Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Unbekannte MAC Adressen in der DHCP Liste auf SBS2003 ?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: krzysiek

krzysiek (Level 1) - Jetzt verbinden

21.06.2007, aktualisiert 03.01.2009, 7000 Aufrufe, 4 Kommentare

Hacker oder Fehler?

Halli hallo!
Ich habe eine Frage zur Server-Sicherheit. Wir haben in der Firma einen kleinen SBS2003 Server. Ich habe nun heute beim aufrufen der DHCP Liste zwei Einträge bemerkt, die ich nicht kenne. In der DHCP Liste waren 2 IP Adressen die vergeben worden sind an Stationen mit den Namen "Süße." und "Mary." Dies hat mich sofort verwundert, weil ich unsere Stationen kenne, und ich weiß, dass keine der Stationen so heißt. Wie kann ich herausfinden, ob dies ein Angriff war oder vielleicht noch weiterhin ist?
Was mich wundert: der Server ist nicht aus dem Internet erreichbar, ein Router mit eingeschalteter Firewall ist dazwischen geschaltet. Der Server dient nur als Datenserver und macht auch DNS und DHCP. In den DHCP Log's fand ich folgende Einträge:

11,06/15/07,13:51:06,Erneuern,192.168.1.18,süße.,00023F7FCF2C,
11,06/15/07,14:01:16,Erneuern,192.168.1.18,süße.,00023F7FCF2C,

16,06/21/07,18:53:06,Gelöscht,192.168.1.11,,0001A8C0010010DCE76C66,INTERN\Administrator
16,06/21/07,18:53:16,Gelöscht,192.168.1.18,,0001A8C00100023F7FCF2C,INTERN\Administrator

Was mich wundert ist die Tatschae, daß im Router Log sowohl die MAC Adressen wie auch die IP Adressen nicht auftauchen.
In der ARP Cache Tabelle im Router ist nichts, in der Routing Tabelle ist nichts, in der NAT Tabelle ist nichts.

Nun weiß ich nicht was ich davon halten soll, und deshalb habe ich mir gedacht Euch zu fragen, vielleicht habt Ihr noch eine Idee wo ich suchen soll um festzustellen, ob da was nicht in Ordnung ist.

Danke jetzt schon für Eure Hilfe
Grüße
XK
Mitglied: spacyfreak
21.06.2007 um 22:04 Uhr
Entweder hat einer sein Notebook von daheim angeschlossen, oder es ist ne VMware Virtuelle Maschine. Habt ihr zufällig ne Mitarbeiterin die Mary heisst? Oder ne süsse Praktikantin?
Schau mal im Arp Cache des switches nach. Aber kann auch sein dass der / die REchner garnichtmehr am Netz hängen, dann leert sich der Arpeintrag nach ner Weile wieder von alleine. Von aussen wirds kaum gekommen sein, sondern von innen.
Bitte warten ..
Mitglied: krzysiek
21.06.2007 um 22:34 Uhr
hmmm, VMWare habe ich überprüft, da heißen die Machinen anders (VM01 usw.) Eine Mitarbeiterin oder eine süße Praktikantin haben wir noch nicht
Der ARP Cache im Switch hilft nicht weiter. Ich kann es mir einfach nicht erklären, und deshalb beunruhigt mich das sehr. Ich habe nun den DHCP Cache geleert, bzw. die komischen Einträge rausgeschmissen um zu sehen ob die wieder kommen.
Gibt es irgendwo eine Möglichkeit die Protokolle so einzustellen oder auszulesen, indem ich ein genaues Protokoll über die durchgeführten Anmeldungen im Bezug auf die Machinen oder MAC Adressen sehen kann? Danke,XK
Bitte warten ..
Mitglied: spacyfreak
21.06.2007 um 22:46 Uhr
Kein Grund zur Besorgnis.
Da hat einer sich eben ans Netz angeschlossen, der Zutritt zu LAN-Dosen hat.
Dass er vom DHCP dann eine IP erhält, ist nicht ungewöhnlich, sondern normal.
Und dass dann ein Logeintrag im DHCP Log erfolgt, ist auch normal.
Vom Internet aus wars kein Angriff - da wird sich keiner von deinem DHCP eine IP holen.
Wenn Du "ungenehmigte" Zugriffe aufs Netz verhindern willst, musst du eben 802.1X einführen, oder die Netzzugänge anders sichern (z. B. Port-Security bei Cisco).
Bitte warten ..
Mitglied: krzysiek
22.06.2007 um 08:27 Uhr
Vielen Dank, das werde ich auch einführen, bisher habe ich es ... gedacht nicht gebraucht zu haben, manchmal ist kontrolle doch besser.
danke,grüße, XK
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
LAN, WAN, Wireless
Notebooks anhand von Mac Adressen richtigem Vlan zuweisen (2)

Frage von Axel90 zum Thema LAN, WAN, Wireless ...

Netzwerkprotokolle
gelöst Nmap: Mac-Adressen erhalten von Clients in einem Remote Network (1)

Frage von clubmate zum Thema Netzwerkprotokolle ...

Linux Netzwerk
gelöst DHCP vergibt keine Adressen (32)

Frage von Maik82 zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (23)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Mac OS X
Mac kann nicht im LAN pingen alle anderen schon (19)

Frage von smartino zum Thema Mac OS X ...

Hardware
gelöst PCI-Express-Adapterfrage (14)

Frage von DerWoWusste zum Thema Hardware ...

Linux Netzwerk
DHCP IP-vergabe erst nach 1-2 Minuten (11)

Frage von Maik82 zum Thema Linux Netzwerk ...