Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Unbekannte MAC Adressen in der DHCP Liste auf SBS2003 ?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: krzysiek

krzysiek (Level 1) - Jetzt verbinden

21.06.2007, aktualisiert 03.01.2009, 7007 Aufrufe, 4 Kommentare

Hacker oder Fehler?

Halli hallo!
Ich habe eine Frage zur Server-Sicherheit. Wir haben in der Firma einen kleinen SBS2003 Server. Ich habe nun heute beim aufrufen der DHCP Liste zwei Einträge bemerkt, die ich nicht kenne. In der DHCP Liste waren 2 IP Adressen die vergeben worden sind an Stationen mit den Namen "Süße." und "Mary." Dies hat mich sofort verwundert, weil ich unsere Stationen kenne, und ich weiß, dass keine der Stationen so heißt. Wie kann ich herausfinden, ob dies ein Angriff war oder vielleicht noch weiterhin ist?
Was mich wundert: der Server ist nicht aus dem Internet erreichbar, ein Router mit eingeschalteter Firewall ist dazwischen geschaltet. Der Server dient nur als Datenserver und macht auch DNS und DHCP. In den DHCP Log's fand ich folgende Einträge:

11,06/15/07,13:51:06,Erneuern,192.168.1.18,süße.,00023F7FCF2C,
11,06/15/07,14:01:16,Erneuern,192.168.1.18,süße.,00023F7FCF2C,

16,06/21/07,18:53:06,Gelöscht,192.168.1.11,,0001A8C0010010DCE76C66,INTERN\Administrator
16,06/21/07,18:53:16,Gelöscht,192.168.1.18,,0001A8C00100023F7FCF2C,INTERN\Administrator

Was mich wundert ist die Tatschae, daß im Router Log sowohl die MAC Adressen wie auch die IP Adressen nicht auftauchen.
In der ARP Cache Tabelle im Router ist nichts, in der Routing Tabelle ist nichts, in der NAT Tabelle ist nichts.

Nun weiß ich nicht was ich davon halten soll, und deshalb habe ich mir gedacht Euch zu fragen, vielleicht habt Ihr noch eine Idee wo ich suchen soll um festzustellen, ob da was nicht in Ordnung ist.

Danke jetzt schon für Eure Hilfe
Grüße
XK
Mitglied: spacyfreak
21.06.2007 um 22:04 Uhr
Entweder hat einer sein Notebook von daheim angeschlossen, oder es ist ne VMware Virtuelle Maschine. Habt ihr zufällig ne Mitarbeiterin die Mary heisst? Oder ne süsse Praktikantin?
Schau mal im Arp Cache des switches nach. Aber kann auch sein dass der / die REchner garnichtmehr am Netz hängen, dann leert sich der Arpeintrag nach ner Weile wieder von alleine. Von aussen wirds kaum gekommen sein, sondern von innen.
Bitte warten ..
Mitglied: krzysiek
21.06.2007 um 22:34 Uhr
hmmm, VMWare habe ich überprüft, da heißen die Machinen anders (VM01 usw.) Eine Mitarbeiterin oder eine süße Praktikantin haben wir noch nicht
Der ARP Cache im Switch hilft nicht weiter. Ich kann es mir einfach nicht erklären, und deshalb beunruhigt mich das sehr. Ich habe nun den DHCP Cache geleert, bzw. die komischen Einträge rausgeschmissen um zu sehen ob die wieder kommen.
Gibt es irgendwo eine Möglichkeit die Protokolle so einzustellen oder auszulesen, indem ich ein genaues Protokoll über die durchgeführten Anmeldungen im Bezug auf die Machinen oder MAC Adressen sehen kann? Danke,XK
Bitte warten ..
Mitglied: spacyfreak
21.06.2007 um 22:46 Uhr
Kein Grund zur Besorgnis.
Da hat einer sich eben ans Netz angeschlossen, der Zutritt zu LAN-Dosen hat.
Dass er vom DHCP dann eine IP erhält, ist nicht ungewöhnlich, sondern normal.
Und dass dann ein Logeintrag im DHCP Log erfolgt, ist auch normal.
Vom Internet aus wars kein Angriff - da wird sich keiner von deinem DHCP eine IP holen.
Wenn Du "ungenehmigte" Zugriffe aufs Netz verhindern willst, musst du eben 802.1X einführen, oder die Netzzugänge anders sichern (z. B. Port-Security bei Cisco).
Bitte warten ..
Mitglied: krzysiek
22.06.2007 um 08:27 Uhr
Vielen Dank, das werde ich auch einführen, bisher habe ich es ... gedacht nicht gebraucht zu haben, manchmal ist kontrolle doch besser.
danke,grüße, XK
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
DHCP Mac Adresse einer IP zuweisen (8)

Frage von vikozo zum Thema Netzwerkmanagement ...

Netzwerkmanagement
gelöst MAC Adresse verändert sich? (35)

Frage von voidcount zum Thema Netzwerkmanagement ...

Netzwerkmanagement
gelöst Über DHCP Mac-Adressen für einem bestimmten Bereich freigeben, Rest sperren (8)

Frage von Mesaric zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst Cisco DHCP Reservierung mit MAC Addresse (4)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Exchange Server

Mittels Batch-Script Exchange-Logs sammeln und archivieren

Anleitung von beidermachtvongreyscull zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
SSL Zertifikat für HTTPS (26)

Frage von Hendrik2586 zum Thema Verschlüsselung & Zertifikate ...

Grafikkarten & Monitore
24" oder 27" mit Full HD oder doch mehr Auflösung? (20)

Frage von brutzler zum Thema Grafikkarten & Monitore ...

Netzwerke
Ip Adressenkonflikt bei Großfamilie (12)

Frage von gunter zum Thema Netzwerke ...