7
Fremde hardware im Netz erkennen ohne Zugriff auf Switches
Hallo zusammen,
In unserer Firma wird ein Netz mit mehreren Servern und etwa 200 Clients betrieben. Die Netzinfrastruktur wird uns zur Verfügung gestellt und nicht von uns betrieben. Daher haben wir keinen Zugriff auf Netzkomponenten (Switches, Router).
Es kommt immer wieder vor, dass fremde Hardware ans Netz angeschlossen wird. Da wir dies verhindern wollen, suche ich nach einer Möglichkeit fremde Hardware zu erkennen und einen Alarm über Mail oder SMS zu schlagen.
Da für den grössten Teil der Tools, welche ich bis jetzt gefunden habe, ein Zugriff auf die Switches vorhanden sein muss, bin ich nun etwas ratlos. Kennt jemand eine Möglichkeit oder ein Tool welches für meinen Fall funktionieren könnte?
Ich bin für jeden Ratschlag dankbar!!
In unserer Firma wird ein Netz mit mehreren Servern und etwa 200 Clients betrieben. Die Netzinfrastruktur wird uns zur Verfügung gestellt und nicht von uns betrieben. Daher haben wir keinen Zugriff auf Netzkomponenten (Switches, Router).
Es kommt immer wieder vor, dass fremde Hardware ans Netz angeschlossen wird. Da wir dies verhindern wollen, suche ich nach einer Möglichkeit fremde Hardware zu erkennen und einen Alarm über Mail oder SMS zu schlagen.
Da für den grössten Teil der Tools, welche ich bis jetzt gefunden habe, ein Zugriff auf die Switches vorhanden sein muss, bin ich nun etwas ratlos. Kennt jemand eine Möglichkeit oder ein Tool welches für meinen Fall funktionieren könnte?
Ich bin für jeden Ratschlag dankbar!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 178749
Url: https://administrator.de/contentid/178749
Printed on: April 20, 2024 at 15:04 o'clock
7 Comments
Latest comment
Hallo,
wie willst du den die fremden Geräte finden wenn du keinen Zugriff hast?
die Geräte beziehen entweder vom DHCP Server eine IP Adresse oder kommen mit einer Statischen Adresse ins Netz.
Du könntest regelmässig mit einem Netzwerkscanner kontrollieren welche Geräte da sind. Wenn da dann unbekannte
dabei sind, kannst du versuchen die zu finden, wie willst du das machen ohne zu wissen an welchem Switch die hängen?
Und wenn das fremde Gerät nicht auf ICMP oder SNMP reagiert dann hast du ehe gelitten.
An einem Switch rauszufinden ob fremde Teilnehmer da sind, ist, abhängig vom Switch, relativ einfach.
Wieso arbeitet ihr da nicht mit dem Dienstleister zusammen der euer Netzwerk betreut?
brammer
wie willst du den die fremden Geräte finden wenn du keinen Zugriff hast?
die Geräte beziehen entweder vom DHCP Server eine IP Adresse oder kommen mit einer Statischen Adresse ins Netz.
Du könntest regelmässig mit einem Netzwerkscanner kontrollieren welche Geräte da sind. Wenn da dann unbekannte
dabei sind, kannst du versuchen die zu finden, wie willst du das machen ohne zu wissen an welchem Switch die hängen?
Und wenn das fremde Gerät nicht auf ICMP oder SNMP reagiert dann hast du ehe gelitten.
An einem Switch rauszufinden ob fremde Teilnehmer da sind, ist, abhängig vom Switch, relativ einfach.
Wieso arbeitet ihr da nicht mit dem Dienstleister zusammen der euer Netzwerk betreut?
brammer
Ohne Zugriff auf die Switches oder Infrastruktur...keine Chance !! Da kann man Kollege brammer nur zustimmen. Kanst du gleich vergessen !
Es gibt zwar solche Scanner wie iNet:
http://www.bananaglue.de/inet/index_e.php
aber die sind nicht vollständig und erfassen nicht alles. Wenn dir das aber reicht ists OK.
Sinnvoller ist eine Port Authentisierung mit 802.1x an den Switches die ihr eurem Betreiber vorschreiben solltet für eurer VLAN:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das ist mit 3 Mausklicks gemacht kann auch Billighardware und verhindert solche Probleme schon gleich im Ansatz !
Alles andere ist sinnfreie bastelei, denn wenn du Fremdhardware z.B. mit so einem Scanner wie oben "siehst" ist sie ja schon längs drin im Netz.
Pfiffige Eindringlinge siehst du so oder so nie ohne Switch Zugriff auf dessen Mac Adress Database.
Es gibt zwar solche Scanner wie iNet:
http://www.bananaglue.de/inet/index_e.php
aber die sind nicht vollständig und erfassen nicht alles. Wenn dir das aber reicht ists OK.
Sinnvoller ist eine Port Authentisierung mit 802.1x an den Switches die ihr eurem Betreiber vorschreiben solltet für eurer VLAN:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das ist mit 3 Mausklicks gemacht kann auch Billighardware und verhindert solche Probleme schon gleich im Ansatz !
Alles andere ist sinnfreie bastelei, denn wenn du Fremdhardware z.B. mit so einem Scanner wie oben "siehst" ist sie ja schon längs drin im Netz.
Pfiffige Eindringlinge siehst du so oder so nie ohne Switch Zugriff auf dessen Mac Adress Database.
Ja das frage ich mich ja auch
Ich hörte aber, dass das blosse Erkennen von fremden PCs auch ohne Zugriff auf die Switches geschehen kann. Nur weiss ich nicht wie.die Geräte beziehen entweder vom DHCP Server eine IP Adresse oder kommen mit einer Statischen Adresse ins Netz.
Der grösste Teil der Geräte bezieht die IP vom DHCP Server. Ich könnte dort auch die MAC-Adressen definieren, welche eine IP erhalten dürfen. Werden dann statische IPs eingegeben war das Ganze umsonst...
Du könntest regelmässig mit einem Netzwerkscanner kontrollieren welche Geräte da sind. Wenn da dann unbekannte
dabei sind, kannst du versuchen die zu finden, wie willst du das machen ohne zu wissen an welchem Switch die hängen?
Ich muss nicht zwingend wissen an welchem Switch sich die Geräte befinden. Wichtig ist nur, dass ich eine Meldung erhalte wenn ein fremder PC ans netz angeschlossen wird.
Und wenn das fremde Gerät nicht auf ICMP oder SNMP reagiert dann hast du ehe gelitten.
An einem Switch rauszufinden ob fremde Teilnehmer da sind, ist, abhängig vom Switch, relativ einfach.
Wieso arbeitet ihr da nicht mit dem Dienstleister zusammen der euer Netzwerk betreut?
Ja, das habe ich auch schon herausgefunden, es ist nur leider nicht möglich Zugriff auf die Switches zu bekommen...
brammer
Ich habe eine Software namens ARP-Guard gefunden. Diese könnte in meinem Fall ev. funktionieren. Sie empfängt mit einem LAN-Sensor ARP-Pakete und hat somit den Überblick über alle Geräte im Netzwerk.
Kennt sich jemand damit aus? Könnte diese Lösung in meinem Fall funktionieren?
Kennt sich jemand damit aus? Könnte diese Lösung in meinem Fall funktionieren?
Hallo,
und dafür benötigst du keinen zugriff auf die Switche?
Das sehe ich aber ganz anders....
Das was die anbieten kann im übrigen auch Nagios, zumindest im wesentlichen.
brammer
und dafür benötigst du keinen zugriff auf die Switche?
Das sehe ich aber ganz anders....
Das was die anbieten kann im übrigen auch Nagios, zumindest im wesentlichen.
brammer
Zitat von @brammer:
Hallo,
und dafür benötigst du keinen zugriff auf die Switche?
Das sehe ich aber ganz anders....
Hallo,
und dafür benötigst du keinen zugriff auf die Switche?
Das sehe ich aber ganz anders....
Ein Mitarbeiter der Firma, welche ARP-Guard anbietet, teilte mir folgendes mit: Ein Zugriff auf die Switches ist nur dann erforderlich, wenn eine Portsperrung/VLAN-Wechsel oder eine exakte Lokalisierung (an welchem Switchport hängt das fremde Gerät?) durchgeführt werden soll. Für eine reine Erkennung von Fremdgeräten ist lesender Zugriff per SNMP auf die Router ausreichend; alternativ kann ein LAN-Sensor genutzt werden, der dann aber in jeder Broadcastdomain platziert werden muss.
Das was die anbieten kann im übrigen auch Nagios, zumindest im wesentlichen.
Danke für die Information. Ich werde mir dies noch genauer anschauen.
brammer
Kannst du aber dann auch vergessen, da der Netzbetreiber die lesenden SNMP Zugriff auf die Geräte einrichten muss und dir damit dann auch einen SNMP Community String mitteilen muss.
Kannst du also in deinem Falle auch vergessen wenn du keinen Zugriff auch die Infrastruktur hast. Zudem müssen die Switches überhaupt mangebar und auch noch SNMP fähig sein was du ja gar nicht weist (oder uns wenigstens nicht mitteilst). Außerdem ist das ARP Watch leicht aushebelbar und auch nicht wasserdicht zum Erkennen von Fremdgeräten.
Wie gesagt sicher ist das nur 802.1x Port Auhtentisierung, sei es auf Mac Basis, .1x oder einer Kombination von beidem.
Kannst du also in deinem Falle auch vergessen wenn du keinen Zugriff auch die Infrastruktur hast. Zudem müssen die Switches überhaupt mangebar und auch noch SNMP fähig sein was du ja gar nicht weist (oder uns wenigstens nicht mitteilst). Außerdem ist das ARP Watch leicht aushebelbar und auch nicht wasserdicht zum Erkennen von Fremdgeräten.
Wie gesagt sicher ist das nur 802.1x Port Auhtentisierung, sei es auf Mac Basis, .1x oder einer Kombination von beidem.
