flubber42
Goto Top

Fremde PCs im Netzwerk melden

Wie finde ich "Fremde" PC im Netzwerk?

Hallo @all,

in unserer Firma verwalten wir knapp 300 PC´s in 16 Standorten die zum teil sehr weit auseinander liegen. Dies nehmen unsere User zum Anlass des öfteren Private oder Kundenlaptops an unser Firmennetz an zu schießen. Da die IP´s über DHCP zugeordnet werden, ist das auch wunderbar für alle User die gegen Regeln im Netzwerk verstoßen wollen.
Wir sind jetzt schon so weit, dass unsere Server IP adressen nur PC´s zuordnen, die in der MAC Liste hinterlegt sind. Das klappt auch so weit. Doch unsere findigen User geben ihren Privaten Laptops jetzt einfach feste Adressen und schon ist der DHCP Filter ausgehebelt.

Mir ist jetzt die Idee gekommen, da ich alle MAC adressen in einer Textdatei notiert habe, dass mir eine Software ca. alle 10 min. das komplette netzt scannt nach MAC´s die nicht in der Textdatei stehen und mir diese MAC + IP dann als Meldung per Mail zukommen lässt. Anhand der IP kann ich dann den Standort ausmachen.

Ich hab dabei schon an ein kleines VB6 Programm gedacht das mir die MAC adressen liefert die aktuell online sind. Aber ich habe keine Idee wie in ich VB6 an so was ran gehe. Habe schon beispiele gesucht aber nix richtiges gefunden. Mail versenden und Textdatei lesen ist kein Problem. Es scheitert am lesen der MAC adressen.

Ich hoffe es kann mir von euch jemand helfen.

Danke!

Content-ID: 178553

Url: https://administrator.de/contentid/178553

Ausgedruckt am: 17.11.2024 um 12:11 Uhr

LordGurke
LordGurke 08.01.2012 um 17:05:38 Uhr
Goto Top
Du könntest dir an einem Zentralen System (Internetgateway?) regelmäßig die Ausgabe des ARP-Caches abrufen. Da die meisten Notebooks ja hoffentlich mit Virenscannern ausgestattet sind, wird ja sofort nach dem Hochfahren nach Signaturen gesucht womit die MAC-Adresse dem Internetgateway sofort bekannt ist.

Aber wäre es eventuell nicht auch eine Alternative den Switchen das Anlernen neuer MAC-Adressen zu verbieten? Dann könnten die Benutzer mit den angestöpselten Notebooks überhaupt nichts mehr im Netzwerk tun und würden dann auch keine eingeschleppten Viren verbreiten können.
wiesi200
wiesi200 08.01.2012 um 17:05:45 Uhr
Goto Top
Hallo,

ist zwar jetzt nicht wirklich meine Stärke aber such mal nach IEEE 802.1X.
Müsste dir eigentlich bei deinem Problem helfen.
Dani
Dani 08.01.2012 um 17:05:58 Uhr
Goto Top
Moin,
es gibt dazu verschiedene Ansätze:

a) NAP von Microsoft... damit kannst du z.B. definieren, dass nur registierte AD-Computer ins Netzwerk Zugang erlangen.
b) Port-Security auf den LAN-Switches... d.h. an jedem Port wird die MAC-Adresse hinterlegt und sobald eine andere MAC-Adresse sich meldet wird der Port abgeschalten. Hat den Nachteil, dass evtl. viel Konfigurationsaufwand bei euch aufkommt.
c) Anweisung der Geschäftsleitung, dass fremde IT-Geräte nicht ans Firmennetzwerk angeschlossen werden dürfen -> Verstoß Abmahnung.

Ich persönlich würde erstmal schauen ob c) mein Problem löst. Anderen falls eben eine technische Umsetzung nach a) oder b).

Grüße,
Daniel
transocean
transocean 08.01.2012 um 17:08:06 Uhr
Goto Top
Moin,

bei meinem Brötchengeber ( ca. 1.800 MA, davon die Hälfte mit mobilen Geräten im AD) gibt es eine glasklare Richtlinie, die das Einstöpseln privater Hardware in das Firmennetz verbietet.
Wer dagegen verstößt, riskiert postwendend eine Abmahnung.

Gruß

Uwe
Flubber42
Flubber42 08.01.2012 um 17:17:44 Uhr
Goto Top
HI,

danke für die Idee. Unsere Rechner sind natürlich alle mit einem Virenschutz ausgerüstet. DIe Fremden die wir eigentlich eh nicht am netz haben wollen kenne ich ja nicht.

1. Vorschlag Getway
Ich denke das wird schwirig, da ich auf unser Getway für die INternetverbindung keinen zugriff habe. Denn unsere Zentrale Firewall ist im Rechenzentrum unseres MPLS Netz Providers und nicht bei uns im Haus.

2. Switch
Nicht alle unserer Standorte haben schon Managebare Switches .. schade ... Idee aber gut.

Danke für die Antwort! face-wink
Flubber42
Flubber42 08.01.2012 um 17:18:53 Uhr
Goto Top
Ich schau mal wie das genau umzusetzten wäre.

Danke!
LordGurke
LordGurke 08.01.2012 um 17:20:29 Uhr
Goto Top
Zitat von @Flubber42:
Ich denke das wird schwirig, da ich auf unser Getway für die INternetverbindung keinen zugriff habe. Denn unsere Zentrale
Firewall ist im Rechenzentrum unseres MPLS Netz Providers und nicht bei uns im Haus.

Aber ihr müsst doch irgendwas im lokalen Netzwerk haben? Und sei es ein Proxyserver...
Flubber42
Flubber42 08.01.2012 um 17:25:10 Uhr
Goto Top
Hallo Dani,

zu deinen vorschlägen:

a) Klingt sehr vielversprechend! Das Prüfe ich mal näher wie das geht. Oder hast du dazu nährere Informationen Link etc...??
b) Leider hat nicht jeder Standort einen Managebaren Switch ... fällt also leider aus ;-(
c) Tja ... das währe eine idee aber dabei gibt es 2 Probleme:
1. Da wir 2 Admins nicht überall gleichzeitig sein können fällt uns das zum teil gar nicht auf daher die Mail Idee (ist leider so) wir stellen das "vergehen" meißt bei Überraschungsbesuchen fest.
2. Unser Chef weiß davon aber es ist noch nichts passiert. Und daher bekam noch keiner eine Abmahnung. Also Chef Problem!
Flubber42
Flubber42 08.01.2012 um 17:26:04 Uhr
Goto Top
Hi Uwe,

wie oben schon gesagt wäre mir das auch am liebsten aber da scheitert es leider an der gutmütigkeit unseres Chefs!
Sorry

Aber Danke für die Antwort face-wink
Flubber42
Flubber42 08.01.2012 um 17:29:03 Uhr
Goto Top
Jeder Standort (MS 2003Server + 2008Server) Zeigt DNS und getway mäßig auf unseren Zentral Server in einem Standort. Dieser Leitet dann alle Internetanfragen an die FW beim Provider weiter.
Flubber42
Flubber42 08.01.2012 um 17:45:00 Uhr
Goto Top
Kleiner nachtrag zu NAP:

hab gard mal geschaut und bin leider hängen geblieben an 2 punkten: am windows 2008 server denn wir haben auch noch 2003 im Einsatz. Und wir haben auch MAC OS Clients.

Mist!
Lochkartenstanzer
Lochkartenstanzer 08.01.2012 um 17:48:05 Uhr
Goto Top
ich würde einfach verkünden, daß ab sofort das netz regelmäßig auf unerlaubte kisten gescannt wird und alle Daten da drauf rückstandslos gelöscht werden.

Wenn man regelmäßig einen DUMP vom DHCP/arpcache macht und listen von gefundenen Kisten veröffentlich mit der Warung da diese wirklich gelöscht werden, sollte das doch zumindest die meisten davon abhalten.

Und wenn man dann wirklich ab und zu mal eine der Kisten "kaputtschießt" werden die Leute es sich zweimal überlegen.

lks


Nachtrag: Noch eine Idee: Alle gefunden Daten werden auf facebook hochgeladen. kommt sicher noch besser. face-smile
Flubber42
Flubber42 08.01.2012 um 17:55:12 Uhr
Goto Top
Ja Angstmachen wäre auch ne idee face-wink
LordGurke
LordGurke 08.01.2012 um 17:59:07 Uhr
Goto Top
Höhö, einfach per DHCP an unbekannte Rechner spezielle DNS-Server ausliefern, und bei jeder aufgerufenen Webseite eine große rote Warnung "Die Geschäftsführung wurde automatisch über diesen unglücklichen Vorfall informiert" anzeigen face-big-smile
2hard4you
2hard4you 08.01.2012 um 18:04:37 Uhr
Goto Top
Moin,

meine Idee wäre eine IP-Reservierung per MAC auf dem DHCP und eine Begrenzung des Scopes, das keine freien IPs mehr da sind.

Scan nach IPs außerhalb des Scopes und Scan nach Gültigkeit MAC zu IP.

Info über die Änderung an die User - wenn jetzt einer eine IP fest vergibt, nimmt er einem anderen eine weg - IP-Konflikt - unnötiger Supportaufwand - Belastung der Kostenstelle des Mitarbeiters mit einer Pauschale

Gruß

24

P.S. Kann mit Maxis Vorschlag kombiniert werden.
Flubber42
Flubber42 08.01.2012 um 18:30:55 Uhr
Goto Top
Haha! Sehr geil!

ich habe eben mit einem Kumpel Telefoniert wegen dem Problem und sind dabei auf eine Sehr einfach Lösung gekommen:

1. Ich führe mit einer Batch Datei den ARP befehl von Windows aus und lasse mir die Ergebnisse in eine Textdatei ausgeben
2. Ein eigenes kleines Software Projekt welches die ARP Textdatei mit der MAC Textdatei vergleicht
3. Sollte eine MAC in der ARP auftauchen die nicht in der MAC Datei steht Packt er diese mit der IP in eine EMail und sendet diese an mich.

So einfach kann es sein.

Aber Danke für eure Zahlreichen antworten!
dog
dog 08.01.2012 um 19:29:33 Uhr
Goto Top
dass mir eine Software ca. alle 10 min. das komplette netzt scannt nach MAC´s

Nach MAC-IDs kann man nicht scannen, weil es nicht wie bei IP eine "Who has"-Funktion gibt.

Jeder Standort (MS 2003Server + 2008Server) Zeigt DNS und getway mäßig auf unseren Zentral Server in einem Standort.

Ist euer MPLS-Netz gebridget oder geroutet?
MAC-IDs sind immer nur im selben Layer 2 Segment sichtbar, d.h. nach dem ersten Router kann man die MAC-ID des Rechners nicht mehr sehen.

a) NAP von Microsoft... damit kannst du z.B. definieren, dass nur registierte AD-Computer ins Netzwerk Zugang erlangen.

NAP ist eine M$-Erweiterung für 802.1x, braucht also ohnehin immer managebare Switche.

Und wir haben auch MAC OS Clients.

Es gibt einen 3rd-Party-NAP-Client für OS X.

ist zwar jetzt nicht wirklich meine Stärke aber such mal nach IEEE 802.1X.

802.1x in kabelgebundenen Netzwerken ist unsicher.

1. Ich führe mit einer Batch Datei den ARP befehl von Windows aus und lasse mir die Ergebnisse in eine Textdatei ausgeben

Denk aber daran:
  • Im ARP-Cache eines Rechners befinden sich nur die MAC-IDs mit denen der PC auch tatsächlich Kontakt hatte (somit macht sowas nur auf Servern oder Routern Sinn)
  • MAC-IDs sind nur bis zum nächsten Router gültig


Aaaalso...

Ohne die Switche auszutauschen bleibt dir damit nur eine Möglichkeit, wenn du es wirklich sicher haben willst: Domain Isolation
Das ist im Prinzip zertifikatbasiertes IPSec mit Firewall und darum recht aufwendig in der Konfiguration.

Wenn du aber nur nach der Zwiebelschalen-Taktik (soll heißen, du gehst davon aus keiner der MA weiß was eine MAC-ID ist) arbeiten willst, dann tausche zuerst mal alle Switche gegen managebare aus. Dann hast du mehr Möglichkeiten:
  • Port Security: Sperrt einen Port auf die erste MAC-ID, verhindert selbst-mitgebrachte Switche und WLAN-APs
  • 802.1x mit MAC-ID und Guest VLAN: Lässt nur PCs mit eingetragenen MAC-IDs ins Netzwerk, alle werden verboten ober können in ein Gäste-Netzwerk gesteckt werden (außerdem lässt sich nachvollziehen an welchem Port sich ein Client versucht hat anzumelden)
  • DHCP-Snooping: Lässt einen Switchport nur zu, wenn das Gerät eine IP vom DHCP-Server bekommen hat (und schützt vor gefälschten DHCP-Servern)
90530
90530 08.01.2012 um 23:11:38 Uhr
Goto Top
Wir setzen in unserer Firma 2 Tools ein.

1. McAfee Rogue Sensor
2. arpwatch

es soll auch bei Einsatz von HP Switchen ein ProCurve Manager geben der den ARP-Cache auslesen kann
Flubber42
Flubber42 09.01.2012 um 00:22:43 Uhr
Goto Top
Aber hallo!

Danke für die ausführliche Beschreibung! Das findet man nicht all so oft. Wobei ich für jede Hilfe dankbar bin. Und ich glaube mit deiner Beschreibung hast du nicht nur mir geholfen.

So weit ich das weiß, müsste unser MPLS Netz geroutet sein. Das über den Router die MAC´s nicht abfragbar sind weiß ich. Daher wollte ich das tool auf jedem Server einrichten und auf die ein und selbe Textdatei mit den vorhandenen MAC adressen abfragen lassen. Da um ins Internet zu kommen die PC´s alle über den Server müssen der auch im Standort DNS macht vorbei müssen, stehen auch alle MAC´s in deren ARP Cache.

Das mit den Switches Tauschen sehe ich mal drüber weg. Denn ich denke nicht, dass mein Chef jetzt lust auf derart hohe ausgaben hat face-wink. Allerdings werden alte defekt eh nur nurch Managebare ausgetauscht.

Da unsere Verkäufer ja mit Ihren Laptops den Standort ab und zu wechseln, muss ich den Pflegeaufwand auch so niedrig wie möglich halten.

Ich probiere mal die Lösung die ich angedacht habe aus dann werde ich sehen, ob das so klappt in der Praxis. Ein erfolg, müsste sich ja dann direkt bei dem ersten tag zeigen face-wink

LG Flubber
aqui
aqui 09.01.2012, aktualisiert am 18.10.2012 um 18:49:42 Uhr
Goto Top
Am sinnvollsten zur Problemlösung ist eine Mac Authentisierung mit 802.1x wie es heute fast jeder Billigswitch supportet:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
goscho
goscho 09.01.2012 um 09:40:43 Uhr
Goto Top
Zitat von @Flubber42:
Kleiner nachtrag zu NAP:

hab gard mal geschaut und bin leider hängen geblieben an 2 punkten: am windows 2008 server denn wir haben auch noch 2003 im
Einsatz. Und wir haben auch MAC OS Clients.

Mist!
Morgen,
u.a. deswegen gibt es auch andere Anbieter, die solche Funktionen bereitstellen.

Ich nenne hier mal Symantec Network Acces Control (weil ich es auch kenne). face-wink

Aber ohne managebare Switches wird das auch nichts. face-sad
spacyfreak
spacyfreak 12.01.2012 um 11:56:50 Uhr
Goto Top
Mit DHCP / MAC-Listen hat man nur eine sehr kleine Hürde, man muss kein Profi sein um diese zu umgehen.

Die sauberste Variante das automatisiert ohne regelmässige zeitaufwändige Fummel/Abgleichaktionen wäre 802.1X.
Jeder Rechner der an nen Switchport geklemmt wird muss sich erstmal am AD authentisieren (Computerkonto bzw. Benutzerkonto) via Radius (IAS bzw. NPS Server),
dann kommt er erst rein.
FremdPCs die sich nicht authentisieren können kommen in ein "Gast-VLAN" und haben eventuell nur Internet Access oder halt garnix.

Selbst WENN du dir die Arbeit machst und dir "fremde" MAC-Adressen schicken lässt, von irgendeinem STandort wo irgendwas grade abläuft - was machst du dann damit?
Wenn der User sagt "..oh, da müssen sie sich irren, prüfen Sie das nochmal...". Ja und dann?
Und wenn dies ein Geschäftsführer oder V.I.P-Wichtigtuer ist, willst du als "Bodenpersonal-Admin" mit dem anlegen und rumkaspern und dir Feinde machen?
Ein findiger User könnte seinem Privat PC auch ohne weiteres eine MAC-Adresse geben die in deiner Liste erlaubt ist, das ist auch keine grosse Kunst.

Bleibt nur 802.1X in Absprache mit der Geschäftsleitung, - oder man geht den politischen Weg und die Geschäfts/IT-Leitung droht mit Konsequenzen wenn die Leute sich nicht an die IT-Regeln halten.