22
Fremdhardware im Netz alarmieren
Hallo zusammen,
ich suche nach einer Möglichkeit, dass wenn ein Notebook/PC etc. sich im Netz via. Port einklingt, das ich per Mail oder Sonstiges eine Benachrichtigung erhalte, wo die MAC-Adresse, Modell des Geräts und die jeweilige IP gesagt wird.
Ist das quasi Port-Monitoring ?
Bin da noch relativ neu im Thema. Ich danke schon mal im Voraus.
Gruß
ich suche nach einer Möglichkeit, dass wenn ein Notebook/PC etc. sich im Netz via. Port einklingt, das ich per Mail oder Sonstiges eine Benachrichtigung erhalte, wo die MAC-Adresse, Modell des Geräts und die jeweilige IP gesagt wird.
Ist das quasi Port-Monitoring ?
Bin da noch relativ neu im Thema. Ich danke schon mal im Voraus.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 94245829971
Url: https://administrator.de/contentid/94245829971
Ausgedruckt am: 07.11.2024 um 23:11 Uhr
22 Kommentare
Neuester Kommentar
Für das Thema gibt es unzählige Interpretationen...
https://de.wikipedia.org/wiki/IEEE_802.1X
Wir lassen erst gar keinen Forward zu (shutdown) wenn die MACs uns unbekannt ist oder andere Kriterien passen, bzw. nicht passen.
https://de.wikipedia.org/wiki/IEEE_802.1X
Wir lassen erst gar keinen Forward zu (shutdown) wenn die MACs uns unbekannt ist oder andere Kriterien passen, bzw. nicht passen.
Wenn du managebare Switche mit SNMP-Unterstützung hast und ein entsprechendes Monitoring-System (zB. Nagios) geht das natürlich.
Jürgen
Jürgen
@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.
Zitat von @chiefteddy:
Wenn du managebare Switche mit SNMP-Unterstützung hast und ein entsprechendes Monitoring-System (zB. Nagios) geht das natürlich.
Jürgen
Wenn du managebare Switche mit SNMP-Unterstützung hast und ein entsprechendes Monitoring-System (zB. Nagios) geht das natürlich.
Jürgen
Kann die SNMP-Unterstützung auch Mac- und IP-Adressen des jeweiligen Geräts tracken und ggfl. vom Netz blockieren oder gar erst nicht zulassen ins Netz reinzukommen ?
Hallo,
Ein weiteres Stichwort zum oben erwähnten RADIUS ist NAC (Network Access Control).
Beispielsweise macmon
Gruß
TA
Ein weiteres Stichwort zum oben erwähnten RADIUS ist NAC (Network Access Control).
Beispielsweise macmon
Gruß
TA
1
Wir lösen das mit ARP-Guard (Ist eine deutsche NAC Lösung). Sobald Jemand ein fremdes Gerät einsteckt, geht der Port per SNMP down und wir werden per Mail benachrichtigt. ARP-Guard setzt auch Fingerprinting Technologien ein um ein MAC-Address-Spoofing zu erkennen.
Zitat von @Daneck:
@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.
@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.
Das hört sich aber voranging nach einem TOM an. Wir haben über den Tag mindestens 5000 Techniker irgendwo auf der Welt irgendwas machen und alle werden automatisch über ihre Chefs belehrt und wenn Sie das Haus betreten werden Gäste Protokolle abgespult.
Anmeldung beim Empfang, Ausstellung Gästeausweis, Übergabe an Abteilung usw...
Jeder weiß auf welchen Flächen er gehen und stehen darf und das unsere Technik nicht der Straßenstrich ist, wo jeder sein Ding rein steckt.
Bevor du eine Software wie die Gewünschte anschaffst, was sicherlich nie schadet, ist euer Gesamtverantwortlicher erst mal dran. Je nach dem was ihr macht, geht es auch im Menschenleben.
1
Ich denke es würde schonmal helfen nur die Dosen zu patchen wo auch was dran hängt.
Ich denke nicht dass ein Techniker einfach wo was absteckt.
Ich denke nicht dass ein Techniker einfach wo was absteckt.
Port Security mit Radius und 802.1x oder Mac Authentisierung (MAB) ist das Zauberwort:
Freeradius Management mit WebGUI
Freeradius Management mit WebGUI
Der Switch erfasst erstmal nur, was an seinen Ports passiert: Port wird aktiv, Gerät mit MAC-Adresse ist angeschlossen. Über SNMP generiert der Switch eine Nachricht (Trap) und schickt sie zu einem Netzwerk-Management-System. Dort muss du festlegen, was passieren soll. ZB. unbekannte MAC --> Port down und Mail.
Wenn der Switch Portsecurity über RADIUS unterstützt, kannst du das auch nutzen (wie @aqui schon schrieb). Die Frage ist, was kann dein Switch?
Möglichkeiten gibt es viele.
Jürgen
Wenn der Switch Portsecurity über RADIUS unterstützt, kannst du das auch nutzen (wie @aqui schon schrieb). Die Frage ist, was kann dein Switch?
Möglichkeiten gibt es viele.
Jürgen
1Zitat von @8585324113:
Das hört sich aber voranging nach einem TOM an. Wir haben über den Tag mindestens 5000 Techniker irgendwo auf der Welt irgendwas machen und alle werden automatisch über ihre Chefs belehrt und wenn Sie das Haus betreten werden Gäste Protokolle abgespult.
Anmeldung beim Empfang, Ausstellung Gästeausweis, Übergabe an Abteilung usw...
Jeder weiß auf welchen Flächen er gehen und stehen darf und das unsere Technik nicht der Straßenstrich ist, wo jeder sein Ding rein steckt.
Bevor du eine Software wie die Gewünschte anschaffst, was sicherlich nie schadet, ist euer Gesamtverantwortlicher erst mal dran. Je nach dem was ihr macht, geht es auch im Menschenleben.
Zitat von @Daneck:
@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.
@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.
Das hört sich aber voranging nach einem TOM an. Wir haben über den Tag mindestens 5000 Techniker irgendwo auf der Welt irgendwas machen und alle werden automatisch über ihre Chefs belehrt und wenn Sie das Haus betreten werden Gäste Protokolle abgespult.
Anmeldung beim Empfang, Ausstellung Gästeausweis, Übergabe an Abteilung usw...
Jeder weiß auf welchen Flächen er gehen und stehen darf und das unsere Technik nicht der Straßenstrich ist, wo jeder sein Ding rein steckt.
Bevor du eine Software wie die Gewünschte anschaffst, was sicherlich nie schadet, ist euer Gesamtverantwortlicher erst mal dran. Je nach dem was ihr macht, geht es auch im Menschenleben.
Sowas wird nicht einfach blind eingerichtet. Wir achten schon darauf, dass alles mit den Höheren abgesprochen wird und wie wir dort vorgehen.
Zitat von @Freak-On-Silicon:
Ich denke es würde schonmal helfen nur die Dosen zu patchen wo auch was dran hängt.
Ich denke nicht dass ein Techniker einfach wo was absteckt.
Ich denke es würde schonmal helfen nur die Dosen zu patchen wo auch was dran hängt.
Ich denke nicht dass ein Techniker einfach wo was absteckt.
Es geht darum, dass der Techniker blind eine "freie" IP sich beschafft hat ohne zu überprüfen, ob diese tatsächlich an einer Maschine vergeben ist oder nicht. Sowas möchten wir AUCH verhindern.
Sowas möchten wir AUCH verhindern.
Na ja, dafür verwendet jeder kundige Netzwerk Admin DHCP Snooping bzw. Dynamic ARP Inspection auf der Infrastruktur.Solche simplen Binsenweisheiten kennt aber auch schon der IT Azubi!
Zitat von @aqui:
Solche simplen Binsenweisheiten kennt aber auch schon der IT Azubi!
Sowas möchten wir AUCH verhindern.
Na ja, dafür verwendet jeder kundige Netzwerk Admin DHCP Snooping bzw. Dynamic ARP Inspection auf der Infrastruktur.Solche simplen Binsenweisheiten kennt aber auch schon der IT Azubi!
Schwieriges Thema. Meine Ausbildung war nicht so prickelnd, was das Know-How angeht XD ( Keine Ausrede ;^) )
Zitat von @Daneck:
Sowas wird nicht einfach blind eingerichtet. Wir achten schon darauf, dass alles mit den Höheren abgesprochen wird und wie wir dort vorgehen.
Zitat von @8585324113:
Das hört sich aber voranging nach einem TOM an. Wir haben über den Tag mindestens 5000 Techniker irgendwo auf der Welt irgendwas machen und alle werden automatisch über ihre Chefs belehrt und wenn Sie das Haus betreten werden Gäste Protokolle abgespult.
Anmeldung beim Empfang, Ausstellung Gästeausweis, Übergabe an Abteilung usw...
Jeder weiß auf welchen Flächen er gehen und stehen darf und das unsere Technik nicht der Straßenstrich ist, wo jeder sein Ding rein steckt.
Bevor du eine Software wie die Gewünschte anschaffst, was sicherlich nie schadet, ist euer Gesamtverantwortlicher erst mal dran. Je nach dem was ihr macht, geht es auch im Menschenleben.
Zitat von @Daneck:
@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.
@8585324113 Das Problem, dass ab und zu bei uns Techniker im Hause sind und sich erlauben, einfach blind in den Netzwerk einzustecken und sich eine "freie" IP nehmen. Deshalb bräuchten wir ein Monitoring, was dzgl. uns die Übersicht der Geräte vereinfacht und Regeln für solche Fälle einstellbar wären.
Das hört sich aber voranging nach einem TOM an. Wir haben über den Tag mindestens 5000 Techniker irgendwo auf der Welt irgendwas machen und alle werden automatisch über ihre Chefs belehrt und wenn Sie das Haus betreten werden Gäste Protokolle abgespult.
Anmeldung beim Empfang, Ausstellung Gästeausweis, Übergabe an Abteilung usw...
Jeder weiß auf welchen Flächen er gehen und stehen darf und das unsere Technik nicht der Straßenstrich ist, wo jeder sein Ding rein steckt.
Bevor du eine Software wie die Gewünschte anschaffst, was sicherlich nie schadet, ist euer Gesamtverantwortlicher erst mal dran. Je nach dem was ihr macht, geht es auch im Menschenleben.
Sowas wird nicht einfach blind eingerichtet. Wir achten schon darauf, dass alles mit den Höheren abgesprochen wird und wie wir dort vorgehen.
Ich glaube ich habe mich missverständlich ausgedrückt.
Wenn in eure Niederlassung ein Auftragnehmer kommt und sich irgendwo ungefragt anpatched und sich dann noch eine IP nimmt nach eigenen Gutdünken, dann ist bei euch was mega faul.
Habt ihr keine Fremdfirmenrichtlinien? Unterweist ihr eure Lieferanten nicht?
Erstmal würde ich sicherstellen, dass jeder Auftragnehmer weiß was er nicht darf und das auch unterschreibt. Ihr habt doch eine Sifa?
Dann nennest Du uns mal deine Switches und welche Präferenz du für deine Software hast.
Bei uns können für bestimmte Bereiche und Netze die MACs über eine Sharepoint Seite von den Instandhaltern oder Leitern der Linien eingetragen werden und werden dann immer zu jeder vollen fünften Minuten eingelesen. Sonst gebe es dazu auch noch zusätzlich noch mehr Helpdesk-Tickets.
Zitat von @Daneck:
Schwieriges Thema. Meine Ausbildung war nicht so prickelnd, was das Know-How angeht XD ( Keine Ausrede ;^) )
Zitat von @aqui:
Solche simplen Binsenweisheiten kennt aber auch schon der IT Azubi!
Sowas möchten wir AUCH verhindern.
Na ja, dafür verwendet jeder kundige Netzwerk Admin DHCP Snooping bzw. Dynamic ARP Inspection auf der Infrastruktur.Solche simplen Binsenweisheiten kennt aber auch schon der IT Azubi!
Schwieriges Thema. Meine Ausbildung war nicht so prickelnd, was das Know-How angeht XD ( Keine Ausrede ;^) )
Solche Sachen werden dir aber in diversen Umgebungen nicht unbedingt helfen bzw zu unkalkulierbaren Risiken. Das kann man im Büro machen, aber nciht da wo fremde Techniker sich bewegen.
Eine SPS wertet jedes Byte auf dem Layer aus, ob nun von Belang oder nicht.
Nun - ich würde erstmal überlegen: Willst du das WIRKLICH? Dir sollte vorher nämlich klar sein das immer mehr Geräte dahin gehen die MAC dynamisch zu generieren (bei iPhone/Android schon standard).
Ich würde wenn gleich den richtigen Schritt machen - Anmeldung nur mittels Zertifikat am Netzwerk und über Radius/NAC das ganze abgefrühstückt. Schon hast du das Problem schon ziemlich gut umgangen - Zertifikat nicht vorhanden, kein Zugang...
Ich würde wenn gleich den richtigen Schritt machen - Anmeldung nur mittels Zertifikat am Netzwerk und über Radius/NAC das ganze abgefrühstückt. Schon hast du das Problem schon ziemlich gut umgangen - Zertifikat nicht vorhanden, kein Zugang...
Geräte dahin gehen die MAC dynamisch zu generieren
Das passiert aber immer nur pro SSID. Innerhalb der SSID bleibt auch die dynamische Mac Adresse bei iPhone und Androiden immer gleich. Deshalb ist damit auch eine Mac basierten Authentisierung problemlos möglich.Man muss nur zur Ermittlung der SSID spezifischen Mac das Infos Symbol zur SSID klicken.
Der Aufwand mit einer Zertifikats Infrastruktur ist für Laien und Heimnutzer oft zu aufwändig.
Dann sollte man besser auf 802.1x (WPA Enterprise) mit Preshared Keys gehen.
Für Details siehe auch hier.
Es kommt halt drauf an welches Umfeld man hat. Wenns sich um ne handvoll Geräte handelt und/oder man Zugriff drauf hat - ja, dann geht das mit der MAC (und wenn man hofft das nicht das nächte Update auch da mal wieder was zerschiesst...). Wenn man aber eben Geräte hat die zwischen Standorten wechseln,... dann kommt man damit schnell an seine Grenzen ODER man muss halt alle möglichen MACs eintragen... Ich habe deshalb zB. als Vorgabe das diese Funktion abgeschaltet werden muss - wers nicht macht kommt ggf. halt nicht rein (und bevor jetzt die Diskussion losgeht - ja, es ist mir klar das es kein 100% schutz sind, für meine Anforderung reicht es jedoch).
Es ist bei uns nicht so, dass täglich vermehrt Techniker in unserem Haus rumlaufen und ihre Aufgaben tun.
Wir haben bestimmte Techniker für bestimmte Geräte und es kommt vor, dass es mal nicht der selbe Techniker von der Firma ist (Kein Techniker von unserer Firma) -Demnach die Frage bzgl. des "PAT", falls so ein Vorkommen wieder auftreten sollte.
Wie oft ist ein Techniker da ? - Unterschiedlich. Meist nur 1-2 mal alle 2 Monate (grob geschätzt)
Es kommt immer auf die Systeme an, wie "launisch" die sind.
Wir haben bestimmte Techniker für bestimmte Geräte und es kommt vor, dass es mal nicht der selbe Techniker von der Firma ist (Kein Techniker von unserer Firma) -Demnach die Frage bzgl. des "PAT", falls so ein Vorkommen wieder auftreten sollte.
Wie oft ist ein Techniker da ? - Unterschiedlich. Meist nur 1-2 mal alle 2 Monate (grob geschätzt)
Es kommt immer auf die Systeme an, wie "launisch" die sind.
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
Vorerst gelöst!
