cassper
Goto Top

Doppelte IP im LAN

Hallo,

Welche Möglichkeiten gibt es , ausgenommen managed Switches, um dopplete IP Adressen im LAN zu verhindern?
Seit einigen Tagen haben wir einen ganz besonderen Scherzkeks welcher durch manuelle Vergabe der IP sporadisch einen unserer Workgroup Server lahmlegt.(gleiche IP wie Server). Das Log zeigt das auch die MAC Adresse variirt. Ändert wahrscheinlich auch ab und zu mal die MAC Adresse manuell.
DHCP läuft, hilft jedoch nix wenn die IP manuell eingetragen wird.

Danke für eure Hilfe!

Matthias

Content-ID: 142425

Url: https://administrator.de/contentid/142425

Ausgedruckt am: 05.11.2024 um 19:11 Uhr

CresCent
CresCent 07.05.2010, aktualisiert am 18.10.2012 um 18:42:02 Uhr
Goto Top
hallo,

arbeitest du in einer domain? wenn ja
Gruppenrichtlinie Ändern der Netzwerkeinstellungen unterbinden


ansonsten:

würd mal gleich mit der gl sprechen um folgen daraus zu ziehen (danach ne rundmail, was derzeitig so getrieben, wird und ja, evlt. auch ein bisschen bluffen, dass die person des jetzt unterlässt, ansonsten wird es folgen für diese person haben, da die "logs" zeigen welche person dieser scherkzkeks ist)

und dann mal gucken obs nochmal vorkommt, wenn nicht, dann hast dein ziel erreicht. ^^

grüße

und noch einen schönen ruhigen und edv freien abend ;)
cassper
cassper 07.05.2010 um 22:01:26 Uhr
Goto Top
Servus,

Danke für den schnellen reply.
Nein, in diesem Fall keine Domänenzugehörigkeit.

Variante 2 wurde bereits vollzogen. Denke auch das sich dies hoffentlich bald auflären wird.
Jedoch möchte ich hier gern präventiv vorgehen und dies zukünftig vermeiden. Gerade auch in Bezug auf unsere Gateways die dann nicht mehr errichbar wären wenn die ARP tables 2 IP Adressen mit 2 unterschiedlichen MAC Adressen, oder gleiche MAC mit gleicher IP beinhalten.

Deshalb, welche Möglichkeiten gibt es hier die doppelte IP Vergabe zu vermeiden. ggf eine softwareseitige "kostengünstige"face-smile Lösung. Bsp. Implementierung in einem Router (orientierung in Richtung open source Projekte like IPCop, fli4l etc.)?

Vielen Dank!
CresCent
CresCent 07.05.2010 um 22:24:32 Uhr
Goto Top
hallo,

kein problem, du könnstest bei jedem client, lokal die richtlienen anpassen (hätte den selben effekt wie die gpo nur jedoch mit deutlich mehr aufwand)

zum ipcop oder ähnliches, da wirst sicher die selben probleme haben, wenn er dann die ip nutzt (zumindest laut meinem verständniss, lass mich aber sehr gern belehren ;) )

grüße
cassper
cassper 07.05.2010 um 23:12:51 Uhr
Goto Top
Die Frage in Bezg auf IPCop und Co. soll natürlich nicht als Alheilmittel herhalten.
Lediglich ein Gedankengang, ob diverse Addons als Blocker Sniffer was auch immer eventuell einegsetzt werden könnten.

Die Bearbeitung der Gruppenrichtlinien lokal an jedem Rechner vorzunehmen ...hmmm...nunja...

Um meine Frage nochmals zu konkretisieren.

ganz abstrakt
EIn User nimmt ein x-beliebiges ITK Gerät stöpselt dieses an einen vorhanden Switch/ LAN Dose an und vergibt diesem Gerät als Beispiel die IP eines im Subnetz befindlichen Workgroupservers oder Gateways.

Welche Möglichkeiten gibt es: doppelte IP Vergabe in einem Subnetz zu verhindern oder mit welche Mechanismen kann ich dem vorbeugen/entgegenwirken.


Vielen Dank!
DennisGrenda
DennisGrenda 07.05.2010 um 23:13:38 Uhr
Goto Top
Naja dieser Jemand müsste schon in der Lage sein eine MAC Adresse zu faken... Oder dieser Jemand hat bei euch die Möglichkeit an unterschiedlichen Geräten die IP zu ändern...
Durch solche Überlegungen könntest den Kreis der potenziellen Täter ja schonmal eingrenzen.

Die Möglichkeit der GPO config gäbes es natürlich... wenn aber jmd mit z.b. seinem privaten Notebook da rumwerkelt, ist das auch nicht effektiv.
Mein Vorschlag wäre eine Routerkonfiguration mit MAC-Filter auf "alle verbieten, welche nicht ausdrücklich erlaubt sind"...
Ist zwar Aufwand, weil du die MAC Adressen der Firmen NICs eintragen musst, aber die sollte ein Admin sowieso alle up2date übersichtlich iwo festgehalten haben, hab ich zumindest so gelernt face-smile
cassper
cassper 07.05.2010 um 23:30:14 Uhr
Goto Top
Hallo,

Vorab bereits vielen Dank für eure Replys.

Ich denke das wir das Problem mit unserem "Spezialisten" besstimmt zeitnah in den Griff bekommen.
Bisher habe ich mich jedoch um diese Probkematik nie gekümmert. ist einfach zu banal, gefakte MAC und doppelte IP, als das man sich damit unbedingt ständig auseinandersetzt.

Jedoch hat mir dieses "simple Probem" mehr Sorgen gemacht wie unsere gesamte Infrastruktur.

So eine simple Sache wie MAC fake und IP Adresse legt mal eben ein paar Dutzend Mitarbeiter lahm weil die kein Access auf den Server mehr hatten/haben.

Selbstverständlich ist dies keine unlösbare Aufgabe. MIt diversen Massnahmen war es möglich den Zugriff zügig wieder verfügbar zu machen.
Jedoch wäre es zukünftig einfach etwas beruhigender wenn man diesem Problem/Attacke effektiv entgegenwirken könnte oder gar ganz ausschliessen könnte.

DIe Lösung mit dem MAC Filter ist ganz plausibel. nützt jedoch nix bei einem MAC Duplikat.

Danke!
DennisGrenda
DennisGrenda 07.05.2010 um 23:43:36 Uhr
Goto Top
Na dazu müsste der - ich sag mal "Angreifer" aber eine MAC Adresse wissen, die im Router vorhanden ist.
Und wenn eine bestimmte 2x auftaucht, kannst ja nachvollziehen zu welchem Gerät die gehört, wenn ne vernünftige Übersicht führst.
Denn gehst da mal hin und schaust, wer davor sitzt =)

Man könnt die Story noch zerpflücken, inwieweit mein Vorschläg Erfolg hätte oder warum auch nicht...
Denke aber das ist nicht Sinn der Threads xD

Wenn bei euch aber jmd durch solche Aktionen bewusst Server lahmlegt, gehört der in meinen Augen gekündigt...
Wenn nciht sogar auf Schadensersatz verklagt....
cassper
cassper 08.05.2010 um 00:17:28 Uhr
Goto Top
Ich danke für deine Überlegungen.
Sinnlos zerpflügen möchte ich Gedanken zum Thema nicht.

Es geht mir nur generell darum zukünftig effektiv gegen solche Angriffe vorzugehen und präventiv vorzubeugen.
Jedoch habe ich bis jetzt nichts zufriedenstellendes und im Kostenrahmen vertretbares, gefunden.
maretz
maretz 08.05.2010 um 08:20:43 Uhr
Goto Top
da gibt es doch was kostenloses... und diesmal nicht von ratiopharm.

Erste Frage: Wie kommt die Person an euer Netzwerk?
a) Er/Sie nimmt nen Privates Laptop mit und hängt das ans Netzwerk. Abhilfe: Erstmal alle nicht genutzten Dosen aus dem Patchfeld und aus dem Switch ziehen. Schon kommt das private Laptop so nicht mehr ans Netz.

b) Er/Sie nimmt den Arbeitsplatzrechner vom Netz. Abhilfe: Lokale Admin-Rechte entziehen auf den Arbeitsplätzen - schon dürfen die die IP nicht mehr ändern.

c) Er/Sie geht via WLAN ins Netz: MAC-Filter einstellen und ein komplexes Passwort für den Login nutzen welches so nicht rausgegeben wird.

Dazu kommt dann: Wenn du die MAC hast dann kannst du ja ggf. am Switch sehen auf welchem Port diese MAC ist/war. Und schon weisst du innerhalb von Sekunden wo der Spassvogel sitzt. Ich würde an der Stelle ehrlich gesagt direkt da hingehen und die Person auch direkt im Raum zusammenfalten (auch und grade wenn da noch andere sitzen) und den Kollegen im Raum ganz klar sagen das die sich für die Störungen bei der Person bedanken dürfen. Wobei dieses dann schon in einer Tonlage passiert das dem das Gespräch mit der GL danach richtig erfreulich vorkommt... Ganz davon abgesehen das die Person natürlich ab dem Moment nicht EINE Private Hardware oder Frage mehr mitbringen bräuchte...
cassper
cassper 08.05.2010 um 09:32:33 Uhr
Goto Top
Guten Morgen,

Zugang per LAN über Patchdosen im Grossraumbüro.
Ich danke für die zahlreichen Antworten und eure Hilfe.
Jedoch geht es mir primär nicht darum was ich dem User, wenn dieser dann ausfindig gemacht wurde, sage oder wie ich mit Richtlinien lokale Rechner vor diversen Systemeinstellungen, unberechtigter User schütze.

aber,trotzdem vielen Dank .


Sondern:

Welche Möglichkeiten gibt es: doppelte IP Vergabe/doppelte MAC Adresse in einem Subnetz zu verhindern.

Und damit meine ich im speziellen nicht das verhindern von zusätzlicher ITK im LAN sondern wie kann ich verhindern das ein im LAN befindliches Endgerät beispielsweise die IP des Gateways oder Server nutzt.
Es geht hier um eine technische ggf. auch softwareseitige Lösung welche im Netzwerk mit eingesetzt wird/werden könnte
Es geht nicht darum die User im Office darüber zu belehren das es nicht erlaubt ist eigene Hardware im Unternehmensnetzwerk zu nutzen.


Seit einigen Tagen verbringe ich nun meine Freizeit damit google und Co. nach entsprechenden Lösungen Lösungsansätzen dazu auszuquetschen. Isdt jedoch nicht so von Erfolg gekrönnt.
Vielen Dank
maretz
maretz 08.05.2010 um 10:54:08 Uhr
Goto Top
Moin,

also solange du eben nicht wirklich was einsetzt (vlans usw.) ist das eben nicht möglich. Wie möchtest du verhindern das ich mein Laptop an die Dose klemme? Hier gibt es natürlich Wege (Rechner muss sich erst am Switch anmelden) - aber wenn ich dann meinen stationären Rechner einfach die Server-IP gebe dann hilft auch das nicht...

Und solange du eben nur nen simplen Switch hast und jeder sich überall anstecken kann hast du keine Optionen...
83237
83237 08.05.2010 um 11:27:17 Uhr
Goto Top
Moin,

fassen wir mal zusammen,du hast einen Berufskomiker,der die IP Adressen statisch setzen kann und auch die MAC-Adresse ändert.

Du Redest von einen Großraumbüro und sagst die PCs sind nicht in einer Domäne,hab ich so noch nicht gesehen, aber nun gut.

Ich will jetzt wissen, wie ist die Anmeldung unterschiedlicher Mitarbeiter an den PCs geregelt,wenn diese nicht in der Domäne sind und es womöglich,dann auch kein Zugriff auf die AD gibt und somit ein Servergesteuerter Login nicht vorhanden ist.

Gibt es einen Universal Account mit dem sich die Mitarbeiter anmelden ?

und zum Thema GPO,es ist ja nun ein leichtes per lokaler Richtlinie zu verhindern,dass auf Systemeinstellungen nicht zugegriffen werden darf. Dafür reicht ein gpedit.msc unter "Ausführen" Eintippern und ein aufmerksames lesen der vorgaben.

Wir wissen bisher auch noch nicht von welchen OS du redest,vermutlich mal XP Pro,kann aber auch NT 4 sein,bei ersteren gibt es die Möglichkeit anmelde Prozesse und zugriffe,sowie Änderungen am System mitzuloggen.

Wenn jetzt dein Server nicht erreichbar ist und du einen Ping setzt auf die IP,dann ein Arp -a bekommst du eine MAC,mit dieser Mac kannst du im DHCP rauspicken,welcher PC es ist,womöglich auch erst später,wenn dieser wieder über DHCP läuft. Mit dem Zeitpunkt,den sich auf ein Stück Papier geschrieben und der mitloggfunktion am Client selber,rennst du jetzt sowie du den Rechner identifiziert hast hin und schaust nach,wer oder was sich zu den Zeitpunkt angemeldet hat.

Eine andere Möglichkeit wäre das tool Ipscan.exe , mit diesem kannst du ganze IP-Ranges abscannen und bekommst dann ganz simple ausgewertet,IP,MAC und Host Name.

Wenn der Typ jetzt "nur" die IP festgesetzt hat und die MAC geändert hat,wirst du auf diesen Weg den PC Namen herausfinden und kannst ,sofern eure Namenskonvention etwas taugt,dich sofort zu dem entsprechenden Rechner machen, um den Spassvoge zur rede zu stellen.

Netzwerkscanner sind auch eine sehr gute Erfindung,um solche Kandidaten ausfindig zu machen und damit meine ich nicht so ein banales tool wie Ipscan.exe sondern rede von wireshark und co.
aqui
aqui 08.05.2010 um 12:16:18 Uhr
Goto Top
All das ist sinnlos wenn man ein dummes flaches Layer 2 Netzwerk hat. Wie oben schon bemerkt nimmt man einen 20 Euro Router oder Printserver oder irgend ein beliebiges (möglichst unintelligentes) IP Endgerät, gibt ihm die IP des Servers und sofern man es richtig macht auch noch die Mac des Servers, lehnt sich zurück und feixt sich einen wie die Netzwerk Admins rotieren....und den Fehler nicht finden !
Mit dummen unmanaged Switches ist man mit so einem Szenario schnell am Ende. Wireshark, ipscan usw. ist alles sinnlos, erst Recht die hilflosen Windows GPO Mechanismen usw.
Fazit: Mit einer dummen Netzwerk Infrastruktur kannst du dich gegen solche Angriffe schlecht wehren. Damit muss man dann leben wenn man am falschen Ende spart...so einfach ist das !!

Es gibt 2 simple aber sehr effiziente Möglichkeiten sich zu schützen:
1.) Das Netzwerk segmentieren und die Server in ein separates VLAN bringen !
Meist sind dann die Server Ports RZ basierend in einem separaten Raum und schon mal so gar nicht vom Büro her physisch zu erreichen. Die Server VLAN Ports befinden sich ja dann nur im RZ Raum !
So ein "IP Verdoppler" kann also schon physisch nicht mehr ins Servernetz weil er einfach an die ports nicht rankommt und könnte maximal Workstation IPs doppeln was aber niemals so fatale Folgen hat.
Auch wenn er mit einer IP aus dem Server Netz/VLAN im Workstation IP Bereich unterwegs ist, hat das keinerlei Auswirkung da unterschiedliche IP Netze. Diese Geräte "sehen" sich also gar nicht erst können sich folglich auch gar nicht erst stören !
Allein schon mit dieser sehr simplen Methode von VLANs hast du schon 80% aller mehr oder minder schlauen IP Angreifer abgefackelt.
2.) Um es ganz wasserdicht zu machen machst du an deinen Switches zusätzlich noch 802.1x Port Authentifizierung. Idealerweise mit einer dynamischen VLAN Zuweisung und zusätzlich ggf. aktiviertem DHCP Snooping. Auch Billiganbieter supporten sowas heute schon von der Stange.

Damit sind dann sämtliche Optionen doppelte IPs einzustreuen faktisch unterbunden und du hast ein für alle mal Ruhe.
Fazit: Zwei mehr als simple Methoden machen dein Netzwerk absolut wasserdicht gegen sowas !
Man muss nur mal etwas nachdenken und eben auch nicht die billigen D-Links, NetGears vom Blödmarkt einsetzen wenn einem die Sicherheit im Netz was wert ist !!
maretz
maretz 08.05.2010 um 13:08:07 Uhr
Goto Top
achso - und eine ganz wichtige sache hat man sogar noch vergessen hier: Das ganze Netzdesign mal völlig überdenken...

Denn es ist bei so einem Netz (ich würde mal sagen: chaos-theorie in praktischer form) zu erwarten das dir da noch viel mehr um die Ohren fliegt als nur nen Spassvogel...

Über wieviele PCs reden wir denn eigentlich? 10? 20? oder 50+? Wobei im letzterem Fall das Arbeiten ganz ohne Domäne schon hart wäre - zumal es nun nicht die Welt kostet nen DC hinzustellen. Selbst wenn man kein Geld dafür ausgeben will - Linux als DC ist auch schon seid ein paar Tagen länger möglich...

Denn bisher gehst du ja auch davon aus das jemand das absichtlich macht. Bei so einem Netz könnte ich mir aber auch noch alternativen vorstellen. Z.B. wenn es ein WLAN gibt das es lediglich das Mobil-Telefon eines Mitarbeiters ist (Mobil-Tel. mit WLAN ist ja auch nicht mehr sooo selten). Oder das eben jemand "gemerkt" hat das der Server keine Probleme in der Firewall hat und sich jetzt freut das er frei runterladen kann (Ich gehe irgendwie von nem Universal-Account auf den PCs aus - mit admin-Rechten).

Ich würde dir allerdings entgegen der oberen Aussage empfehlen die lokalen Richtlinien NICHT zu verwenden. Hier kannst du schnell mal was mit abschießen (da die für alle User - inkl. Admin) gelten. Dumm wenn du dann selbst die IPs nicht ehr ändern kannst. Ich würde hier definitiv andere Wege gehen - wobei der erste eben der Aufbau einer Domäne mit Gruppenrichtlinien, Entzug der lokalen Adminrechte usw. wäre. Denn solange die alle praktisch Admins auf dem Rechner sind - was machst du wenn du die Person findest und die leider 5 Trojaner, 7 Viren und 2017 Backdoors auf dem Rechner hat? Nen Einlauf geben kannst du dann nur dir selbst - da es DEINE Aufgabe ist/sein sollte das Netz zu sichern...
cassper
cassper 08.05.2010 um 13:45:24 Uhr
Goto Top
@aqui

Vielen Dank für deinen reply.
Die Lösung ist so trivial wie das Problem selbst. Dein Lösungsvorschlag beanteortet meine Frage zu 100%. many thx.
GPO;s bei den im Netz befindlichen Clients haben rein garnichts mit dem Problem selbst zu tun. Auch spielt das OS sowie die Clientstruktur , Domäne oder Nicht; MAC ACL's, Trojaner Viren Backdoors, etc.pp. keine Rolle.
Es geht eben genau darum zu verhindern, wie sehr schön illustriert von aqui,

#All das ist sinnlos wenn man ein dummes flaches Layer 2 Netzwerk hat. Wie oben schon bemerkt nimmt man einen 20 Euro Router oder Printserver oder irgend ein beliebiges (möglichst unintelligentes) IP Endgerät, gibt ihm die IP des Servers und sofern man es richtig macht auch noch die Mac des Servers, lehnt sich zurück und feixt sich einen wie die Netzwerk Admins rotieren....und den Fehler nicht finden !
Mit dummen unmanaged Switches ist man mit so einem Szenario schnell am Ende. Wireshark, ipscan usw. ist alles sinnlos, erst Recht die hilflosen Windows GPO Mechanismen usw.
#

Bei meinem Post ging es nicht um die Richtlinien der Clients sondern eben genau darum, wie ich die Netzwerkinfrastruktur anpassen muss um dem entgegenzuwirken.
Dies mit VLAN's zu realisieren war glaube ich zu einfach als das ich dies ins Auge gefasst hätte*schäm.
WIeder mal viel zu kompliziert gedacht.

Also, @all ,Vielen Dank für die zahlreichen Posts!
aqui
aqui 08.05.2010 um 15:11:07 Uhr
Goto Top
Diese Windows "Scheuklappen" sollte man ebenfalls ablegen wenns nur um nackte IPs geht !! All dies ist sinnlos wenn der böse "IP Verdoppler Buhmann" ein Netbook mit Linux verwendet oder noch einfacher einen 25 Euro Router vom Baumarkt um damit die IP zu doppeln. Noch witziger wird es bestimmt wenn man auf dem "Baumarkt Router" auch noch ein bischen DHCP in einem anderen IP Netz laufen lässt um die Admins richtig zu ärgern...
Damit erübrigt sich dann so oder so jegliche Diskussion mit Admin Status auf Rechnern, Gruppenrichtlinien usw....
Fazit bleibt: Was wirklich hilft ist Segmentierung und strikte Port Security !
Midivirus
Midivirus 08.05.2010 um 19:42:00 Uhr
Goto Top
aber die Lösung hab ich jetzt bisher noch nicht gelesen.

Setzt du deine Infrastruktur auf VLAN?

Wie können wir dir noch helfen?