flambo
Goto Top

Fremde hardware im Netz erkennen ohne Zugriff auf Switches

Hallo zusammen,

In unserer Firma wird ein Netz mit mehreren Servern und etwa 200 Clients betrieben. Die Netzinfrastruktur wird uns zur Verfügung gestellt und nicht von uns betrieben. Daher haben wir keinen Zugriff auf Netzkomponenten (Switches, Router).
Es kommt immer wieder vor, dass fremde Hardware ans Netz angeschlossen wird. Da wir dies verhindern wollen, suche ich nach einer Möglichkeit fremde Hardware zu erkennen und einen Alarm über Mail oder SMS zu schlagen.

Da für den grössten Teil der Tools, welche ich bis jetzt gefunden habe, ein Zugriff auf die Switches vorhanden sein muss, bin ich nun etwas ratlos. Kennt jemand eine Möglichkeit oder ein Tool welches für meinen Fall funktionieren könnte?

Ich bin für jeden Ratschlag dankbar!!

Content-Key: 178749

Url: https://administrator.de/contentid/178749

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: brammer
brammer 11.01.2012 um 16:31:49 Uhr
Goto Top
Hallo,

wie willst du den die fremden Geräte finden wenn du keinen Zugriff hast?

die Geräte beziehen entweder vom DHCP Server eine IP Adresse oder kommen mit einer Statischen Adresse ins Netz.

Du könntest regelmässig mit einem Netzwerkscanner kontrollieren welche Geräte da sind. Wenn da dann unbekannte
dabei sind, kannst du versuchen die zu finden, wie willst du das machen ohne zu wissen an welchem Switch die hängen?

Und wenn das fremde Gerät nicht auf ICMP oder SNMP reagiert dann hast du ehe gelitten.

An einem Switch rauszufinden ob fremde Teilnehmer da sind, ist, abhängig vom Switch, relativ einfach.
Wieso arbeitet ihr da nicht mit dem Dienstleister zusammen der euer Netzwerk betreut?

brammer
Mitglied: aqui
aqui 11.01.2012, aktualisiert am 18.10.2012 um 18:49:43 Uhr
Goto Top
Ohne Zugriff auf die Switches oder Infrastruktur...keine Chance !! Da kann man Kollege brammer nur zustimmen. Kanst du gleich vergessen !
Es gibt zwar solche Scanner wie iNet:
http://www.bananaglue.de/inet/index_e.php
aber die sind nicht vollständig und erfassen nicht alles. Wenn dir das aber reicht ists OK.
Sinnvoller ist eine Port Authentisierung mit 802.1x an den Switches die ihr eurem Betreiber vorschreiben solltet für eurer VLAN:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das ist mit 3 Mausklicks gemacht kann auch Billighardware und verhindert solche Probleme schon gleich im Ansatz !
Alles andere ist sinnfreie bastelei, denn wenn du Fremdhardware z.B. mit so einem Scanner wie oben "siehst" ist sie ja schon längs drin im Netz.
Pfiffige Eindringlinge siehst du so oder so nie ohne Switch Zugriff auf dessen Mac Adress Database.
Mitglied: flambo
flambo 11.01.2012 um 16:57:16 Uhr
Goto Top
Zitat von @brammer:
Hallo,

wie willst du den die fremden Geräte finden wenn du keinen Zugriff hast?

Ja das frage ich mich ja auch face-smile Ich hörte aber, dass das blosse Erkennen von fremden PCs auch ohne Zugriff auf die Switches geschehen kann. Nur weiss ich nicht wie.

die Geräte beziehen entweder vom DHCP Server eine IP Adresse oder kommen mit einer Statischen Adresse ins Netz.

Der grösste Teil der Geräte bezieht die IP vom DHCP Server. Ich könnte dort auch die MAC-Adressen definieren, welche eine IP erhalten dürfen. Werden dann statische IPs eingegeben war das Ganze umsonst...

Du könntest regelmässig mit einem Netzwerkscanner kontrollieren welche Geräte da sind. Wenn da dann unbekannte
dabei sind, kannst du versuchen die zu finden, wie willst du das machen ohne zu wissen an welchem Switch die hängen?

Ich muss nicht zwingend wissen an welchem Switch sich die Geräte befinden. Wichtig ist nur, dass ich eine Meldung erhalte wenn ein fremder PC ans netz angeschlossen wird.


Und wenn das fremde Gerät nicht auf ICMP oder SNMP reagiert dann hast du ehe gelitten.

An einem Switch rauszufinden ob fremde Teilnehmer da sind, ist, abhängig vom Switch, relativ einfach.
Wieso arbeitet ihr da nicht mit dem Dienstleister zusammen der euer Netzwerk betreut?

Ja, das habe ich auch schon herausgefunden, es ist nur leider nicht möglich Zugriff auf die Switches zu bekommen...

brammer


Mitglied: flambo
flambo 13.01.2012 um 14:25:47 Uhr
Goto Top
Ich habe eine Software namens ARP-Guard gefunden. Diese könnte in meinem Fall ev. funktionieren. Sie empfängt mit einem LAN-Sensor ARP-Pakete und hat somit den Überblick über alle Geräte im Netzwerk.

Kennt sich jemand damit aus? Könnte diese Lösung in meinem Fall funktionieren?
Mitglied: brammer
brammer 13.01.2012 um 15:01:03 Uhr
Goto Top
Hallo,

und dafür benötigst du keinen zugriff auf die Switche?

Das sehe ich aber ganz anders....

Das was die anbieten kann im übrigen auch Nagios, zumindest im wesentlichen.

brammer
Mitglied: flambo
flambo 13.01.2012 um 15:16:55 Uhr
Goto Top
Zitat von @brammer:
Hallo,

und dafür benötigst du keinen zugriff auf die Switche?

Das sehe ich aber ganz anders....

Ein Mitarbeiter der Firma, welche ARP-Guard anbietet, teilte mir folgendes mit: Ein Zugriff auf die Switches ist nur dann erforderlich, wenn eine Portsperrung/VLAN-Wechsel oder eine exakte Lokalisierung (an welchem Switchport hängt das fremde Gerät?) durchgeführt werden soll. Für eine reine Erkennung von Fremdgeräten ist lesender Zugriff per SNMP auf die Router ausreichend; alternativ kann ein LAN-Sensor genutzt werden, der dann aber in jeder Broadcastdomain platziert werden muss.

Das was die anbieten kann im übrigen auch Nagios, zumindest im wesentlichen.

Danke für die Information. Ich werde mir dies noch genauer anschauen.

brammer
Mitglied: aqui
aqui 13.01.2012 um 15:30:53 Uhr
Goto Top
Kannst du aber dann auch vergessen, da der Netzbetreiber die lesenden SNMP Zugriff auf die Geräte einrichten muss und dir damit dann auch einen SNMP Community String mitteilen muss.
Kannst du also in deinem Falle auch vergessen wenn du keinen Zugriff auch die Infrastruktur hast. Zudem müssen die Switches überhaupt mangebar und auch noch SNMP fähig sein was du ja gar nicht weist (oder uns wenigstens nicht mitteilst). Außerdem ist das ARP Watch leicht aushebelbar und auch nicht wasserdicht zum Erkennen von Fremdgeräten.
Wie gesagt sicher ist das nur 802.1x Port Auhtentisierung, sei es auf Mac Basis, .1x oder einer Kombination von beidem.