kernphysik
Goto Top

Fremder Router im Netzwerk

Hallo zusammen,

im betroffenen Netzwerk hat irgendein Schlaumeier einen TP-Link Travel Router ins Netzwerk gehangen.
Dessen DHCP hebelt mir hier sämtliche Netzwerkgeräte aus dem System und zwingt mich, überall statische Adressen zu vergeben.
Es wurden schon Rundmails an alle Mitarbeiter versandt und Anstrengungen unternommen, den Störenfried zu finden. Erfolglos. Ich kann zwar dessen Webinterface aufrufen, habe jedoch das Passwort nicht. (Default ist es leider nicht mehr)

Besteht die Möglichkeit, ohne zu wissen wo es ist oder sich auf die Oberfläche aufzuschalten, dem Gerät zu verbieten, was es da unternimmt?

Beste Grüße
Kernphysik

Content-ID: 4902887651

Url: https://administrator.de/contentid/4902887651

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

Visucius
Visucius 09.12.2022 um 11:53:58 Uhr
Goto Top
Die MAC-Adresse sperren?!
killtec
killtec 09.12.2022 um 11:55:22 Uhr
Goto Top
Hi,
anhand der MAC Adressen kannst du den Switchport ausfindig machen und somit wirst du den Störenfried finden.

Gruß
2423392070
2423392070 09.12.2022 um 11:56:43 Uhr
Goto Top
Zitat von @killtec:

Hi,
anhand der MAC Adressen kannst du den Switchport ausfindig machen und somit wirst du den Störenfried finden.

Gruß

Dito.
Switchport suchen und administrative Bestrafung durch Auspeitschen vorbereiten. Sein Auto den Lack zerkratzen alternativ.
Visucius
Visucius 09.12.2022 um 11:56:45 Uhr
Goto Top
kannst du den Switchport ausfindig machen
Der wird wohl im Wifi hängen.
2423392070
2423392070 09.12.2022 um 11:57:42 Uhr
Goto Top
Zitat von @Visucius:

kannst du den Switchport ausfindig machen
Der wird wohl im Wifi hängen.

Auch da sieht man die MACs
Visucius
Visucius 09.12.2022 um 11:59:54 Uhr
Goto Top
Auch da sieht man die MACs
Echt? Na, wenn Du meinst. face-wink

Es ging mir um den "Switchport". Aber wer weiß, vielleicht wurde er ja auch als "Extender" installiert, damit sich die Nachbarn nen Internetanschluss sparen face-wink
aqui
aqui 09.12.2022 aktualisiert um 12:07:33 Uhr
Goto Top
Dessen DHCP hebelt mir hier sämtliche Netzwerkgeräte aus dem System
Genau deswegen konfigurieren kundige Netzwerk Admins immer DHCP Snooping auf ihren Switches. Damit passiert sowas niemals im Netz! 😉

Die Cat Peitsche sollte dann der TO zu spüren bekommen als nachlässiger Netzwerk Admin! 🤣
Visucius
Visucius 09.12.2022 aktualisiert um 12:11:02 Uhr
Goto Top
Alternativ: Dauerping und nacheinander die Stecker am Switch ziehen. Anschließend das gleiche Vorgehen mit dem Sicherungskasten face-wink

Aber das ist wohl eher nen rustikales Vorgehen ...

Die Cat Peitsche sollte dann der TO zu spüren bekommen als nachlässiger Netzwerk Admin! 🤣
Vermutlich ein Penetrations-Test der GF um die eigene IT zu testen
aqui
aqui 09.12.2022 aktualisiert um 12:16:17 Uhr
Goto Top
Alternativ: Dauerping
Auf welche IP denn?? Die kennt der TO ja gar nicht... Mal ganz abgesehen davon das die sehr wahrscheinlich in einem ganz anderen IP Netz liegt, nämlich dem des Routers und nicht dem Netz an dessen Port oder WLAN dieser Router angeschlossen ist. face-wink
Wie gesagt: Mit aktivem DHCP Snooping auf dem Switch hätte der TO trotz Router oder anderen wilden DHCPs im Netz einen entspannten Freitag gehabt.
Vermutlich ein Penetrations-Test der GF um die eigene IT zu testen
Oha...dann siehts aber böse aus für die "Kernphysik"! 🤣
em-pie
Lösung em-pie 09.12.2022 um 12:13:16 Uhr
Goto Top
Moin,

Zitat von @aqui:

Alternativ: Dauerping
Auf welche IP denn?? Die kennt der TO ja gar nicht... Mal ganz abgesehen davon das die sehr wahrscheinlich in einem ganz anderen IP Netz liegt, nämlich dem des Routers und nicht dem Netz an dessen Port oder WLAN dieser Router angeschlossen ist. face-wink

Doch, die kennt er:
Erfolglos. Ich kann zwar dessen Webinterface aufrufen, habe jedoch das Passwort nicht. (Default ist es leider nicht mehr)

1. melde dich an einem Switch an und schaue, wo die MAC hingehört
2. wende dich an (d)einen Vorgesetzten - hat nichts mit Petzen zu tun, sondern mit dem Mitbringen und einfachen einhängen eigener Geräte
3. Sichere Dein Netz gegen solche Dinge ab

Gruß
em-pie
Visucius
Visucius 09.12.2022 um 12:17:33 Uhr
Goto Top
Mit aktivem DHCP Snooping auf dem Switch hätte der TO trotz Router oder anderen wilden DHCPs im Netz einen entspannten Freitag gehabt.

Hm, dann wäre das Gerät aber doch immer noch - möglicherweise unentdeckt - im Netz. Oder verstehe ich das falsch?
aqui
aqui 09.12.2022 aktualisiert um 12:23:27 Uhr
Goto Top
möglicherweise unentdeckt - im Netz.
Jein in Bezug auf unentdeckt. Zumindestens der Snooping Switch entdeckt ihn ja sofort. Er kann dann auch keinerlei "DHCP Schaden" mehr im Netz anrichten. Inklusive des Nutzers der dann keine IP vom Router mehr bekommt. Mit anderen Worten: Das Teil ist dann ohne Funktion.
Der Netzwerk Admin bekommt eine Syslog Meldung vom Snooping Switch über einen illegalen DHCP Offer und das gleich mit Port und Mac Adresse. Oder...der Nutzer kommt zum Admin und fragt warum sein illegaler Router im Netz nicht funktioniert... Dann bekommt der Nutzer die o.a. Peitsche zu spüren. 😉
Starmanager
Starmanager 09.12.2022 um 12:35:01 Uhr
Goto Top
Im Controller kann man in der Regel die Mac Adresse sehen. Die wiederrum ist dann an einen AP verbunden. Dann ist der Suchradius nur noch 100m. Falls nichts hilft das Passwort und die Verschluesselungsmethode so aendern dass der Stoerenfried sich nicht mehr verbinden kann.
140742
140742 09.12.2022 um 12:53:40 Uhr
Goto Top
Turnschuhadministration und altmodisches Suchen mit den Augen ist keine Alternative?
Visucius
Visucius 09.12.2022 um 12:58:01 Uhr
Goto Top
Wenn man die "Ecke" weiß, könnte man dort nach fremden Wifis suchen und evtl. die Ortung über die -dBms vornehmen. Aber alles ziemlich mühsam face-wink
it-fraggle
it-fraggle 09.12.2022 um 13:36:18 Uhr
Goto Top
Zitat von @KernPhysik:
im betroffenen Netzwerk hat irgendein Schlaumeier einen TP-Link Travel Router ins Netzwerk gehangen.
Das ist der Grund wieso unbenutzte Dosen entpatcht bzw. am Switch deaktiviert gehören.

Dessen DHCP hebelt mir hier sämtliche Netzwerkgeräte aus dem System und zwingt mich, überall statische Adressen zu vergeben.
Es wurden schon Rundmails an alle Mitarbeiter versandt und Anstrengungen unternommen, den Störenfried zu finden. Erfolglos. Ich kann zwar dessen Webinterface aufrufen, habe jedoch das Passwort nicht. (Default ist es leider nicht mehr)
Das nenne ich mal krasss. Ich hoffe, dass das für diese Person Konsequenzen hat.

Besteht die Möglichkeit, ohne zu wissen wo es ist oder sich auf die Oberfläche aufzuschalten, dem Gerät zu verbieten, was es da unternimmt?
Ich würde versuchen über die MAC das Gerät zu identifizieren und den entsprechenden Switchport zu deaktivieren.
aqui
aqui 09.12.2022 aktualisiert um 13:43:04 Uhr
Goto Top
Aber alles ziemlich mühsam
Das ist so nicht richtig. Mit der entsprechenden AP Hardware und einer Monitoring Funktion im Controller werden rogue SSIDs sofort gemeldet. Solche Pauschalaussagen sind, wie immer, relativ... 😉
Das ist der Grund wieso unbenutzte Dosen entpatcht bzw. am Switch deaktiviert gehören.
Nützt aber dann nix wenn der Travel Router (wie fast alle) ein WLAN Router ist. Und man muss ja auch nicht gleich deaktivieren was wieder unnütz erhöhten Management Aufwand erfordert, sondern kann intelligent Port Security mit .1x oder MBP nutzen. Plus DHCP Snooping versteht sich! face-wink
MirkoKR
MirkoKR 09.12.2022 um 14:42:00 Uhr
Goto Top
Zitat von @aqui:

Nützt aber dann nix wenn der Travel Router (wie fast alle) ein WLAN Router ist.

Naja. wenn in einem produktiven Netzwerk jeder beliebige Geräte anmelden kann, ist das mangelhafte Sicherheit.

Hier sollte eine MAC-White-List gepflegt werden, die das zumindest erschwert
Visucius
Visucius 09.12.2022 um 14:43:31 Uhr
Goto Top
Hier sollte eine MAC-White-List gepflegt werden, die das zumindest erschwert
Oder automatisch in nen Gäste_vLAN packt
aqui
aqui 09.12.2022 um 15:05:14 Uhr
Goto Top
ist das mangelhafte Sicherheit.
Wenn der TO als Admin noch nichtmal DHCP Snooping aktiv hat, benutzt er sicher im WLAN dann auch PSK Passwörter die jeder Mitarbeiter, seine Familie und Oma Grete und.... kennt. face-wink
Hier sollte eine MAC-White-List gepflegt werden
Wenig zielführend wo zumindestens alle mobilen Endgeräte heute anonymisierte Mac Adressen nutzen um ein Tracking zu vermeiden.
KernPhysik
KernPhysik 09.12.2022 aktualisiert um 15:11:33 Uhr
Goto Top
Ich lerne noch und bin dankbar für jeden Ansatz der bei der Fehlerfindung hilft.
Vielen lieben Dank für diejenigen, die konstruktive Kommentare hinterlassen haben.
Dank euch bin ich schon ein paar Schritte weiter.

Bedauerlicherweise ist das Netzwerk bei diesem Kunden sehr umfangreich und komplex. 7 VLANS, über 4 Stockwerke verbundene Switche und quasi null Dokumentation. Ich habe ein grobes Gefühl für den Aufbau, aber ganz durch steige ich noch nicht.

Ich finde die MAC gleich in mehreren Switches.
Für einen im 3. OG sieht der Eintrag so aus:
VLAN 1 CE32.E579.6EF6 Learned Gi1/0/4

bei einem anderen im 3. OG so:
VLAN 1 CE32.E579.6EF6 Learned Te1/0/1

Das heißt, sofern ich es richtig verstehe, dass das Gerät irgendwann einmal angeschlossen war, oder?
Es gibt noch weitere, aber deren Passwörter sind nicht bekannt face-confused nicht gerade optimale Bedingungen.
Visucius
Visucius 09.12.2022 aktualisiert um 15:18:04 Uhr
Goto Top
Oha.

Aktuell sind die Abende und Wochenenden ja dunkel und lang ... vielleicht der Moment, das Thema "Dokumentation" mal anzufassen.

Alternativ alles ausstecken und Montag nur nach Freigabe wieder anstöpseln face-wink
em-pie
em-pie 09.12.2022 aktualisiert um 16:06:22 Uhr
Goto Top
Zitat von @KernPhysik:

Ich lerne noch und bin dankbar für jeden Ansatz der bei der Fehlerfindung hilft.
Vielen lieben Dank für diejenigen, die konstruktive Kommentare hinterlassen haben.

Bedauerlicherweise ist das Netzwerk bei diesem Kunden sehr umfangreich und komplex. 7 VLANS, über 4 Stockwerke verbundene Switche (…)
Ich finde die MAC gleich in mehreren Switches.
Für einen im 3. OG sieht der Eintrag so aus:
VLAN 1 CE32.E579.6EF6 Learned Gi1/0/4

bei einem anderen im 3. OG so:
VLAN 1 CE32.E579.6EF6 Learned Te1/0/1

Es gibt noch weitere, aber deren Passwörter sind nicht bekannt face-confused nicht gerade optimale Bedingungen.

Du musst dich auf den Ports „durchhangeln“.
Beispiel oben. Am Switch im 3.OG wurde die MAC am Port Te1/0/1 gefunden. Vermutlich ein Uplink-Port (10G) zu einem anderen Switch.
Am anderen Switch im 3. OG steht dann ja Gi1/0/4. hier musst du dort den Port 4 genauer anschauen. Was hängt da dran? Ein unmanaged-Switch? Dein Problem-Router? Ein AP?
Hangel dich auf diese Weise durch und du wirst ihn findenface-wink
aqui
aqui 09.12.2022 um 19:56:25 Uhr
Goto Top
7 VLANS, über 4 Stockwerke verbundene Switche
Na ja, da merkt man deine noch wenige Erfahrung. "Komplex" ist was anderes wenn du es mal mit einem Netz mit 2000 Ports oder mehr vergleichst.
Ich finde die MAC gleich in mehreren Switches.
Das ist klar und erwartbar. In einem Layer 2 Netz siehst du diese Mac Adresse auch an jedem Uplink Port wie z.B. dein Te1/0/1/ face-wink
Es gibt noch weitere, aber deren Passwörter sind nicht bekannt
Dein Zauberwort heisst DHCP Snooping! Damit ist der gesamte Spuk dann vorbei.
2423392070
2423392070 09.12.2022 um 20:05:53 Uhr
Goto Top
Was hängt denn an Gi1/04 so alles dran? Ich vermute da ist schon sehr warm, was die Nähe angeht.
Celiko
Celiko 09.12.2022 um 22:45:06 Uhr
Goto Top
Moin,

wie bereits erwähnt dhcp spoofing im Netz einrichten. Zumindest ist dein Problem dann schon "gelöst" und du kannst dich auf die Suche nach dem Gerät machen.
Wenn das Netzwerk zu groß und komplex ist frag in deiner Firma / externen, der dir dabei helfen kann.
Da es dein Kunde ist kannst du ja die Kosten weiterleiten face-smile

Vg
Lochkartenstanzer
Lochkartenstanzer 10.12.2022 aktualisiert um 11:56:25 Uhr
Goto Top
Moin,

Das Ding hat sicher WLAN. Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist und da alles auf den Kopf stellen. Danach mit einem Bello den Router bearbneiten den und den Mitarbeiter mit dem Cat9-LART.

lks

PS: Wenn das Ding über WLAN drinhängt, eingfach mal WLAN-SSID ändern und schauen, wer sich beschwert.
aqui
aqui 10.12.2022 aktualisiert um 12:41:09 Uhr
Goto Top
Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist
Du meinst wohl eher einen "Peilempfänger"?! Nur 2 Sender nützen dir ja wenig bei der Feststellung der Signalstärke... face-wink
https://deauther.com
Lochkartenstanzer
Lochkartenstanzer 10.12.2022 um 13:51:25 Uhr
Goto Top
Zitat von @aqui:

Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist
Du meinst wohl eher einen "Peilempfänger"?! Nur 2 Sender nützen dir ja wenig bei der Feststellung der Signalstärke... face-wink
https://deauther.com

Sorry, hast recht.

ich dachte an sowas wie Insidder o.ä. mit dem man das unbekannte WLAN zu identifizieren versucht.

lks
ElCativoGER
ElCativoGER 12.12.2022 um 09:57:41 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @aqui:

Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist
Du meinst wohl eher einen "Peilempfänger"?! Nur 2 Sender nützen dir ja wenig bei der Feststellung der Signalstärke... face-wink
https://deauther.com

Sorry, hast recht.

ich dachte an sowas wie Insidder o.ä. mit dem man das unbekannte WLAN zu identifizieren versucht.

lks

Gibt dafür viele kostenlose Tools. Zumindest für Android.
Muss man zwar langsam durchs Haus schleichen, aber man kommt zumindest in die Nähe des WLANs.
In Kombination mit dem entsprechenden Port soltle man den Übeltäter schnell fonden.
face-smile

Viel Erfolg.
Und halt uns auf dem Laufenden.
KernPhysik
KernPhysik 13.12.2022 um 15:06:53 Uhr
Goto Top
Vielen Dank an alle, die konstruktive Beiträge geleistet haben!
Wieder einiges gelernt. Das DHCP Snooping war so z.B. noch nicht bekannt, wird jetzt aber in den Geräten, die es unterstützen, implementiert.
Ich nehme gerne weitere Stichwörter für Funktionen entgegen, die eurer Meinung nach in einem Netzwerk unabdingbar sind.

Ich habe das Gerät gefunden, indem ich die MAC Adresse durch die Switche nachverfolgt habe.
Das Teil war als WLAN Brücke eingerichtet, um ein Konferenzsystem mit LAN zu versorgen.
Es wurde SEHR gut versteckt, weswegen es beim ersten Suchlauf nicht gefunden wurde.
aqui
aqui 13.12.2022 aktualisiert um 18:02:59 Uhr
Goto Top
die eurer Meinung nach in einem Netzwerk unabdingbar sind.
  • Spanning Tree Customizing (Root Switch Priority)
  • DHCP Snooping
  • QoS Priority mit 802.1p oder DSCP
  • IGMP Snooping
  • 802.1x Port Security
Ich habe das Gerät gefunden
👍

Wenns das denn war bitte deinen Thread dann auch als erledigt schliessen!