Fremde PCs im Netzwerk melden
Wie finde ich "Fremde" PC im Netzwerk?
Hallo @all,
in unserer Firma verwalten wir knapp 300 PC´s in 16 Standorten die zum teil sehr weit auseinander liegen. Dies nehmen unsere User zum Anlass des öfteren Private oder Kundenlaptops an unser Firmennetz an zu schießen. Da die IP´s über DHCP zugeordnet werden, ist das auch wunderbar für alle User die gegen Regeln im Netzwerk verstoßen wollen.
Wir sind jetzt schon so weit, dass unsere Server IP adressen nur PC´s zuordnen, die in der MAC Liste hinterlegt sind. Das klappt auch so weit. Doch unsere findigen User geben ihren Privaten Laptops jetzt einfach feste Adressen und schon ist der DHCP Filter ausgehebelt.
Mir ist jetzt die Idee gekommen, da ich alle MAC adressen in einer Textdatei notiert habe, dass mir eine Software ca. alle 10 min. das komplette netzt scannt nach MAC´s die nicht in der Textdatei stehen und mir diese MAC + IP dann als Meldung per Mail zukommen lässt. Anhand der IP kann ich dann den Standort ausmachen.
Ich hab dabei schon an ein kleines VB6 Programm gedacht das mir die MAC adressen liefert die aktuell online sind. Aber ich habe keine Idee wie in ich VB6 an so was ran gehe. Habe schon beispiele gesucht aber nix richtiges gefunden. Mail versenden und Textdatei lesen ist kein Problem. Es scheitert am lesen der MAC adressen.
Ich hoffe es kann mir von euch jemand helfen.
Danke!
Hallo @all,
in unserer Firma verwalten wir knapp 300 PC´s in 16 Standorten die zum teil sehr weit auseinander liegen. Dies nehmen unsere User zum Anlass des öfteren Private oder Kundenlaptops an unser Firmennetz an zu schießen. Da die IP´s über DHCP zugeordnet werden, ist das auch wunderbar für alle User die gegen Regeln im Netzwerk verstoßen wollen.
Wir sind jetzt schon so weit, dass unsere Server IP adressen nur PC´s zuordnen, die in der MAC Liste hinterlegt sind. Das klappt auch so weit. Doch unsere findigen User geben ihren Privaten Laptops jetzt einfach feste Adressen und schon ist der DHCP Filter ausgehebelt.
Mir ist jetzt die Idee gekommen, da ich alle MAC adressen in einer Textdatei notiert habe, dass mir eine Software ca. alle 10 min. das komplette netzt scannt nach MAC´s die nicht in der Textdatei stehen und mir diese MAC + IP dann als Meldung per Mail zukommen lässt. Anhand der IP kann ich dann den Standort ausmachen.
Ich hab dabei schon an ein kleines VB6 Programm gedacht das mir die MAC adressen liefert die aktuell online sind. Aber ich habe keine Idee wie in ich VB6 an so was ran gehe. Habe schon beispiele gesucht aber nix richtiges gefunden. Mail versenden und Textdatei lesen ist kein Problem. Es scheitert am lesen der MAC adressen.
Ich hoffe es kann mir von euch jemand helfen.
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 178553
Url: https://administrator.de/contentid/178553
Ausgedruckt am: 17.11.2024 um 12:11 Uhr
22 Kommentare
Neuester Kommentar
Du könntest dir an einem Zentralen System (Internetgateway?) regelmäßig die Ausgabe des ARP-Caches abrufen. Da die meisten Notebooks ja hoffentlich mit Virenscannern ausgestattet sind, wird ja sofort nach dem Hochfahren nach Signaturen gesucht womit die MAC-Adresse dem Internetgateway sofort bekannt ist.
Aber wäre es eventuell nicht auch eine Alternative den Switchen das Anlernen neuer MAC-Adressen zu verbieten? Dann könnten die Benutzer mit den angestöpselten Notebooks überhaupt nichts mehr im Netzwerk tun und würden dann auch keine eingeschleppten Viren verbreiten können.
Aber wäre es eventuell nicht auch eine Alternative den Switchen das Anlernen neuer MAC-Adressen zu verbieten? Dann könnten die Benutzer mit den angestöpselten Notebooks überhaupt nichts mehr im Netzwerk tun und würden dann auch keine eingeschleppten Viren verbreiten können.
Moin,
es gibt dazu verschiedene Ansätze:
a) NAP von Microsoft... damit kannst du z.B. definieren, dass nur registierte AD-Computer ins Netzwerk Zugang erlangen.
b) Port-Security auf den LAN-Switches... d.h. an jedem Port wird die MAC-Adresse hinterlegt und sobald eine andere MAC-Adresse sich meldet wird der Port abgeschalten. Hat den Nachteil, dass evtl. viel Konfigurationsaufwand bei euch aufkommt.
c) Anweisung der Geschäftsleitung, dass fremde IT-Geräte nicht ans Firmennetzwerk angeschlossen werden dürfen -> Verstoß Abmahnung.
Ich persönlich würde erstmal schauen ob c) mein Problem löst. Anderen falls eben eine technische Umsetzung nach a) oder b).
Grüße,
Daniel
es gibt dazu verschiedene Ansätze:
a) NAP von Microsoft... damit kannst du z.B. definieren, dass nur registierte AD-Computer ins Netzwerk Zugang erlangen.
b) Port-Security auf den LAN-Switches... d.h. an jedem Port wird die MAC-Adresse hinterlegt und sobald eine andere MAC-Adresse sich meldet wird der Port abgeschalten. Hat den Nachteil, dass evtl. viel Konfigurationsaufwand bei euch aufkommt.
c) Anweisung der Geschäftsleitung, dass fremde IT-Geräte nicht ans Firmennetzwerk angeschlossen werden dürfen -> Verstoß Abmahnung.
Ich persönlich würde erstmal schauen ob c) mein Problem löst. Anderen falls eben eine technische Umsetzung nach a) oder b).
Grüße,
Daniel
Zitat von @Flubber42:
Ich denke das wird schwirig, da ich auf unser Getway für die INternetverbindung keinen zugriff habe. Denn unsere Zentrale
Firewall ist im Rechenzentrum unseres MPLS Netz Providers und nicht bei uns im Haus.
Ich denke das wird schwirig, da ich auf unser Getway für die INternetverbindung keinen zugriff habe. Denn unsere Zentrale
Firewall ist im Rechenzentrum unseres MPLS Netz Providers und nicht bei uns im Haus.
Aber ihr müsst doch irgendwas im lokalen Netzwerk haben? Und sei es ein Proxyserver...
ich würde einfach verkünden, daß ab sofort das netz regelmäßig auf unerlaubte kisten gescannt wird und alle Daten da drauf rückstandslos gelöscht werden.
Wenn man regelmäßig einen DUMP vom DHCP/arpcache macht und listen von gefundenen Kisten veröffentlich mit der Warung da diese wirklich gelöscht werden, sollte das doch zumindest die meisten davon abhalten.
Und wenn man dann wirklich ab und zu mal eine der Kisten "kaputtschießt" werden die Leute es sich zweimal überlegen.
lks
Nachtrag: Noch eine Idee: Alle gefunden Daten werden auf facebook hochgeladen. kommt sicher noch besser.
Wenn man regelmäßig einen DUMP vom DHCP/arpcache macht und listen von gefundenen Kisten veröffentlich mit der Warung da diese wirklich gelöscht werden, sollte das doch zumindest die meisten davon abhalten.
Und wenn man dann wirklich ab und zu mal eine der Kisten "kaputtschießt" werden die Leute es sich zweimal überlegen.
lks
Nachtrag: Noch eine Idee: Alle gefunden Daten werden auf facebook hochgeladen. kommt sicher noch besser.
Moin,
meine Idee wäre eine IP-Reservierung per MAC auf dem DHCP und eine Begrenzung des Scopes, das keine freien IPs mehr da sind.
Scan nach IPs außerhalb des Scopes und Scan nach Gültigkeit MAC zu IP.
Info über die Änderung an die User - wenn jetzt einer eine IP fest vergibt, nimmt er einem anderen eine weg - IP-Konflikt - unnötiger Supportaufwand - Belastung der Kostenstelle des Mitarbeiters mit einer Pauschale
Gruß
24
P.S. Kann mit Maxis Vorschlag kombiniert werden.
meine Idee wäre eine IP-Reservierung per MAC auf dem DHCP und eine Begrenzung des Scopes, das keine freien IPs mehr da sind.
Scan nach IPs außerhalb des Scopes und Scan nach Gültigkeit MAC zu IP.
Info über die Änderung an die User - wenn jetzt einer eine IP fest vergibt, nimmt er einem anderen eine weg - IP-Konflikt - unnötiger Supportaufwand - Belastung der Kostenstelle des Mitarbeiters mit einer Pauschale
Gruß
24
P.S. Kann mit Maxis Vorschlag kombiniert werden.
dass mir eine Software ca. alle 10 min. das komplette netzt scannt nach MAC´s
Nach MAC-IDs kann man nicht scannen, weil es nicht wie bei IP eine "Who has"-Funktion gibt.
Jeder Standort (MS 2003Server + 2008Server) Zeigt DNS und getway mäßig auf unseren Zentral Server in einem Standort.
Ist euer MPLS-Netz gebridget oder geroutet?
MAC-IDs sind immer nur im selben Layer 2 Segment sichtbar, d.h. nach dem ersten Router kann man die MAC-ID des Rechners nicht mehr sehen.
a) NAP von Microsoft... damit kannst du z.B. definieren, dass nur registierte AD-Computer ins Netzwerk Zugang erlangen.
NAP ist eine M$-Erweiterung für 802.1x, braucht also ohnehin immer managebare Switche.
Und wir haben auch MAC OS Clients.
Es gibt einen 3rd-Party-NAP-Client für OS X.
ist zwar jetzt nicht wirklich meine Stärke aber such mal nach IEEE 802.1X.
802.1x in kabelgebundenen Netzwerken ist unsicher.
1. Ich führe mit einer Batch Datei den ARP befehl von Windows aus und lasse mir die Ergebnisse in eine Textdatei ausgeben
Denk aber daran:
- Im ARP-Cache eines Rechners befinden sich nur die MAC-IDs mit denen der PC auch tatsächlich Kontakt hatte (somit macht sowas nur auf Servern oder Routern Sinn)
- MAC-IDs sind nur bis zum nächsten Router gültig
Aaaalso...
Ohne die Switche auszutauschen bleibt dir damit nur eine Möglichkeit, wenn du es wirklich sicher haben willst: Domain Isolation
Das ist im Prinzip zertifikatbasiertes IPSec mit Firewall und darum recht aufwendig in der Konfiguration.
Wenn du aber nur nach der Zwiebelschalen-Taktik (soll heißen, du gehst davon aus keiner der MA weiß was eine MAC-ID ist) arbeiten willst, dann tausche zuerst mal alle Switche gegen managebare aus. Dann hast du mehr Möglichkeiten:
- Port Security: Sperrt einen Port auf die erste MAC-ID, verhindert selbst-mitgebrachte Switche und WLAN-APs
- 802.1x mit MAC-ID und Guest VLAN: Lässt nur PCs mit eingetragenen MAC-IDs ins Netzwerk, alle werden verboten ober können in ein Gäste-Netzwerk gesteckt werden (außerdem lässt sich nachvollziehen an welchem Port sich ein Client versucht hat anzumelden)
- DHCP-Snooping: Lässt einen Switchport nur zu, wenn das Gerät eine IP vom DHCP-Server bekommen hat (und schützt vor gefälschten DHCP-Servern)
Wir setzen in unserer Firma 2 Tools ein.
1. McAfee Rogue Sensor
2. arpwatch
es soll auch bei Einsatz von HP Switchen ein ProCurve Manager geben der den ARP-Cache auslesen kann
1. McAfee Rogue Sensor
2. arpwatch
es soll auch bei Einsatz von HP Switchen ein ProCurve Manager geben der den ARP-Cache auslesen kann
Am sinnvollsten zur Problemlösung ist eine Mac Authentisierung mit 802.1x wie es heute fast jeder Billigswitch supportet:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Zitat von @Flubber42:
Kleiner nachtrag zu NAP:
hab gard mal geschaut und bin leider hängen geblieben an 2 punkten: am windows 2008 server denn wir haben auch noch 2003 im
Einsatz. Und wir haben auch MAC OS Clients.
Mist!
Morgen,Kleiner nachtrag zu NAP:
hab gard mal geschaut und bin leider hängen geblieben an 2 punkten: am windows 2008 server denn wir haben auch noch 2003 im
Einsatz. Und wir haben auch MAC OS Clients.
Mist!
u.a. deswegen gibt es auch andere Anbieter, die solche Funktionen bereitstellen.
Ich nenne hier mal Symantec Network Acces Control (weil ich es auch kenne).
Aber ohne managebare Switches wird das auch nichts.
Mit DHCP / MAC-Listen hat man nur eine sehr kleine Hürde, man muss kein Profi sein um diese zu umgehen.
Die sauberste Variante das automatisiert ohne regelmässige zeitaufwändige Fummel/Abgleichaktionen wäre 802.1X.
Jeder Rechner der an nen Switchport geklemmt wird muss sich erstmal am AD authentisieren (Computerkonto bzw. Benutzerkonto) via Radius (IAS bzw. NPS Server),
dann kommt er erst rein.
FremdPCs die sich nicht authentisieren können kommen in ein "Gast-VLAN" und haben eventuell nur Internet Access oder halt garnix.
Selbst WENN du dir die Arbeit machst und dir "fremde" MAC-Adressen schicken lässt, von irgendeinem STandort wo irgendwas grade abläuft - was machst du dann damit?
Wenn der User sagt "..oh, da müssen sie sich irren, prüfen Sie das nochmal...". Ja und dann?
Und wenn dies ein Geschäftsführer oder V.I.P-Wichtigtuer ist, willst du als "Bodenpersonal-Admin" mit dem anlegen und rumkaspern und dir Feinde machen?
Ein findiger User könnte seinem Privat PC auch ohne weiteres eine MAC-Adresse geben die in deiner Liste erlaubt ist, das ist auch keine grosse Kunst.
Bleibt nur 802.1X in Absprache mit der Geschäftsleitung, - oder man geht den politischen Weg und die Geschäfts/IT-Leitung droht mit Konsequenzen wenn die Leute sich nicht an die IT-Regeln halten.
Die sauberste Variante das automatisiert ohne regelmässige zeitaufwändige Fummel/Abgleichaktionen wäre 802.1X.
Jeder Rechner der an nen Switchport geklemmt wird muss sich erstmal am AD authentisieren (Computerkonto bzw. Benutzerkonto) via Radius (IAS bzw. NPS Server),
dann kommt er erst rein.
FremdPCs die sich nicht authentisieren können kommen in ein "Gast-VLAN" und haben eventuell nur Internet Access oder halt garnix.
Selbst WENN du dir die Arbeit machst und dir "fremde" MAC-Adressen schicken lässt, von irgendeinem STandort wo irgendwas grade abläuft - was machst du dann damit?
Wenn der User sagt "..oh, da müssen sie sich irren, prüfen Sie das nochmal...". Ja und dann?
Und wenn dies ein Geschäftsführer oder V.I.P-Wichtigtuer ist, willst du als "Bodenpersonal-Admin" mit dem anlegen und rumkaspern und dir Feinde machen?
Ein findiger User könnte seinem Privat PC auch ohne weiteres eine MAC-Adresse geben die in deiner Liste erlaubt ist, das ist auch keine grosse Kunst.
Bleibt nur 802.1X in Absprache mit der Geschäftsleitung, - oder man geht den politischen Weg und die Geschäfts/IT-Leitung droht mit Konsequenzen wenn die Leute sich nicht an die IT-Regeln halten.