daneck
Goto Top

Fremdhardware im Netz alarmieren

Hallo zusammen,

ich suche nach einer Möglichkeit, dass wenn ein Notebook/PC etc. sich im Netz via. Port einklingt, das ich per Mail oder Sonstiges eine Benachrichtigung erhalte, wo die MAC-Adresse, Modell des Geräts und die jeweilige IP gesagt wird.

Ist das quasi Port-Monitoring ?


Bin da noch relativ neu im Thema. Ich danke schon mal im Voraus.


Gruß

Content-ID: 94245829971

Url: https://administrator.de/forum/fremdhardware-im-netz-alarmieren-94245829971.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

8585324113
8585324113 22.09.2023 um 09:16:43 Uhr
Goto Top
Für das Thema gibt es unzählige Interpretationen...
https://de.wikipedia.org/wiki/IEEE_802.1X

Wir lassen erst gar keinen Forward zu (shutdown) wenn die MACs uns unbekannt ist oder andere Kriterien passen, bzw. nicht passen.
chiefteddy
chiefteddy 22.09.2023 um 09:22:45 Uhr
Goto Top
Wenn du managebare Switche mit SNMP-Unterstützung hast und ein entsprechendes Monitoring-System (zB. Nagios) geht das natürlich.

Jürgen
Daneck
Daneck 22.09.2023 aktualisiert um 09:33:35 Uhr
Goto Top
@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.
Daneck
Daneck 22.09.2023 um 09:34:33 Uhr
Goto Top
Zitat von @chiefteddy:

Wenn du managebare Switche mit SNMP-Unterstützung hast und ein entsprechendes Monitoring-System (zB. Nagios) geht das natürlich.

Jürgen

Kann die SNMP-Unterstützung auch Mac- und IP-Adressen des jeweiligen Geräts tracken und ggfl. vom Netz blockieren oder gar erst nicht zulassen ins Netz reinzukommen ?
TwistedAir
TwistedAir 22.09.2023 aktualisiert um 09:37:29 Uhr
Goto Top
Hallo,

Ein weiteres Stichwort zum oben erwähnten RADIUS ist NAC (Network Access Control).

Beispielsweise macmon

Gruß
TA
elix2k
elix2k 22.09.2023 um 09:38:22 Uhr
Goto Top
Wir lösen das mit ARP-Guard (Ist eine deutsche NAC Lösung). Sobald Jemand ein fremdes Gerät einsteckt, geht der Port per SNMP down und wir werden per Mail benachrichtigt. ARP-Guard setzt auch Fingerprinting Technologien ein um ein MAC-Address-Spoofing zu erkennen.
8585324113
8585324113 22.09.2023 um 09:45:59 Uhr
Goto Top
Zitat von @Daneck:

@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.

Das hört sich aber voranging nach einem TOM an. Wir haben über den Tag mindestens 5000 Techniker irgendwo auf der Welt irgendwas machen und alle werden automatisch über ihre Chefs belehrt und wenn Sie das Haus betreten werden Gäste Protokolle abgespult.

Anmeldung beim Empfang, Ausstellung Gästeausweis, Übergabe an Abteilung usw...
Jeder weiß auf welchen Flächen er gehen und stehen darf und das unsere Technik nicht der Straßenstrich ist, wo jeder sein Ding rein steckt.

Bevor du eine Software wie die Gewünschte anschaffst, was sicherlich nie schadet, ist euer Gesamtverantwortlicher erst mal dran. Je nach dem was ihr macht, geht es auch im Menschenleben.
Freak-On-Silicon
Freak-On-Silicon 22.09.2023 um 10:31:26 Uhr
Goto Top
Ich denke es würde schonmal helfen nur die Dosen zu patchen wo auch was dran hängt.

Ich denke nicht dass ein Techniker einfach wo was absteckt.
aqui
aqui 22.09.2023 um 10:45:07 Uhr
Goto Top
Port Security mit Radius und 802.1x oder Mac Authentisierung (MAB) ist das Zauberwort:
Freeradius Management mit WebGUI
chiefteddy
chiefteddy 22.09.2023 um 11:19:12 Uhr
Goto Top
Der Switch erfasst erstmal nur, was an seinen Ports passiert: Port wird aktiv, Gerät mit MAC-Adresse ist angeschlossen. Über SNMP generiert der Switch eine Nachricht (Trap) und schickt sie zu einem Netzwerk-Management-System. Dort muss du festlegen, was passieren soll. ZB. unbekannte MAC --> Port down und Mail.

Wenn der Switch Portsecurity über RADIUS unterstützt, kannst du das auch nutzen (wie @aqui schon schrieb). Die Frage ist, was kann dein Switch?

Möglichkeiten gibt es viele.

Jürgen
Daneck
Daneck 22.09.2023 um 12:56:49 Uhr
Goto Top
Zitat von @8585324113:

Zitat von @Daneck:

@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.

Das hört sich aber voranging nach einem TOM an. Wir haben über den Tag mindestens 5000 Techniker irgendwo auf der Welt irgendwas machen und alle werden automatisch über ihre Chefs belehrt und wenn Sie das Haus betreten werden Gäste Protokolle abgespult.

Anmeldung beim Empfang, Ausstellung Gästeausweis, Übergabe an Abteilung usw...
Jeder weiß auf welchen Flächen er gehen und stehen darf und das unsere Technik nicht der Straßenstrich ist, wo jeder sein Ding rein steckt.

Bevor du eine Software wie die Gewünschte anschaffst, was sicherlich nie schadet, ist euer Gesamtverantwortlicher erst mal dran. Je nach dem was ihr macht, geht es auch im Menschenleben.

Sowas wird nicht einfach blind eingerichtet. Wir achten schon darauf, dass alles mit den Höheren abgesprochen wird und wie wir dort vorgehen.
Daneck
Daneck 22.09.2023 um 12:57:54 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

Ich denke es würde schonmal helfen nur die Dosen zu patchen wo auch was dran hängt.

Ich denke nicht dass ein Techniker einfach wo was absteckt.

Es geht darum, dass der Techniker blind eine "freie" IP sich beschafft hat ohne zu überprüfen, ob diese tatsächlich an einer Maschine vergeben ist oder nicht. Sowas möchten wir AUCH verhindern.
aqui
aqui 22.09.2023 aktualisiert um 13:03:58 Uhr
Goto Top
Sowas möchten wir AUCH verhindern.
Na ja, dafür verwendet jeder kundige Netzwerk Admin DHCP Snooping bzw. Dynamic ARP Inspection auf der Infrastruktur.
Solche simplen Binsenweisheiten kennt aber auch schon der IT Azubi! face-wink
Daneck
Daneck 22.09.2023 um 13:48:59 Uhr
Goto Top
Zitat von @aqui:

Sowas möchten wir AUCH verhindern.
Na ja, dafür verwendet jeder kundige Netzwerk Admin DHCP Snooping bzw. Dynamic ARP Inspection auf der Infrastruktur.
Solche simplen Binsenweisheiten kennt aber auch schon der IT Azubi! face-wink

Schwieriges Thema. Meine Ausbildung war nicht so prickelnd, was das Know-How angeht XD ( Keine Ausrede ;^) )
8585324113
8585324113 22.09.2023 um 13:49:09 Uhr
Goto Top
Zitat von @Daneck:

Zitat von @8585324113:

Zitat von @Daneck:

@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.

Das hört sich aber voranging nach einem TOM an. Wir haben über den Tag mindestens 5000 Techniker irgendwo auf der Welt irgendwas machen und alle werden automatisch über ihre Chefs belehrt und wenn Sie das Haus betreten werden Gäste Protokolle abgespult.

Anmeldung beim Empfang, Ausstellung Gästeausweis, Übergabe an Abteilung usw...
Jeder weiß auf welchen Flächen er gehen und stehen darf und das unsere Technik nicht der Straßenstrich ist, wo jeder sein Ding rein steckt.

Bevor du eine Software wie die Gewünschte anschaffst, was sicherlich nie schadet, ist euer Gesamtverantwortlicher erst mal dran. Je nach dem was ihr macht, geht es auch im Menschenleben.

Sowas wird nicht einfach blind eingerichtet. Wir achten schon darauf, dass alles mit den Höheren abgesprochen wird und wie wir dort vorgehen.

Ich glaube ich habe mich missverständlich ausgedrückt.

Wenn in eure Niederlassung ein Auftragnehmer kommt und sich irgendwo ungefragt anpatched und sich dann noch eine IP nimmt nach eigenen Gutdünken, dann ist bei euch was mega faul.
Habt ihr keine Fremdfirmenrichtlinien? Unterweist ihr eure Lieferanten nicht?

Erstmal würde ich sicherstellen, dass jeder Auftragnehmer weiß was er nicht darf und das auch unterschreibt. Ihr habt doch eine Sifa?

Dann nennest Du uns mal deine Switches und welche Präferenz du für deine Software hast.

Bei uns können für bestimmte Bereiche und Netze die MACs über eine Sharepoint Seite von den Instandhaltern oder Leitern der Linien eingetragen werden und werden dann immer zu jeder vollen fünften Minuten eingelesen. Sonst gebe es dazu auch noch zusätzlich noch mehr Helpdesk-Tickets.
8585324113
8585324113 22.09.2023 um 13:54:23 Uhr
Goto Top
Zitat von @Daneck:

Zitat von @aqui:

Sowas möchten wir AUCH verhindern.
Na ja, dafür verwendet jeder kundige Netzwerk Admin DHCP Snooping bzw. Dynamic ARP Inspection auf der Infrastruktur.
Solche simplen Binsenweisheiten kennt aber auch schon der IT Azubi! face-wink

Schwieriges Thema. Meine Ausbildung war nicht so prickelnd, was das Know-How angeht XD ( Keine Ausrede ;^) )

Solche Sachen werden dir aber in diversen Umgebungen nicht unbedingt helfen bzw zu unkalkulierbaren Risiken. Das kann man im Büro machen, aber nciht da wo fremde Techniker sich bewegen.
Eine SPS wertet jedes Byte auf dem Layer aus, ob nun von Belang oder nicht.
maretz
maretz 22.09.2023 um 18:21:39 Uhr
Goto Top
Nun - ich würde erstmal überlegen: Willst du das WIRKLICH? Dir sollte vorher nämlich klar sein das immer mehr Geräte dahin gehen die MAC dynamisch zu generieren (bei iPhone/Android schon standard).

Ich würde wenn gleich den richtigen Schritt machen - Anmeldung nur mittels Zertifikat am Netzwerk und über Radius/NAC das ganze abgefrühstückt. Schon hast du das Problem schon ziemlich gut umgangen - Zertifikat nicht vorhanden, kein Zugang...
aqui
aqui 22.09.2023 aktualisiert um 19:25:35 Uhr
Goto Top
Geräte dahin gehen die MAC dynamisch zu generieren
Das passiert aber immer nur pro SSID. Innerhalb der SSID bleibt auch die dynamische Mac Adresse bei iPhone und Androiden immer gleich. Deshalb ist damit auch eine Mac basierten Authentisierung problemlos möglich.
Man muss nur zur Ermittlung der SSID spezifischen Mac das Infos Symbol zur SSID klicken. face-wink

Der Aufwand mit einer Zertifikats Infrastruktur ist für Laien und Heimnutzer oft zu aufwändig.
Dann sollte man besser auf 802.1x (WPA Enterprise) mit Preshared Keys gehen.
Für Details siehe auch hier.
maretz
maretz 22.09.2023 um 19:39:44 Uhr
Goto Top
Es kommt halt drauf an welches Umfeld man hat. Wenns sich um ne handvoll Geräte handelt und/oder man Zugriff drauf hat - ja, dann geht das mit der MAC (und wenn man hofft das nicht das nächte Update auch da mal wieder was zerschiesst...). Wenn man aber eben Geräte hat die zwischen Standorten wechseln,... dann kommt man damit schnell an seine Grenzen ODER man muss halt alle möglichen MACs eintragen... Ich habe deshalb zB. als Vorgabe das diese Funktion abgeschaltet werden muss - wers nicht macht kommt ggf. halt nicht rein (und bevor jetzt die Diskussion losgeht - ja, es ist mir klar das es kein 100% schutz sind, für meine Anforderung reicht es jedoch).
Daneck
Daneck 28.09.2023 um 09:32:56 Uhr
Goto Top
Es ist bei uns nicht so, dass täglich vermehrt Techniker in unserem Haus rumlaufen und ihre Aufgaben tun.

Wir haben bestimmte Techniker für bestimmte Geräte und es kommt vor, dass es mal nicht der selbe Techniker von der Firma ist (Kein Techniker von unserer Firma) -Demnach die Frage bzgl. des "PAT", falls so ein Vorkommen wieder auftreten sollte.

Wie oft ist ein Techniker da ? - Unterschiedlich. Meist nur 1-2 mal alle 2 Monate (grob geschätzt)

Es kommt immer auf die Systeme an, wie "launisch" die sind.
aqui
aqui 24.10.2023 um 16:11:37 Uhr
Goto Top
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
Daneck
Daneck 27.10.2023 um 08:40:58 Uhr
Goto Top
Vorerst gelöst!