sierjoerg
Goto Top

Fremde Domänen oder Arbeitsgruppen werden in unserem Firmennetz angezeigt

Seit kurzem werden in unserem Firmennetzwerk fremde Domänen und Arbeitsgruppen in der Netzwerkumgebung angezeigt

Hallo an Alle,
wie ihr schon im Vorwort lesen konnten wird seit kurzem in unserem Firmennetzwerk fremde Domänen und Arbeitsgruppen in der Netzwerkumgebung angezeigt. Mein Problem ist, dass ich nicht sagen kann woher die Arbeitsgruppen/Domänen kommen.
Meinem Chef und mir macht das einwenig Sorgen, da wir davon ausgehen, dass die Rechner in diesen Arbeitsgruppen/Domänen zugriff auf unser Netzwerk haben.
Meine Frage ist jetzt:" Kann man diese Arbeitsgruppen irgendwie aufspüren, oder zumindest blockieren?"
Ich meine da die ja bei uns in der Netzwerkumgebung angezeigt werden, müssen die doch auch eine IP-Adresse von uns haben oder irre ich mich da?
Ich hoffe ihr könnt mir wie gewohnt bei diesem Problem helfen.

Mit freundlichen Grüßen
Sierjoerg

Content-ID: 179755

Url: https://administrator.de/forum/fremde-domaenen-oder-arbeitsgruppen-werden-in-unserem-firmennetz-angezeigt-179755.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

OliverHu
OliverHu 30.01.2012 um 11:40:59 Uhr
Goto Top
Hallo,

zunächst würde ich prüfen, ob ihr da alleine an einen Switch hängt. Ist das so, oder fummeln da noch andere Firmen rum?
Sierjoerg
Sierjoerg 30.01.2012 um 12:00:59 Uhr
Goto Top
Hallo OliverHu,
wir sind in unserem Gebäude ganz allein. Also kann ich das mit der anderen Firma an unserem Switch definitiv ausschließen.
SlainteMhath
SlainteMhath 30.01.2012 um 12:13:59 Uhr
Goto Top
Moin,

evtl. habt/hattet ihr Besuch mit Laptop im Haus der "mal eben schnell ins Internet" musste und die nächste freie (und gepatchte) Netzwerkdose benutzt hat. Adresse kommt der DHCP und schon boradcastet die Windowsmachine alle ihr bekannte Namen ins Netz, die dann vom Masterbrowser aufgenommen und weiterverbreitet werden).

Ggfs. habt ihr auch ein offenes oder nicht sicher konfiguriertes WLAN laufen?

lg,
Slainte
Lochkartenstanzer
Lochkartenstanzer 30.01.2012 um 12:15:24 Uhr
Goto Top
Hi hi,


Bringen die Mitarbeiter eigene Computer (Notebook/Netbook/Smartphones) mit oder werden solche Geräte von ihnen selbst administriert?

Weisen die fremden Domänen irgendwie Gemeinsamkeiten mit Kunden-, Lieferanten- oder Mitarbeiternamen auf?

Seht Ihr die Maschinen(namen) die in den fremden Domänen oder Arbeitsgruppen sind?

lks

Nachtrag:

Ihr könnten einfach mal einen kurzen netzwerkscan mit nmap & co. machen, um zu schauen, welche maschinen im netz sind.

zumindest scheint Ihr nicht gezilet ausgehorcht zu werden, denn in dem fall würde der "Spion" vermutlich vorsichtig genug sein, unsichtbar zu bleiben.

Nachtrag 2:

habt Ihr vielleicht offene WLANS (oder schlecht gesicherte?)
affabanana
affabanana 30.01.2012 um 18:57:05 Uhr
Goto Top
Hallo zusammen

Bei mir hier, sind es Maschinen die ein Windows NT oder XP als Betriebsystem haben.
Diese sind in Arbeitsgruppen (Workgroup) eingetragen.

Diese sieht man dan unter Netzwerk.

gruass affabanana


PS: geht euch Vista / win 7 auch auf die Eier weil man immer warten muss bis sich die Netzwerkansicht im Explorer mit Geräten füllt.
clSchak
clSchak 30.01.2012 um 23:23:30 Uhr
Goto Top
das Problem hatten wir auch, Radius Server installiert mit Cert. Auth. alles Switche auf dem Radius via 802.1x zeigen lassen und der Spuk hat ein Ende face-smile für die Gäste ein separates VLAN und dort eine HotSpot Funktion nach Aquis Anleitung bereitstellen und alles läuft prima face-smile - es haben sich zwar ein paar Kollegen beschwert das diese nicht mehr mit Ihrem Smartphone (privates) ins WLAN kommen aber das war/ist mir egal
DerWoWusste
DerWoWusste 01.02.2012 um 00:19:54 Uhr
Goto Top
Meinem Chef und mir macht das einwenig Sorgen, da wir davon ausgehen, dass die Rechner in diesen Arbeitsgruppen/Domänen zugriff auf unser Netzwerk haben
Moin. face-smile Weißt Du, was mir Sorgen macht? Wieso Ihr offensichtlich keinen habt, der dies sicherheitstechnisch einzuordnen weiß. WIESO sollten fremde Arbeitsgruppen/Domänen oder was auch immer (von Dir nicht näher Spezifiziertes) da in Deiner Netzwerkumgebung auftaucht, gleich "Zugriff" auf "Euer Netzwerk" haben?

Ich meine da die ja bei uns in der Netzwerkumgebung angezeigt werden, müssen die doch auch eine IP-Adresse von uns haben oder irre ich mich da?
Und wenn es so wäre? Wenn morgen jemand einen Freund mit ins Büro bringt, der warum auch immer eine freie Netzwerkdose findet und mit was auch immer für einem Gerät mit passender IP benutzt, was kann der Euch denn dann anhaben?

Das müsst Ihr beantworten können, selbst und ohne Forenhilfe, sonst dürft Ihr meiner Ansicht nach mit Verlaub kein Netzwerk betreiben und dabei noch Ansprüche an Sicherheit haben.
Sierjoerg
Sierjoerg 01.02.2012 um 15:32:11 Uhr
Goto Top
Hallo,
und sorry das ich mich erst jetzt wieder melde. Ich war ein bischen mit anderen Problemen beschäftigt.
@SlainteMhath, wir haben sehr oft Besuch von Kunden bei uns in der Firma, und wir geben ihnen falls sie es benötigen auch Internetzugriff. Zumeist geschieht dieser Zugriff aber über unser WLAN Netz, der einen anderen IP Adressbereich hat als unser Internes LAN. Unser Internes LAN geht über ein Proxy-Server ins Internet, der zwei NIC hat. Eine NIC ist in unserem Internen LAN die andere NIC hat eine IP-Adresse aus dem Router IP-Adressbereich.

Kann es denn sein? Das Arbeitsgruppen aus einem anderen IP-Bereich angezeigt werden?
Ach und überings, unser WLAN ist mit WPA2 verschlüsselt. Das halte ich nicht gerade für unsicher oder irre ich mich da?
Sierjoerg
Sierjoerg 01.02.2012 um 15:42:22 Uhr
Goto Top
Ein Hi Hi zurück!

Jetzt zu den Fragen: Ja Smartphones werden bestimmt von unseren Mitarbeitern mitgebracht, allerdings erhalten die keinen zugang zu unseren WLAN Netz, ohne das ich ihnen das Passwort für das WLAN gebe.
Zudem haben wir natürlich noch die Mitarbeiter die von uns ein Blackberry bekommen, die haben zum teil die berechtigung unser WLAN zu nutzen.
Des weiteren gibt es Mitarbeiter die ein Laptop von uns haben, und auch die haben alle ein WLAN zugang zum Internet. Dazu muss ich aber erwähnen, das die Laptops zum größten teil bei uns in der Domäne stecken.
Bis auf eine kleine Gruppe, die aber wiederum in einme getrennten Netzwerk mit eigenem Interntzugang stecken.

Die Maschinen Namen wurden zumindest in einem der fremden Arbeitsgruppen angezeigt. Und diesen konnte ich auch per tracer verfolgen. Hat mir aber nicht viel gebracht, da ich so nur die IP-Adresse herausbekommen habe, aber nicht den Standort. Die IP war überings aus unserem WLAN IP-Adressbereich.

Ich persönlich kenn nmap nicht, aber ich werde mal danach googlen und es ausprobieren.
SlainteMhath
SlainteMhath 01.02.2012 um 15:53:20 Uhr
Goto Top
[...] da ich so nur die IP-Adresse herausbekommen habe [...]
*hust*
IP => Mac-Adreesse => Switchport => Patchdose bzw. Accespoint => ungefährer Standort

Bist Du der Admin des Netzwerks? face-smile
Sierjoerg
Sierjoerg 01.02.2012 um 15:56:17 Uhr
Goto Top
In Grunde kann der besagte Freund uns ertmal garnichts anhaben, weil sein Rechner oder Laptop kein Mitglied in unserer Domäne ist und somit kein zugriff auf unsere Dateien hat. Zudem bekommt er schon mal keine IP, da wir keinen DHCP Server in unserem Netzwerk in betrieb haben. Wir vergeben alle IP statisch.
SlainteMhath
SlainteMhath 01.02.2012 um 16:05:52 Uhr
Goto Top
In Grunde kann der besagte Freund uns ertmal garnichts anhaben, weil sein Rechner oder Laptop kein Mitglied in unserer Domäne
ist und somit kein zugriff auf unsere Dateien hat
Legst du dafür deine Hand (oder deinen Job *g*) ins Feuer? Alle Server/Clients/Virenscanner auf dem aktuellen Patchstand? Sichere Passwörter werden verwendet? Sagt dir 0-Day was? Oder hast Du gar Freigaben auf denen der Benutzer "Jeder" Zugriff hat?

Wir vergeben alle IP statisch.
Eine IP adresse "origanisier" ich mir, ohne das Netzwerk je vorher gesehen zu haben mit einer Linuxmachine innerhalb von 30 sekunden, (ohne DHCP).

Ich schliesse mich mal DerWoWusste an face-smile
DerWoWusste
DerWoWusste 01.02.2012 um 17:47:39 Uhr
Goto Top
Statisch vergeben kann auch "der Freund". Dennoch hast Du Recht, erstmal kommt er an nichts ran (jeder ist seit 2003 nicht gleich jeder auf der Welt, SM), es sei denn, er findet Netzwerkdienste, die er angreifen kann. Je nach Sicherheitsbedürfnis ist also Handlungsbedarf gegeben oder auch nicht.
Lochkartenstanzer
Lochkartenstanzer 01.02.2012 um 18:05:29 Uhr
Goto Top
Zitat von @Sierjoerg:
Kann es denn sein? Das Arbeitsgruppen aus einem anderen IP-Bereich angezeigt werden?

Natürlich. je nachdem wie WINS/DNS kondiguriert ist., ist das durchaus normal.

Ach und überings, unser WLAN ist mit WPA2 verschlüsselt. Das halte ich nicht gerade für unsicher oder irre ich mich

Solange das WPA-Kennwort genug Entropie hat und der hersteller keinen Implementierugnsfehler gemacht hat, ja.

lks
Sierjoerg
Sierjoerg 13.02.2012 um 15:21:12 Uhr
Goto Top
Hallo noch mal,
ich habe jetzt folgendes mit hilfe von dem befehl tracert herausbekommen. Die unbekannten Arbeitsgruppen, die bei uns im Netz auftauchen sind Arbeitsgruppen von externen Mitarbeitern, die per VPN Verbindung mit unserem Netz verbunden sind oder Laptops innerhalb der Firma, die nicht in der Domaine sind, aber eine WLAN verbindung fürs Internet haben. Damit ergibt sich, das wir keinen fremden bei uns im Netz haben.
Ich bedanke mich bei allen Usern die sich hir mit eingebracht haben. Eure kritiken habe ich bzw. werde ich mich noch annehmen und hoffe so, das ich unser Netzwerk ein stück weit sicherer bekomme.