22
Fremde PCs im Netzwerk melden
Wie finde ich "Fremde" PC im Netzwerk?
Hallo @all,
in unserer Firma verwalten wir knapp 300 PC´s in 16 Standorten die zum teil sehr weit auseinander liegen. Dies nehmen unsere User zum Anlass des öfteren Private oder Kundenlaptops an unser Firmennetz an zu schießen. Da die IP´s über DHCP zugeordnet werden, ist das auch wunderbar für alle User die gegen Regeln im Netzwerk verstoßen wollen.
Wir sind jetzt schon so weit, dass unsere Server IP adressen nur PC´s zuordnen, die in der MAC Liste hinterlegt sind. Das klappt auch so weit. Doch unsere findigen User geben ihren Privaten Laptops jetzt einfach feste Adressen und schon ist der DHCP Filter ausgehebelt.
Mir ist jetzt die Idee gekommen, da ich alle MAC adressen in einer Textdatei notiert habe, dass mir eine Software ca. alle 10 min. das komplette netzt scannt nach MAC´s die nicht in der Textdatei stehen und mir diese MAC + IP dann als Meldung per Mail zukommen lässt. Anhand der IP kann ich dann den Standort ausmachen.
Ich hab dabei schon an ein kleines VB6 Programm gedacht das mir die MAC adressen liefert die aktuell online sind. Aber ich habe keine Idee wie in ich VB6 an so was ran gehe. Habe schon beispiele gesucht aber nix richtiges gefunden. Mail versenden und Textdatei lesen ist kein Problem. Es scheitert am lesen der MAC adressen.
Ich hoffe es kann mir von euch jemand helfen.
Danke!
in unserer Firma verwalten wir knapp 300 PC´s in 16 Standorten die zum teil sehr weit auseinander liegen. Dies nehmen unsere User zum Anlass des öfteren Private oder Kundenlaptops an unser Firmennetz an zu schießen. Da die IP´s über DHCP zugeordnet werden, ist das auch wunderbar für alle User die gegen Regeln im Netzwerk verstoßen wollen.
Wir sind jetzt schon so weit, dass unsere Server IP adressen nur PC´s zuordnen, die in der MAC Liste hinterlegt sind. Das klappt auch so weit. Doch unsere findigen User geben ihren Privaten Laptops jetzt einfach feste Adressen und schon ist der DHCP Filter ausgehebelt.
Mir ist jetzt die Idee gekommen, da ich alle MAC adressen in einer Textdatei notiert habe, dass mir eine Software ca. alle 10 min. das komplette netzt scannt nach MAC´s die nicht in der Textdatei stehen und mir diese MAC + IP dann als Meldung per Mail zukommen lässt. Anhand der IP kann ich dann den Standort ausmachen.
Ich hab dabei schon an ein kleines VB6 Programm gedacht das mir die MAC adressen liefert die aktuell online sind. Aber ich habe keine Idee wie in ich VB6 an so was ran gehe. Habe schon beispiele gesucht aber nix richtiges gefunden. Mail versenden und Textdatei lesen ist kein Problem. Es scheitert am lesen der MAC adressen.
Ich hoffe es kann mir von euch jemand helfen.
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 178553
Url: https://administrator.de/contentid/178553
Printed on: April 25, 2024 at 23:04 o'clock
22 Comments
Latest comment
Du könntest dir an einem Zentralen System (Internetgateway?) regelmäßig die Ausgabe des ARP-Caches abrufen. Da die meisten Notebooks ja hoffentlich mit Virenscannern ausgestattet sind, wird ja sofort nach dem Hochfahren nach Signaturen gesucht womit die MAC-Adresse dem Internetgateway sofort bekannt ist.
Aber wäre es eventuell nicht auch eine Alternative den Switchen das Anlernen neuer MAC-Adressen zu verbieten? Dann könnten die Benutzer mit den angestöpselten Notebooks überhaupt nichts mehr im Netzwerk tun und würden dann auch keine eingeschleppten Viren verbreiten können.
Aber wäre es eventuell nicht auch eine Alternative den Switchen das Anlernen neuer MAC-Adressen zu verbieten? Dann könnten die Benutzer mit den angestöpselten Notebooks überhaupt nichts mehr im Netzwerk tun und würden dann auch keine eingeschleppten Viren verbreiten können.
Hallo,
ist zwar jetzt nicht wirklich meine Stärke aber such mal nach IEEE 802.1X.
Müsste dir eigentlich bei deinem Problem helfen.
ist zwar jetzt nicht wirklich meine Stärke aber such mal nach IEEE 802.1X.
Müsste dir eigentlich bei deinem Problem helfen.
Moin,
es gibt dazu verschiedene Ansätze:
a) NAP von Microsoft... damit kannst du z.B. definieren, dass nur registierte AD-Computer ins Netzwerk Zugang erlangen.
b) Port-Security auf den LAN-Switches... d.h. an jedem Port wird die MAC-Adresse hinterlegt und sobald eine andere MAC-Adresse sich meldet wird der Port abgeschalten. Hat den Nachteil, dass evtl. viel Konfigurationsaufwand bei euch aufkommt.
c) Anweisung der Geschäftsleitung, dass fremde IT-Geräte nicht ans Firmennetzwerk angeschlossen werden dürfen -> Verstoß Abmahnung.
Ich persönlich würde erstmal schauen ob c) mein Problem löst. Anderen falls eben eine technische Umsetzung nach a) oder b).
Grüße,
Daniel
es gibt dazu verschiedene Ansätze:
a) NAP von Microsoft... damit kannst du z.B. definieren, dass nur registierte AD-Computer ins Netzwerk Zugang erlangen.
b) Port-Security auf den LAN-Switches... d.h. an jedem Port wird die MAC-Adresse hinterlegt und sobald eine andere MAC-Adresse sich meldet wird der Port abgeschalten. Hat den Nachteil, dass evtl. viel Konfigurationsaufwand bei euch aufkommt.
c) Anweisung der Geschäftsleitung, dass fremde IT-Geräte nicht ans Firmennetzwerk angeschlossen werden dürfen -> Verstoß Abmahnung.
Ich persönlich würde erstmal schauen ob c) mein Problem löst. Anderen falls eben eine technische Umsetzung nach a) oder b).
Grüße,
Daniel
Moin,
bei meinem Brötchengeber ( ca. 1.800 MA, davon die Hälfte mit mobilen Geräten im AD) gibt es eine glasklare Richtlinie, die das Einstöpseln privater Hardware in das Firmennetz verbietet.
Wer dagegen verstößt, riskiert postwendend eine Abmahnung.
Gruß
Uwe
bei meinem Brötchengeber ( ca. 1.800 MA, davon die Hälfte mit mobilen Geräten im AD) gibt es eine glasklare Richtlinie, die das Einstöpseln privater Hardware in das Firmennetz verbietet.
Wer dagegen verstößt, riskiert postwendend eine Abmahnung.
Gruß
Uwe
HI,
danke für die Idee. Unsere Rechner sind natürlich alle mit einem Virenschutz ausgerüstet. DIe Fremden die wir eigentlich eh nicht am netz haben wollen kenne ich ja nicht.
1. Vorschlag Getway
Ich denke das wird schwirig, da ich auf unser Getway für die INternetverbindung keinen zugriff habe. Denn unsere Zentrale Firewall ist im Rechenzentrum unseres MPLS Netz Providers und nicht bei uns im Haus.
2. Switch
Nicht alle unserer Standorte haben schon Managebare Switches .. schade ... Idee aber gut.
Danke für die Antwort!
danke für die Idee. Unsere Rechner sind natürlich alle mit einem Virenschutz ausgerüstet. DIe Fremden die wir eigentlich eh nicht am netz haben wollen kenne ich ja nicht.
1. Vorschlag Getway
Ich denke das wird schwirig, da ich auf unser Getway für die INternetverbindung keinen zugriff habe. Denn unsere Zentrale Firewall ist im Rechenzentrum unseres MPLS Netz Providers und nicht bei uns im Haus.
2. Switch
Nicht alle unserer Standorte haben schon Managebare Switches .. schade ... Idee aber gut.
Danke für die Antwort!
Ich schau mal wie das genau umzusetzten wäre.
Danke!
Danke!
Zitat von @Flubber42:
Ich denke das wird schwirig, da ich auf unser Getway für die INternetverbindung keinen zugriff habe. Denn unsere Zentrale
Firewall ist im Rechenzentrum unseres MPLS Netz Providers und nicht bei uns im Haus.
Ich denke das wird schwirig, da ich auf unser Getway für die INternetverbindung keinen zugriff habe. Denn unsere Zentrale
Firewall ist im Rechenzentrum unseres MPLS Netz Providers und nicht bei uns im Haus.
Aber ihr müsst doch irgendwas im lokalen Netzwerk haben? Und sei es ein Proxyserver...
Hallo Dani,
zu deinen vorschlägen:
a) Klingt sehr vielversprechend! Das Prüfe ich mal näher wie das geht. Oder hast du dazu nährere Informationen Link etc...??
b) Leider hat nicht jeder Standort einen Managebaren Switch ... fällt also leider aus ;-(
c) Tja ... das währe eine idee aber dabei gibt es 2 Probleme:
1. Da wir 2 Admins nicht überall gleichzeitig sein können fällt uns das zum teil gar nicht auf daher die Mail Idee (ist leider so) wir stellen das "vergehen" meißt bei Überraschungsbesuchen fest.
2. Unser Chef weiß davon aber es ist noch nichts passiert. Und daher bekam noch keiner eine Abmahnung. Also Chef Problem!
zu deinen vorschlägen:
a) Klingt sehr vielversprechend! Das Prüfe ich mal näher wie das geht. Oder hast du dazu nährere Informationen Link etc...??
b) Leider hat nicht jeder Standort einen Managebaren Switch ... fällt also leider aus ;-(
c) Tja ... das währe eine idee aber dabei gibt es 2 Probleme:
1. Da wir 2 Admins nicht überall gleichzeitig sein können fällt uns das zum teil gar nicht auf daher die Mail Idee (ist leider so) wir stellen das "vergehen" meißt bei Überraschungsbesuchen fest.
2. Unser Chef weiß davon aber es ist noch nichts passiert. Und daher bekam noch keiner eine Abmahnung. Also Chef Problem!
Hi Uwe,
wie oben schon gesagt wäre mir das auch am liebsten aber da scheitert es leider an der gutmütigkeit unseres Chefs!
Sorry
Aber Danke für die Antwort
wie oben schon gesagt wäre mir das auch am liebsten aber da scheitert es leider an der gutmütigkeit unseres Chefs!
Sorry
Aber Danke für die Antwort
Jeder Standort (MS 2003Server + 2008Server) Zeigt DNS und getway mäßig auf unseren Zentral Server in einem Standort. Dieser Leitet dann alle Internetanfragen an die FW beim Provider weiter.
Kleiner nachtrag zu NAP:
hab gard mal geschaut und bin leider hängen geblieben an 2 punkten: am windows 2008 server denn wir haben auch noch 2003 im Einsatz. Und wir haben auch MAC OS Clients.
Mist!
hab gard mal geschaut und bin leider hängen geblieben an 2 punkten: am windows 2008 server denn wir haben auch noch 2003 im Einsatz. Und wir haben auch MAC OS Clients.
Mist!
ich würde einfach verkünden, daß ab sofort das netz regelmäßig auf unerlaubte kisten gescannt wird und alle Daten da drauf rückstandslos gelöscht werden.
Wenn man regelmäßig einen DUMP vom DHCP/arpcache macht und listen von gefundenen Kisten veröffentlich mit der Warung da diese wirklich gelöscht werden, sollte das doch zumindest die meisten davon abhalten.
Und wenn man dann wirklich ab und zu mal eine der Kisten "kaputtschießt" werden die Leute es sich zweimal überlegen.
lks
Nachtrag: Noch eine Idee: Alle gefunden Daten werden auf facebook hochgeladen. kommt sicher noch besser.
Wenn man regelmäßig einen DUMP vom DHCP/arpcache macht und listen von gefundenen Kisten veröffentlich mit der Warung da diese wirklich gelöscht werden, sollte das doch zumindest die meisten davon abhalten.
Und wenn man dann wirklich ab und zu mal eine der Kisten "kaputtschießt" werden die Leute es sich zweimal überlegen.
lks
Nachtrag: Noch eine Idee: Alle gefunden Daten werden auf facebook hochgeladen. kommt sicher noch besser.
Ja Angstmachen wäre auch ne idee
Höhö, einfach per DHCP an unbekannte Rechner spezielle DNS-Server ausliefern, und bei jeder aufgerufenen Webseite eine große rote Warnung "Die Geschäftsführung wurde automatisch über diesen unglücklichen Vorfall informiert" anzeigen 
Moin,
meine Idee wäre eine IP-Reservierung per MAC auf dem DHCP und eine Begrenzung des Scopes, das keine freien IPs mehr da sind.
Scan nach IPs außerhalb des Scopes und Scan nach Gültigkeit MAC zu IP.
Info über die Änderung an die User - wenn jetzt einer eine IP fest vergibt, nimmt er einem anderen eine weg - IP-Konflikt - unnötiger Supportaufwand - Belastung der Kostenstelle des Mitarbeiters mit einer Pauschale
Gruß
24
P.S. Kann mit Maxis Vorschlag kombiniert werden.
meine Idee wäre eine IP-Reservierung per MAC auf dem DHCP und eine Begrenzung des Scopes, das keine freien IPs mehr da sind.
Scan nach IPs außerhalb des Scopes und Scan nach Gültigkeit MAC zu IP.
Info über die Änderung an die User - wenn jetzt einer eine IP fest vergibt, nimmt er einem anderen eine weg - IP-Konflikt - unnötiger Supportaufwand - Belastung der Kostenstelle des Mitarbeiters mit einer Pauschale
Gruß
24
P.S. Kann mit Maxis Vorschlag kombiniert werden.
Haha! Sehr geil!
ich habe eben mit einem Kumpel Telefoniert wegen dem Problem und sind dabei auf eine Sehr einfach Lösung gekommen:
1. Ich führe mit einer Batch Datei den ARP befehl von Windows aus und lasse mir die Ergebnisse in eine Textdatei ausgeben
2. Ein eigenes kleines Software Projekt welches die ARP Textdatei mit der MAC Textdatei vergleicht
3. Sollte eine MAC in der ARP auftauchen die nicht in der MAC Datei steht Packt er diese mit der IP in eine EMail und sendet diese an mich.
So einfach kann es sein.
Aber Danke für eure Zahlreichen antworten!
ich habe eben mit einem Kumpel Telefoniert wegen dem Problem und sind dabei auf eine Sehr einfach Lösung gekommen:
1. Ich führe mit einer Batch Datei den ARP befehl von Windows aus und lasse mir die Ergebnisse in eine Textdatei ausgeben
2. Ein eigenes kleines Software Projekt welches die ARP Textdatei mit der MAC Textdatei vergleicht
3. Sollte eine MAC in der ARP auftauchen die nicht in der MAC Datei steht Packt er diese mit der IP in eine EMail und sendet diese an mich.
So einfach kann es sein.
Aber Danke für eure Zahlreichen antworten!
dass mir eine Software ca. alle 10 min. das komplette netzt scannt nach MAC´s
Nach MAC-IDs kann man nicht scannen, weil es nicht wie bei IP eine "Who has"-Funktion gibt.
Jeder Standort (MS 2003Server + 2008Server) Zeigt DNS und getway mäßig auf unseren Zentral Server in einem Standort.
Ist euer MPLS-Netz gebridget oder geroutet?
MAC-IDs sind immer nur im selben Layer 2 Segment sichtbar, d.h. nach dem ersten Router kann man die MAC-ID des Rechners nicht mehr sehen.
a) NAP von Microsoft... damit kannst du z.B. definieren, dass nur registierte AD-Computer ins Netzwerk Zugang erlangen.
NAP ist eine M$-Erweiterung für 802.1x, braucht also ohnehin immer managebare Switche.
Und wir haben auch MAC OS Clients.
Es gibt einen 3rd-Party-NAP-Client für OS X.
ist zwar jetzt nicht wirklich meine Stärke aber such mal nach IEEE 802.1X.
802.1x in kabelgebundenen Netzwerken ist unsicher.
1. Ich führe mit einer Batch Datei den ARP befehl von Windows aus und lasse mir die Ergebnisse in eine Textdatei ausgeben
Denk aber daran:
- Im ARP-Cache eines Rechners befinden sich nur die MAC-IDs mit denen der PC auch tatsächlich Kontakt hatte (somit macht sowas nur auf Servern oder Routern Sinn)
- MAC-IDs sind nur bis zum nächsten Router gültig
Aaaalso...
Ohne die Switche auszutauschen bleibt dir damit nur eine Möglichkeit, wenn du es wirklich sicher haben willst: Domain Isolation
Das ist im Prinzip zertifikatbasiertes IPSec mit Firewall und darum recht aufwendig in der Konfiguration.
Wenn du aber nur nach der Zwiebelschalen-Taktik (soll heißen, du gehst davon aus keiner der MA weiß was eine MAC-ID ist) arbeiten willst, dann tausche zuerst mal alle Switche gegen managebare aus. Dann hast du mehr Möglichkeiten:
- Port Security: Sperrt einen Port auf die erste MAC-ID, verhindert selbst-mitgebrachte Switche und WLAN-APs
- 802.1x mit MAC-ID und Guest VLAN: Lässt nur PCs mit eingetragenen MAC-IDs ins Netzwerk, alle werden verboten ober können in ein Gäste-Netzwerk gesteckt werden (außerdem lässt sich nachvollziehen an welchem Port sich ein Client versucht hat anzumelden)
- DHCP-Snooping: Lässt einen Switchport nur zu, wenn das Gerät eine IP vom DHCP-Server bekommen hat (und schützt vor gefälschten DHCP-Servern)
Wir setzen in unserer Firma 2 Tools ein.
1. McAfee Rogue Sensor
2. arpwatch
es soll auch bei Einsatz von HP Switchen ein ProCurve Manager geben der den ARP-Cache auslesen kann
1. McAfee Rogue Sensor
2. arpwatch
es soll auch bei Einsatz von HP Switchen ein ProCurve Manager geben der den ARP-Cache auslesen kann
Aber hallo!
Danke für die ausführliche Beschreibung! Das findet man nicht all so oft. Wobei ich für jede Hilfe dankbar bin. Und ich glaube mit deiner Beschreibung hast du nicht nur mir geholfen.
So weit ich das weiß, müsste unser MPLS Netz geroutet sein. Das über den Router die MAC´s nicht abfragbar sind weiß ich. Daher wollte ich das tool auf jedem Server einrichten und auf die ein und selbe Textdatei mit den vorhandenen MAC adressen abfragen lassen. Da um ins Internet zu kommen die PC´s alle über den Server müssen der auch im Standort DNS macht vorbei müssen, stehen auch alle MAC´s in deren ARP Cache.
Das mit den Switches Tauschen sehe ich mal drüber weg. Denn ich denke nicht, dass mein Chef jetzt lust auf derart hohe ausgaben hat. Allerdings werden alte defekt eh nur nurch Managebare ausgetauscht.
Da unsere Verkäufer ja mit Ihren Laptops den Standort ab und zu wechseln, muss ich den Pflegeaufwand auch so niedrig wie möglich halten.
Ich probiere mal die Lösung die ich angedacht habe aus dann werde ich sehen, ob das so klappt in der Praxis. Ein erfolg, müsste sich ja dann direkt bei dem ersten tag zeigen
LG Flubber
Danke für die ausführliche Beschreibung! Das findet man nicht all so oft. Wobei ich für jede Hilfe dankbar bin. Und ich glaube mit deiner Beschreibung hast du nicht nur mir geholfen.
So weit ich das weiß, müsste unser MPLS Netz geroutet sein. Das über den Router die MAC´s nicht abfragbar sind weiß ich. Daher wollte ich das tool auf jedem Server einrichten und auf die ein und selbe Textdatei mit den vorhandenen MAC adressen abfragen lassen. Da um ins Internet zu kommen die PC´s alle über den Server müssen der auch im Standort DNS macht vorbei müssen, stehen auch alle MAC´s in deren ARP Cache.
Das mit den Switches Tauschen sehe ich mal drüber weg. Denn ich denke nicht, dass mein Chef jetzt lust auf derart hohe ausgaben hat
. Allerdings werden alte defekt eh nur nurch Managebare ausgetauscht.Da unsere Verkäufer ja mit Ihren Laptops den Standort ab und zu wechseln, muss ich den Pflegeaufwand auch so niedrig wie möglich halten.
Ich probiere mal die Lösung die ich angedacht habe aus dann werde ich sehen, ob das so klappt in der Praxis. Ein erfolg, müsste sich ja dann direkt bei dem ersten tag zeigen
LG Flubber
Am sinnvollsten zur Problemlösung ist eine Mac Authentisierung mit 802.1x wie es heute fast jeder Billigswitch supportet:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Zitat von @Flubber42:
Kleiner nachtrag zu NAP:
hab gard mal geschaut und bin leider hängen geblieben an 2 punkten: am windows 2008 server denn wir haben auch noch 2003 im
Einsatz. Und wir haben auch MAC OS Clients.
Mist!
Morgen,Kleiner nachtrag zu NAP:
hab gard mal geschaut und bin leider hängen geblieben an 2 punkten: am windows 2008 server denn wir haben auch noch 2003 im
Einsatz. Und wir haben auch MAC OS Clients.
Mist!
u.a. deswegen gibt es auch andere Anbieter, die solche Funktionen bereitstellen.
Ich nenne hier mal Symantec Network Acces Control (weil ich es auch kenne).
Aber ohne managebare Switches wird das auch nichts.
Mit DHCP / MAC-Listen hat man nur eine sehr kleine Hürde, man muss kein Profi sein um diese zu umgehen.
Die sauberste Variante das automatisiert ohne regelmässige zeitaufwändige Fummel/Abgleichaktionen wäre 802.1X.
Jeder Rechner der an nen Switchport geklemmt wird muss sich erstmal am AD authentisieren (Computerkonto bzw. Benutzerkonto) via Radius (IAS bzw. NPS Server),
dann kommt er erst rein.
FremdPCs die sich nicht authentisieren können kommen in ein "Gast-VLAN" und haben eventuell nur Internet Access oder halt garnix.
Selbst WENN du dir die Arbeit machst und dir "fremde" MAC-Adressen schicken lässt, von irgendeinem STandort wo irgendwas grade abläuft - was machst du dann damit?
Wenn der User sagt "..oh, da müssen sie sich irren, prüfen Sie das nochmal...". Ja und dann?
Und wenn dies ein Geschäftsführer oder V.I.P-Wichtigtuer ist, willst du als "Bodenpersonal-Admin" mit dem anlegen und rumkaspern und dir Feinde machen?
Ein findiger User könnte seinem Privat PC auch ohne weiteres eine MAC-Adresse geben die in deiner Liste erlaubt ist, das ist auch keine grosse Kunst.
Bleibt nur 802.1X in Absprache mit der Geschäftsleitung, - oder man geht den politischen Weg und die Geschäfts/IT-Leitung droht mit Konsequenzen wenn die Leute sich nicht an die IT-Regeln halten.
Die sauberste Variante das automatisiert ohne regelmässige zeitaufwändige Fummel/Abgleichaktionen wäre 802.1X.
Jeder Rechner der an nen Switchport geklemmt wird muss sich erstmal am AD authentisieren (Computerkonto bzw. Benutzerkonto) via Radius (IAS bzw. NPS Server),
dann kommt er erst rein.
FremdPCs die sich nicht authentisieren können kommen in ein "Gast-VLAN" und haben eventuell nur Internet Access oder halt garnix.
Selbst WENN du dir die Arbeit machst und dir "fremde" MAC-Adressen schicken lässt, von irgendeinem STandort wo irgendwas grade abläuft - was machst du dann damit?
Wenn der User sagt "..oh, da müssen sie sich irren, prüfen Sie das nochmal...". Ja und dann?
Und wenn dies ein Geschäftsführer oder V.I.P-Wichtigtuer ist, willst du als "Bodenpersonal-Admin" mit dem anlegen und rumkaspern und dir Feinde machen?
Ein findiger User könnte seinem Privat PC auch ohne weiteres eine MAC-Adresse geben die in deiner Liste erlaubt ist, das ist auch keine grosse Kunst.
Bleibt nur 802.1X in Absprache mit der Geschäftsleitung, - oder man geht den politischen Weg und die Geschäfts/IT-Leitung droht mit Konsequenzen wenn die Leute sich nicht an die IT-Regeln halten.
