit dem Hersteller der TA sprechen.

    Die mögen (oder sollten) wohl die notwendige Kompetenz haben, aber am Ende werden auch sie u.U. nicht ohne irgendwelche Auswertungen zu Ergebnissen kommen.


    Da bei uns im Haus (und da reden wir über gute 2500 Telefonanschlüsse!) alle Telefone mit VOIP funktionieren und die Rechner sich ihr Netzwerk vom Telefon holen, d.h. es gibt bei uns keine getrennten physikalischen Leitungen, behaupte ich einfach mal: irgendwas ist da bei euch falsch konfiguriert. Will sagen, Tobias hat Recht, wenn er sagt, es braucht nicht unbedingt eine physikalische Trennung.


    Ich finden den Ansatz vom Rabauken durchaus charmant. Fehlersuche ist zulässig, eine Auswertung persönlicher Daten findet nicht statt. (Wenn die IT z.B. feststellt, dass es da (zu viele?) Kollegen gibt, die sich beim Arbeiten Musik aus dem Netz saugen (oder Radio hören, was auch immer), dann soll die IT nicht die Kollegen anmachen, sondern schlicht dafür sorgen, dass Streamingdienste von außerhalb eben nur geringe Prio haben. Dann reguliert sich das schon.)

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

  • Da bei uns im Haus (und da reden wir über gute 2500 Telefonanschlüsse!) alle Telefone mit VOIP funktionieren und die Rechner sich ihr Netzwerk vom Telefon holen, d.h. es gibt bei uns keine getrennten physikalischen Leitungen,

    Moin zusammen,


    den o.g. Sachverhalt kann ich für uns bestätigen, da hängen die PCs auch hinter dem Telefon. Wird also auch ähnliche Auswirkungen haben.


    Gruß

    Dirk