geforce28
Goto Top

Neue Netzwerkgeräte entdecken

Hallo zusammen,

ich habe eine Netzwerkumgebung aus Cisco SG500 + Cisco SG200 Switchen.
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.

Gibt es eine Art "fertig-Lösung" oder gutes Tutorial, wie man das am besten umsetzen kann ?

Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen belibigen Port in meinem Netzwerk steckt.


Habt ihr Ideen / Tipps, wie ich das am besten realisieren kann ?

Vielen Dank im Voraus schonmal! face-smile

Content-Key: 327717

Url: https://administrator.de/contentid/327717

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: Pjordorf
Pjordorf 27.01.2017 um 19:31:54 Uhr
Goto Top
Hallo,

Zitat von @geforce28:
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Mal geschaut was deine beiden Switche so können?

Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen belibigen Port in meinem Netzwerk steckt.
Definiere doch mal fremdes Netzwerkgerät. Wann ist es Fremd oder bekannt? Was unterschiede Fremde Geräte von bekannten geräten? Wer oder was entscheided dies? 802.1x reicht dir also nicht? Ab wann ist ein fremdes Gerät keine fremdes Gerät mehr?

Gruß,
Peter
Mitglied: geforce28
geforce28 27.01.2017 um 19:40:38 Uhr
Goto Top
N'abend ;)

Ja klar, habe ich schon geschaut, was die so können, aber auf was speziell möchtest du hinaus ?
IP Source Guard ?..


Ich würde eine Datenbank pflegen, mit MAC-Adressen der "bekannten" Geräte & alle anderen die auftauchen sind zunächst unbekannt und ich möchte eine Nachricht erhalten...

zu dem 802.1x:
Setze ich momentan noch nicht ein, finde ich aber interessant, muss aber auch von allen Endgeräten unterstützt werden, oder ?
Mitglied: Pjordorf
Pjordorf 27.01.2017 um 20:00:48 Uhr
Goto Top
Hallo,

Zitat von @geforce28:
Ja klar, habe ich schon geschaut, was die so können, aber auf was speziell möchtest du hinaus ?
Dann hast du ja gesehen das dein SG200 zb. dir keinerlei option bietet deine dir gestrickte Datenbank einzupflegen oder gar eine Abfrage zu tätigen oder gar Vergleiche durchzuführen.....

Ich würde eine Datenbank pflegen, mit MAC-Adressen der "bekannten" Geräte & alle anderen die auftauchen sind zunächst unbekannt und ich möchte eine Nachricht erhalten...
Und diese Datenbank bzw. deren Frontend oder whatsoever ist dann wohl auch in der lage die MACs von deiner SG... abzuholen und entsprechend deiner Wünsche dann zu verfahren. ARP Check oder Nagios und SNMP oder oder oder. Die Switche liefern dir nur die Rohdaten, ein Monitoring ala Nagios würde den Rest machen, oder eben deine Datenbank mit drumherum....

Gruß,
Peter
Mitglied: geforce28
geforce28 27.01.2017 um 20:10:36 Uhr
Goto Top
Ja ein Nagios / Icinga wollten wir sowieso einführen für das Monitoring unserer Virtualisierungsserver, aber das gehört hier jetzt nicht her...

Aber selbst der SG200 hat ja eine ARP Datenbank mit den Informationen, welche MAC-Adresse an welchem Port hängt..
Die kann ich im Webfrontend auch einsehen.

Die Frage ist ja jetzt nur, wie richtige ich es im Icinga Server so ein, dass diese ARP Datenbank aus den Switchen ausgelesen wird und bei neuen Geräten eine Benachrichtigung erfolgt ?
Ich habe im Netz dazu keine "Anleitung" oder soetwas gefunden und so komplett alles selbst programmieren möchte ich eigentlich nicht.


Als Alternative hatte ich mir gerade mal ARPWatch angeschaut.
Der ARPWatch-Dienst würde dann quasi alle ARP Pakete im Netzwerk mitloggen kann auch bei neuen Geräten benachrichtigen...

Habe ich denn irgendwelche Nachteile, wenn ich ARPWatch verwende, anstatt den Switch ARP-Table ?

Bekommt ARPWatch eventuell einige Geräte garnicht mit, wenn jemand böswillig genug ist und garkein ARP-Paket im Netzwerk verschickt, oder geht eine Kommunikation garnicht ohne ?
Mitglied: pablovic
Lösung pablovic 27.01.2017 um 20:33:48 Uhr
Goto Top
Ich verwende auch ARP Watch was für mich den Zweck erfüllt, der da ist, jemand steckt sein privates Notebook ein und ich erfahre es. So wie ich das Verstanden habe nimmt das Programm Broadcasts auf, die z.b. beim DHCP anfallen und merkt sich welche IP/Host zu welcher MAC gehört.

Wenn jemand böses versuchen würde ARP Watch zu täuschen, wäre das wahrscheinliche einfach möglich (ARP Spoofing) von daher wenn du mehr Sicherheit möchtest würde ich den Ansatz von Pjordorf verwenden.

Good night
Mitglied: Spirit-of-Eli
Spirit-of-Eli 27.01.2017 aktualisiert um 23:11:27 Uhr
Goto Top
Wie, haben die Cisco Teile etwa nicht so etwas wie einen "ARP-Guard"??? :D

Ich halte nicht viel von Cisco und kenne die Switche nicht gut. Klärt mich auf.

Und klar, ARP-Spoofing ist kein Thema. Aber eben die erste Schicht.
Mitglied: 108012
Lösung 108012 28.01.2017 um 04:09:20 Uhr
Goto Top
Hallo,

ich habe eine Netzwerkumgebung aus Cisco SG500 + Cisco SG200 Switchen.
Und mehr nicht? Server, NAS, SAN oder andere Geräte?
Einen abschließbaren Serverraum?
Wie hoch wäre das Budget denn?

Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran,.....
Eindringlinge von außen oder von drinnen oder beides?
Egal, man kann ja auch versuchen diese gar nicht erst eindringen zu lassen, oder?
- LDAP Rolle auf dem AD/DC
- OpenLDAP Server
- Radius Server für WLAN oder LAN Klienten
- Captive Portal mit VLANs für WLAN Klienten der Gäste
- Host und/oder Netz basierendes IDS/IPS
- Netzwerkmonitoring á la PRTG, Nagios2 oder anderen

Sicherheit ist nie ein Punkt alleine und damit wären dann alle oder mehrere Punkte die ich hier aufgezählt habe auch nicht
schlecht wenn man sie nur konsequent umsetzt oder gar mehrere davon kombiniert.

dass man dies eventuell über die Cisco Switche machen könnte.
Mittels VLANs und/oder ACLs auf dem Switch lassen sich solche Sachen auch realisieren, oder?

Gibt es eine Art "fertig-Lösung" oder gutes Tutorial, wie man das am besten umsetzen kann ?
LDAP Server, Radius Server Snort oder Suricata Sensoren und Server, PRTG und Kentix Sensoren, ein abschließbarer Serverraum
Zertifikate auf allen Server und Klienten,........

Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen
belibigen Port in meinem Netzwerk steckt.
Man sollte verhindern das diese Klienten überhaupt in das Netzwerk kommen und eventuell gleich alle nicht benutzen Ports am
Switch sperren oder ausschalten oder mittels Zertifikaten sicherstellen das diese und zwar nur diese mit dem Zertifikat in das
Netzwerk kommen. Dann kann dort jeder an den Ports im Büro anschließen was er und wie er will.

Habt ihr Ideen / Tipps, wie ich das am besten realisieren kann ?
- LDAP Rolle oder OpenLDAP Server
- Radius Server mit Zertifikaten und Verschlüsselung
- Captive Portal im eigenen VLAN für WLAN Gäste
- VLAN fähige Switche mit ACLs, MacSec und Multi-Radius Auth. per Port
- Host und Netz basierendes IDS/IPS
- AD/DC Struktur und GPOs für LAN und USB Geräte
- Netzwerkmonitoring mit PRTG und Kentix Sensoren
- Alarm per eMail und SMS
- Syslog Server auf die alle Syslogs kommen
- UTM mit IDS/IPS am WAN Interface
- DMZ für Server mit Internetkontakt und extra LAN für alles andere
- Kein BYOD
- Keine private Nutzung des Internets
- Alle zwei Jahre unterschrieben lassen Betriebsanweisung von den MA
- Schulungen abhalten, schulen und nochmals schulen
- Eigenen Server oder VM für PRTG

Eines mehrere oder alle zusammen bringen den einen oder anderen Erfolg zu Deinem Thema.

Gruß
Dobby