14111
Oct 11, 2007, updated at 19:14:04 (UTC)
7495
5
0
Unauthorisierte Rechner im Firmennetzwerk ausfindig machen?
Wie kann Rechner die nichts im Firmennetzwerk zu suchen haben auswindig machen?
Hallo zusammen,
bei uns im Firmennetzwerk kommt es schon mal vor das sich ein Gast o.ä. einfach mit seinem Notebook an unser Firmennetzwerk anschließt.
Dies ist jedoch nach den Security Policies in unserem Konzern verboten.
Kennt jemand ein Tool mit dem man solche Rechner schnell und zu jeder Zeit ausfindig machen kann?
Möglich wäre zum Beispiel über die Hardware da in unserem Konzern nur Dell und IBM genutzt werden oder über den Namen da unsere Rechner immer nach dem gleichen Schema benannt sind.
Danke im Voraus und falls ihr noch weitere Infos benötigt so fragt mich bitte.
Schöne Grüße,
k12
bei uns im Firmennetzwerk kommt es schon mal vor das sich ein Gast o.ä. einfach mit seinem Notebook an unser Firmennetzwerk anschließt.
Dies ist jedoch nach den Security Policies in unserem Konzern verboten.
Kennt jemand ein Tool mit dem man solche Rechner schnell und zu jeder Zeit ausfindig machen kann?
Möglich wäre zum Beispiel über die Hardware da in unserem Konzern nur Dell und IBM genutzt werden oder über den Namen da unsere Rechner immer nach dem gleichen Schema benannt sind.
Danke im Voraus und falls ihr noch weitere Infos benötigt so fragt mich bitte.
Schöne Grüße,
k12
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 70721
Url: https://administrator.de/contentid/70721
Printed on: April 18, 2024 at 12:04 o'clock
5 Comments
Latest comment
Wie wäre es das ganze auf Switch-Ebene zu machen, also nur die Ports "freigeschaltet" zu haben, die tatsächlich von Rechnern gebraucht werden? Wäre eine erste Stufe, sodass "leere" Netzwerkdosen nicht eben mal genutzt werden. Auf zweiter Stufe könnte man dann einen Scan auf Windows-Netzwerkebene oder aber IP-Ebene durchführen, dass ein DHCP-Server keine IPs an alle Anforderungen rausschicken sollte, ist da sicher auch noch eine Komponente. Richtig schön scheint es dann ja mit Vista / Server 2008 (in der Kombi) zu werden, wenn Windows-Clients eben nicht einfach mal so ins Netzwerk dürfen, aber das ist wohl noch Zukunftsmusik.
Das ist nicht möglich oder willst du am Empfang jeden Gast filzen lassen, dir sein Notebook, PDA und was auch immer er ins Netz bringen kann, zeigen und anschliessen lassen und dann von jedem Gast dir die MAC Adresse seines Gerätes notieren ???
Fragt sich wie eurer Vorstand das dann mit seinen Gästen sieht....
Die Frage selber zeugt schon von etwas Naivität in der Umsetzung von Sicherheitspolicies eures Konzerns. Scheinbar gibt es ja wohl keinen der diese selbst aufgestellten Sicherheitspolicies überwacht geschweige denn für dessen Umsetzung sorgt. Ein zugegebenermaßen etwas komisches Verständnis von Sicherheit was da bei euch herrscht...vom Sicherheitsbeauftragten dann mal ganz zu schweigen !
Das ist der Schwachpunkt an dem du ansetzen musst und den du hinterfragen musst. Nicht wie du das derzeit bestehende Dilemma mehr oder weniger dilettantisch und hilflos überwachen kannst.
Gesetzt den Fall du erkennst so einen Gast der nun beim Vorstand X sitzt. Was willst du tun..., ihm vor allen Augen den Laptop entreissen ???
Du dokterst doch an den Symptomen rum, bekämpfst aber nicht die Ursache dieser Misere ! Jedenfalls ist den Ansatz zu diesem sicherheitsrelevanten Thema mehr als fragwürdig ! Wohl aus gutem Grund hat der Konzern ja diese Policy aufgestellt.
Professionell löst man sowas am Switch mit portbasierender Security nach 802.1x Authentifizierung oder mit einer webbasierenden Authentifizierung und einem Gast VLAN indem man Gästen dann dort zeitlimitiert mit Einmalpasswörtern vom Unternehmensnetz getrennte Funktionen zugesteht oder es eben, wie bei euch, ganz unterbindet...oder es wenigstens nach Vorgabe unterbinden sollte !
Das ist derzeit weit hin Standard in Unternehmensnetzen....scheinbar bei euch wohl noch nicht ?!
Fragt sich wie eurer Vorstand das dann mit seinen Gästen sieht....
Die Frage selber zeugt schon von etwas Naivität in der Umsetzung von Sicherheitspolicies eures Konzerns. Scheinbar gibt es ja wohl keinen der diese selbst aufgestellten Sicherheitspolicies überwacht geschweige denn für dessen Umsetzung sorgt. Ein zugegebenermaßen etwas komisches Verständnis von Sicherheit was da bei euch herrscht...vom Sicherheitsbeauftragten dann mal ganz zu schweigen !
Das ist der Schwachpunkt an dem du ansetzen musst und den du hinterfragen musst. Nicht wie du das derzeit bestehende Dilemma mehr oder weniger dilettantisch und hilflos überwachen kannst.
Gesetzt den Fall du erkennst so einen Gast der nun beim Vorstand X sitzt. Was willst du tun..., ihm vor allen Augen den Laptop entreissen ???
Du dokterst doch an den Symptomen rum, bekämpfst aber nicht die Ursache dieser Misere ! Jedenfalls ist den Ansatz zu diesem sicherheitsrelevanten Thema mehr als fragwürdig ! Wohl aus gutem Grund hat der Konzern ja diese Policy aufgestellt.
Professionell löst man sowas am Switch mit portbasierender Security nach 802.1x Authentifizierung oder mit einer webbasierenden Authentifizierung und einem Gast VLAN indem man Gästen dann dort zeitlimitiert mit Einmalpasswörtern vom Unternehmensnetz getrennte Funktionen zugesteht oder es eben, wie bei euch, ganz unterbindet...oder es wenigstens nach Vorgabe unterbinden sollte !
Das ist derzeit weit hin Standard in Unternehmensnetzen....scheinbar bei euch wohl noch nicht ?!
Hi aqui,
da hast du wohl auch recht mit.
Damit kann man dies nur im Nachhinein erkennen und dann ist es eh schon zu spät.
Ziel auf kurzer sicher ist des Geräte zu sperren die im Netz auftauchen und dort nichts zu suchen haben, z.b. via MAC.
Auf längere Sicht wird dies über Cisco Switche und Management Servern verwaltet werden, jedoch wird die Umsetzung noch einige Zeit in Anspruch nehmen da das Unternehmen recht groß ist.
Dieses Tool welches ich suche wäre auch erstmal eine Zwischenlösung.
Ggf. könnte dieses Tool DHCP einträge mit dem AD vergleichen um mir mitzuteilen das ein Rechner im Netz ist aber nicht im AD existiert.
Kenne nur keines.
Thanks.
k12
da hast du wohl auch recht mit.
Damit kann man dies nur im Nachhinein erkennen und dann ist es eh schon zu spät.
Ziel auf kurzer sicher ist des Geräte zu sperren die im Netz auftauchen und dort nichts zu suchen haben, z.b. via MAC.
Auf längere Sicht wird dies über Cisco Switche und Management Servern verwaltet werden, jedoch wird die Umsetzung noch einige Zeit in Anspruch nehmen da das Unternehmen recht groß ist.
Dieses Tool welches ich suche wäre auch erstmal eine Zwischenlösung.
Ggf. könnte dieses Tool DHCP einträge mit dem AD vergleichen um mir mitzuteilen das ein Rechner im Netz ist aber nicht im AD existiert.
Kenne nur keines.
Thanks.
k12
Das ist alles technisch sinnlos, denn jeder Gast kann sich ja immer selber statische IP Adressen geben solange deine Switchports offen wie Scheunentore sind. Nur mit einem Sniffer wie dem Wireshark oder Microsofts Netzwerkmonitor sieht man sofort welche IPs an der Dose aktiv sind an der man hängt und schon ist man im Netz.
Das ist alles sinnlose Bastelei die zu nichts führt. Du musst an den Ports ansetzen und dort nur Rechner durchlassen die du kennst bzw. die gewollt sind oder sie eben komplett blocken wenn unbekannt.
Auch wenn du wie gesagt den Gast erkennst, wie willst du diesen dann sperren ?? Mit ACLs ?? Strippe durchkneifen ? Am nächsten Tag ist dann an der Dose wieder ein anderer Gast mit anderer MAC und anderer IP und am nächsten Tag wieder ein anderer oder auch zwei... Wer sollte dann sowas bei euch administrieren ??? Sieht nach neuen Jobs dann aus in der IT Abteilung.
Warum man sich bei so einer recht einfach mit 802.1x umzusetzenden Regelung dann gleich in die Hände von Cisco und deren proprietären Lösungen geben muss steht auf einem anderen Blatt Papier. Das schafft wieder noch weitere Abhängikeiten von diesem Hertseller auf Jahre statt sich an offenen Standards zu halten. Aber wie so häufig spielt dann Geld keine Rolle wenn der Hut brennt und technisch ahnungslose Manager die kritiklos sagen Wer Cisco kauft macht nichts falsch... sieht man ja zuhauf. Das ist aber eine ganz andere Geschichte....
Jeder NetGear Switch unterstützt heutzutage 802.1x und einen MS AD Server hab ihr auch mit dem in wenigen Schritten sowas umsetzbar ist. Wenigstens an den Ports an denen sich häufig Gäste aufhalten. Nebenbei ist das gleich eine Möglichkeit Erfahrung mit so einer Lösung zu sammeln.
Das ist alles sinnlose Bastelei die zu nichts führt. Du musst an den Ports ansetzen und dort nur Rechner durchlassen die du kennst bzw. die gewollt sind oder sie eben komplett blocken wenn unbekannt.
Auch wenn du wie gesagt den Gast erkennst, wie willst du diesen dann sperren ?? Mit ACLs ?? Strippe durchkneifen ? Am nächsten Tag ist dann an der Dose wieder ein anderer Gast mit anderer MAC und anderer IP und am nächsten Tag wieder ein anderer oder auch zwei... Wer sollte dann sowas bei euch administrieren ??? Sieht nach neuen Jobs dann aus in der IT Abteilung.
Warum man sich bei so einer recht einfach mit 802.1x umzusetzenden Regelung dann gleich in die Hände von Cisco und deren proprietären Lösungen geben muss steht auf einem anderen Blatt Papier. Das schafft wieder noch weitere Abhängikeiten von diesem Hertseller auf Jahre statt sich an offenen Standards zu halten. Aber wie so häufig spielt dann Geld keine Rolle wenn der Hut brennt und technisch ahnungslose Manager die kritiklos sagen Wer Cisco kauft macht nichts falsch... sieht man ja zuhauf. Das ist aber eine ganz andere Geschichte....
Jeder NetGear Switch unterstützt heutzutage 802.1x und einen MS AD Server hab ihr auch mit dem in wenigen Schritten sowas umsetzbar ist. Wenigstens an den Ports an denen sich häufig Gäste aufhalten. Nebenbei ist das gleich eine Möglichkeit Erfahrung mit so einer Lösung zu sammeln.
Wie Aqui schreibt, bewegen sich die theoretisch geforderten Policies in diesem Konzern fernab der aktuellen praktischen Umsetzung. Würde ich mit diesen Policies konfrontiert werden, wäre der erste Schritt, die IT-Leitung über Konzepte wie NAP oder NAC zu informieren, die Kosten darlegen und dann deren Entscheidung abwarten.
