Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Unbekannte MAC Adressen in der DHCP Liste auf SBS2003 ?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: krzysiek

krzysiek (Level 1) - Jetzt verbinden

21.06.2007, aktualisiert 03.01.2009, 7005 Aufrufe, 4 Kommentare

Hacker oder Fehler?

Halli hallo!
Ich habe eine Frage zur Server-Sicherheit. Wir haben in der Firma einen kleinen SBS2003 Server. Ich habe nun heute beim aufrufen der DHCP Liste zwei Einträge bemerkt, die ich nicht kenne. In der DHCP Liste waren 2 IP Adressen die vergeben worden sind an Stationen mit den Namen "Süße." und "Mary." Dies hat mich sofort verwundert, weil ich unsere Stationen kenne, und ich weiß, dass keine der Stationen so heißt. Wie kann ich herausfinden, ob dies ein Angriff war oder vielleicht noch weiterhin ist?
Was mich wundert: der Server ist nicht aus dem Internet erreichbar, ein Router mit eingeschalteter Firewall ist dazwischen geschaltet. Der Server dient nur als Datenserver und macht auch DNS und DHCP. In den DHCP Log's fand ich folgende Einträge:

11,06/15/07,13:51:06,Erneuern,192.168.1.18,süße.,00023F7FCF2C,
11,06/15/07,14:01:16,Erneuern,192.168.1.18,süße.,00023F7FCF2C,

16,06/21/07,18:53:06,Gelöscht,192.168.1.11,,0001A8C0010010DCE76C66,INTERN\Administrator
16,06/21/07,18:53:16,Gelöscht,192.168.1.18,,0001A8C00100023F7FCF2C,INTERN\Administrator

Was mich wundert ist die Tatschae, daß im Router Log sowohl die MAC Adressen wie auch die IP Adressen nicht auftauchen.
In der ARP Cache Tabelle im Router ist nichts, in der Routing Tabelle ist nichts, in der NAT Tabelle ist nichts.

Nun weiß ich nicht was ich davon halten soll, und deshalb habe ich mir gedacht Euch zu fragen, vielleicht habt Ihr noch eine Idee wo ich suchen soll um festzustellen, ob da was nicht in Ordnung ist.

Danke jetzt schon für Eure Hilfe
Grüße
XK
Mitglied: spacyfreak
21.06.2007 um 22:04 Uhr
Entweder hat einer sein Notebook von daheim angeschlossen, oder es ist ne VMware Virtuelle Maschine. Habt ihr zufällig ne Mitarbeiterin die Mary heisst? Oder ne süsse Praktikantin?
Schau mal im Arp Cache des switches nach. Aber kann auch sein dass der / die REchner garnichtmehr am Netz hängen, dann leert sich der Arpeintrag nach ner Weile wieder von alleine. Von aussen wirds kaum gekommen sein, sondern von innen.
Bitte warten ..
Mitglied: krzysiek
21.06.2007 um 22:34 Uhr
hmmm, VMWare habe ich überprüft, da heißen die Machinen anders (VM01 usw.) Eine Mitarbeiterin oder eine süße Praktikantin haben wir noch nicht
Der ARP Cache im Switch hilft nicht weiter. Ich kann es mir einfach nicht erklären, und deshalb beunruhigt mich das sehr. Ich habe nun den DHCP Cache geleert, bzw. die komischen Einträge rausgeschmissen um zu sehen ob die wieder kommen.
Gibt es irgendwo eine Möglichkeit die Protokolle so einzustellen oder auszulesen, indem ich ein genaues Protokoll über die durchgeführten Anmeldungen im Bezug auf die Machinen oder MAC Adressen sehen kann? Danke,XK
Bitte warten ..
Mitglied: spacyfreak
21.06.2007 um 22:46 Uhr
Kein Grund zur Besorgnis.
Da hat einer sich eben ans Netz angeschlossen, der Zutritt zu LAN-Dosen hat.
Dass er vom DHCP dann eine IP erhält, ist nicht ungewöhnlich, sondern normal.
Und dass dann ein Logeintrag im DHCP Log erfolgt, ist auch normal.
Vom Internet aus wars kein Angriff - da wird sich keiner von deinem DHCP eine IP holen.
Wenn Du "ungenehmigte" Zugriffe aufs Netz verhindern willst, musst du eben 802.1X einführen, oder die Netzzugänge anders sichern (z. B. Port-Security bei Cisco).
Bitte warten ..
Mitglied: krzysiek
22.06.2007 um 08:27 Uhr
Vielen Dank, das werde ich auch einführen, bisher habe ich es ... gedacht nicht gebraucht zu haben, manchmal ist kontrolle doch besser.
danke,grüße, XK
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Über DHCP Mac-Adressen für einem bestimmten Bereich freigeben, Rest sperren (8)

Frage von Mesaric zum Thema Netzwerkmanagement ...

Netzwerke
OpenVPN bestimmte Mac Adressen zulasssen (2)

Frage von gutknut zum Thema Netzwerke ...

Windows Netzwerk
gelöst Mac-Adressen suche bei ieee.org und kein Hersteller gefunden (4)

Frage von JoeJoe zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
Notebooks anhand von Mac Adressen richtigem Vlan zuweisen (2)

Frage von Axel90 zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Viren und Trojaner
Ransomware .nm4 (14)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

iOS
16 iPads zentrall verwalten (14)

Frage von simonlohr zum Thema iOS ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (11)

Frage von Matsushita zum Thema Microsoft Office ...