29
HP Aruba - Security access violation
Hallo!
Seit einigen Tagen habe ich auf allen unseren HP Aruba 2530 Switches folgende Meldung:
Security access violation from <IP> for the community name or user name: internal (1 times in 60 seconds)
Die Meldung bekomme ich täglich 1-2 Mal
Tritt Zeitgleich auf allen Switches auf
IP Adresse ändert sich jedes Mal
Ich habe jetzt mal nachgeschaut welcher Client die IP-Adresse hat. Den Client habe ich neu aufgesetzt. Und, einen Tag später, bekomm ich von diesem Client wieder die Meldung.
Des weiteren bekam ich am Switch auch schon folgende Meldungen: User "unknown" logged in from <IP> to SSH session
Gibt es eine Möglichkeit rauszufinden wer oder was hier einen Zugriff versucht?
Seit einigen Tagen habe ich auf allen unseren HP Aruba 2530 Switches folgende Meldung:
Security access violation from <IP> for the community name or user name: internal (1 times in 60 seconds)
Die Meldung bekomme ich täglich 1-2 Mal
Tritt Zeitgleich auf allen Switches auf
IP Adresse ändert sich jedes Mal
Ich habe jetzt mal nachgeschaut welcher Client die IP-Adresse hat. Den Client habe ich neu aufgesetzt. Und, einen Tag später, bekomm ich von diesem Client wieder die Meldung.
Des weiteren bekam ich am Switch auch schon folgende Meldungen: User "unknown" logged in from <IP> to SSH session
Gibt es eine Möglichkeit rauszufinden wer oder was hier einen Zugriff versucht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2480565242
Url: https://administrator.de/contentid/2480565242
Printed on: April 24, 2024 at 13:04 o'clock
29 Comments
Latest comment
Hi.
Sind Switch und Client im selben Subnetz?
Wenn nein, dann mal eine Firewall Regel erstellen, welche den Zugriff blockiert.
Läuft denn auf dem Client irgendeine Art SNMP Monitoring?
Das klingt stark danach. Dieses ist dann falsch konfiguriert.
Gruß
Marc
Sind Switch und Client im selben Subnetz?
Wenn nein, dann mal eine Firewall Regel erstellen, welche den Zugriff blockiert.
Läuft denn auf dem Client irgendeine Art SNMP Monitoring?
Das klingt stark danach. Dieses ist dann falsch konfiguriert.
Gruß
Marc
Ja, Clients und Switch sind im gleichem Netz.
SNMP Monitoring haben wir nicht in Verwendung.
SNMP Monitoring haben wir nicht in Verwendung.
Mal nen Wireshark dazwischen geschaltet und geschaut, was der Client so treibt?
Laut der HP Support Seite ist das eine SNMP Warnung. Ist die IP statisch bei dem Client oder wird die dynamisch via DHCP vergeben?
Eventuell "nutzt" jemand anderes diese IP noch.
Gruß
Marc
Laut der HP Support Seite ist das eine SNMP Warnung. Ist die IP statisch bei dem Client oder wird die dynamisch via DHCP vergeben?
Eventuell "nutzt" jemand anderes diese IP noch.
Gruß
Marc
Wireshark ist eine gute Idee. Interessant ist nur dass der Client neu aufgesetzt wurde. Es wurde auch keine Software installiert.
Client ist DHCP. Laut DHCP-Server ist alles sauber vergeben.
Der Zugriff auf den Switches erfolgt täglich meistens zwischen 07:00 und 09:00 Uhr. Nur am Wochenende waren es andere Uhrzeiten.
Client ist DHCP. Laut DHCP-Server ist alles sauber vergeben.
Der Zugriff auf den Switches erfolgt täglich meistens zwischen 07:00 und 09:00 Uhr. Nur am Wochenende waren es andere Uhrzeiten.
Die Fehlermeldung ist üblich wenn ein System per SNMP Netzwerk Management auf den Switch zugreift aber eine falsche SNMP Community benutzt.
Das wird eindeutig an der Meldung "for the community name or user name:" !
Vermutlich betreibt irgend jemand ein SNMP Management im Netz (Nagios usw.) was versucht Daten vom Switch mit einem falschen SNMP Community String abzuholen. Oder falls SNMPv3 mit einem falschen User/Passwort.
Das wird eindeutig an der Meldung "for the community name or user name:" !
Vermutlich betreibt irgend jemand ein SNMP Management im Netz (Nagios usw.) was versucht Daten vom Switch mit einem falschen SNMP Community String abzuholen. Oder falls SNMPv3 mit einem falschen User/Passwort.
SNMP haben wir aber nicht im Einsatz. Auf den Clients kann ohne Admin-Rechten nichts installiert werden.
Am betroffenen Client ist auch keine derartige Software installiert.
Kann man das irgendwie am Switch auslesen?
Am betroffenen Client ist auch keine derartige Software installiert.
Kann man das irgendwie am Switch auslesen?
Anbei mal die Meldungen und die Standard SNMP Config. Wie gesagt, SNMP nutzen wir nicht.
Die Zugriffe sind alle quasi gleichzeitig auf allen Switches.
Ob es immer der gleiche Client war kann ich noch nicht sagen.
Die Zugriffe sind alle quasi gleichzeitig auf allen Switches.
Ob es immer der gleiche Client war kann ich noch nicht sagen.
SNMP haben wir aber nicht im Einsatz.
Das ist völlig egal und spielt keine Rolle. Irgendwas befragt den Switch aber per SNMP und er loggt das als Violation weil er entweder nicht für SNMP konfiguriert ist oder eine andere SNMP RO oder RW Community nutzt. Sowas loggt jeder Switch, egal ob Aruba Gurke oder was auch immer.Die 10.1er Adressen sind alle die bösen Buhmänner die dem Switch etwas per SNMP entlocken wollen oder schlimmer noch versuchen per SNMP Set etwas an seiner Konfig zu verändern !!
Den Community String "Public" zu verwenden ist auch mehr als fahrlässig, denn das sind die typischen Allerwelts Dummy Stings (Public für RO und Private für RW). Sowas zu verwenden grenzt schon an Dummheit, aber egal.
Bekomme heraus WER die Absender sind mit den 10.1.er Adressen.
Ein intelligenter Netzwerk Administrator legt sich mit einem Wireshark auf die Lauer und sniffert diese Anfragen mit. Anhand der gesendeten OID Strings kann er dann sofort sehen WER und genu WAS er vom Switch versucht rauszubekommen oder zuändern und welchen Community String er dafür benutzt.
Wenn du z.B. im Heatlthcare Umfeld arbeitest könnten das Patienten Monitoring Geräte sein die per SNMP die Mac Tabelle des Switches befragen.
Zitat von @aqui:
Den Community String "Public" zu verwenden ist auch mehr als fahrlässig, denn das sind die typischen Allerwelts Dummy Stings (Public für RO und Private für RW). Sowas zu verwenden grenzt schon an Dummheit, aber egal.
Wie sollte man das richtig konfigurieren?Den Community String "Public" zu verwenden ist auch mehr als fahrlässig, denn das sind die typischen Allerwelts Dummy Stings (Public für RO und Private für RW). Sowas zu verwenden grenzt schon an Dummheit, aber egal.
Bekomme heraus WER die Absender sind mit den 10.1.er Adressen.
Da bin ich bereits dabei. Einen Client konnte ich identifizieren. Hab den Client neu aufgesetzt, versucht aber wieder zuzugreifen.Ein intelligenter Netzwerk Administrator legt sich mit einem Wireshark auf die Lauer und sniffert diese Anfragen mit. Anhand der gesendeten OID Strings kann er dann sofort sehen WER und genu WAS er vom Switch versucht rauszubekommen oder zuändern und welchen Community String er dafür benutzt.
Leider bin ich kein Netzwerk-Admin und wir haben auch keinen Profi. Muss ich wireshark direkt auf einem betroffenen Client laufen lassen oder?Sonst muss ich eine externe Firma beauftragen die mal den Netzwerk-Traffic checkt.
Wie sollte man das richtig konfigurieren?
Indem man NICHT diese Allerwelts Communities nimmt. Das ist so als wenn du ein Passwort auf "Passw0rd" oder "test123" oder solche banalen Demo Beispiele setzt. Das macht ja kein intelligenter Mensch der auf Datenschutz und Security bedacht ist. 
Setze das also auf einen individuellen String je für die RO und RW Community.
https://www.rapid7.com/blog/post/2016/01/27/simple-network-management-pr ...
https://www.comparitech.com/net-admin/common-snmp-vulnerabilities/
https://www.cisa.gov/uscert/ncas/alerts/TA17-156A
usw. usw.
Laut einem Bericht sollte ich SNMP deaktivieren wenn ich es nicht nutze. Das sollte ja punkto Sicherheit reichen, oder?
Befehl: no snmp-server enable
Befehl: no snmp-server enable
Ok das reicht nicht. Hab es gerade getestet. Reichts wenn ich die Community "public" lösche, unter General Traps alles deaktiviere?
Laut einem Bericht sollte ich SNMP deaktivieren wenn ich es nicht nutze.
Das ist richtig ! Bei SNMP Zugriff loggt der Switch das aber oft dennoch.Reichts wenn ich die Community "public" lösche
Solltest du generell IMMER machen !! Ebenso Private RW sofern aktiv. Die aktiv zu lassen ist fatal. Sowas weiss man aber auch als verantwortungsbewusster Netzwerk Admin !
Ok danke für die Info. Ich werde SNMP auf allen Switches explizit deaktivieren und die Community "public" löschen und alles mögliche in Bezug auf SNMP sperren.
Verantwortungsbewusst bin ich, aber halt kein Netzwerk-Admin...
Und dann versuche ich noch rauszufinden wer oder was auf die Switches zugreifen möchte.
Verantwortungsbewusst bin ich, aber halt kein Netzwerk-Admin...
Und dann versuche ich noch rauszufinden wer oder was auf die Switches zugreifen möchte.
aber halt kein Netzwerk-Admin...
Dann solltest du eigentlich auch nicht auf den Switches rumfummeln... wer oder was auf die Switches zugreifen möchte.
Sollte ja anhand der IP und den daraus resultierenden Mac Adressen kinderleicht sein. Sieh im DHCP Server nach welche Mac Adresse dazu korrespondiert und dann in der Mac Adress Tabelle des Switches an welchem Port diese Mac hängt dann hast du den Übeltäter.10.1.2.x und 10.1.3.x lässt annehmen das dein Netzwerk sinnvoll in VLANs segmentiert ist und mehrere IP Netze hat.
Dann kannst du auch auf dem Core L3 Switch mit show arp dir die ARP Tabelle ansehen und daraus die Mac Adressen der "SNMP Verbrecher" extrahieren. Die dann wieder in der Mac Tabelle des Switches nachsehen wo die stecken.
Kollege @Lochkartenstanzer pflegt die betreffenden User dann immer gerne mit seinem Lieblingstool für Admins zu züchtigen !
2
Ja ich konnte bereits einen Übeltäter finden - der Züchtiger ist bestellt :D :D :D
Nur interessant, der Client ist frisch neu aufgesetzt. Es sind auch nur zwei Programme installiert. Ich werde den Rechner vom Netz nehmen und beobachten.
Auf einem Switch habe ich per SSH den SNMP Dienst deaktiviert, die Community gelöscht und unter General Traps alles gesperrt. Und siehe da, keine Zugriffsmeldung mehr. Siehe Anhang.
Danke erstmal für die Hilfe. TOP!
Info ob das Problem damit behoben wurde folgt.
Nur interessant, der Client ist frisch neu aufgesetzt. Es sind auch nur zwei Programme installiert. Ich werde den Rechner vom Netz nehmen und beobachten.
Auf einem Switch habe ich per SSH den SNMP Dienst deaktiviert, die Community gelöscht und unter General Traps alles gesperrt. Und siehe da, keine Zugriffsmeldung mehr. Siehe Anhang.
Danke erstmal für die Hilfe. TOP!
Info ob das Problem damit behoben wurde folgt.
Dann bleibt dir ja nur noch deinen Thread dann als erledigt zu schliessen !
How can I mark a post as solved?
How can I mark a post as solved?
Hallö!
Habe wie oben beschrieben SNMP deaktiviert. Bekomme aber dennoch Zugriffe auf den Switches. Zwar nicht mehr auf allen, aber vereinzelt dennoch. Es sind auch immer andere Clients. Mal wird dem Benutzer public und mal mit dem Benutzer internal. Scheint so, als schwirrt hier irgendwas im Netz.
Sonst muss ich halt tatsächlich den ganzen Tag Wireshark laufen lassen und hoffen dass wieder genau der eine Client einen Zugriff versucht.
Ich hab jetzt auch mal einen externen Techniker um Hilfe gebeten. Vielleicht hat er eine Idee.
Habe wie oben beschrieben SNMP deaktiviert. Bekomme aber dennoch Zugriffe auf den Switches. Zwar nicht mehr auf allen, aber vereinzelt dennoch. Es sind auch immer andere Clients. Mal wird dem Benutzer public und mal mit dem Benutzer internal. Scheint so, als schwirrt hier irgendwas im Netz.
Sonst muss ich halt tatsächlich den ganzen Tag Wireshark laufen lassen und hoffen dass wieder genau der eine Client einen Zugriff versucht.
Ich hab jetzt auch mal einen externen Techniker um Hilfe gebeten. Vielleicht hat er eine Idee.
Wieso lässt man die Clients ins Management Netz?? Solche Ports sollten ausschließlich für Management Stationen für den Zugriff erlaubt sein, und durch Firewall/ACL wasserdicht abgedichtet sein! Alles andere ist ehrlich gesagt Murks!
Denn hast du mal Malware im Netz und deine Devices haben Sicherheitslücken sind sie so direkt Angriffen schutzlos ausgesetzt!
Denn hast du mal Malware im Netz und deine Devices haben Sicherheitslücken sind sie so direkt Angriffen schutzlos ausgesetzt!
Und wie sollte ich das am besten realisieren?
Beispiel:
10.1.0.x => VLAN1 => Switches, Server physisch
10.1.1.x => VLAN2 => Server virtuell
10.1.2.x => VLAN2 => Clients
10.1.3.x => VLAN3 => Ü-Kameras
AccessPoints, Drucker, usw.?
Oder wie sollte ich das Aufbauen? Bin kein Netzwerk-Admin und wir finden auch keinen. Sind bereits seit zwei Jahren auf der Suche...
Beispiel:
10.1.0.x => VLAN1 => Switches, Server physisch
10.1.1.x => VLAN2 => Server virtuell
10.1.2.x => VLAN2 => Clients
10.1.3.x => VLAN3 => Ü-Kameras
AccessPoints, Drucker, usw.?
Oder wie sollte ich das Aufbauen? Bin kein Netzwerk-Admin und wir finden auch keinen. Sind bereits seit zwei Jahren auf der Suche...
Naja, alle Management-Ports zur "Verwaltung" der Geräte (dazu gehört auch SNMP) gehören sollten auch nur vom Management-VLAN erreichbar sein, dazu hat man Firewall-Regeln bzw. ACLs. Zugriffe von Clients aus den Client VLANs sollten da natürlich keinen Zugriff drauf haben.
Ins ManagementVLAN für die Netzinfrastruktur packt man auch keine Server für Client-Zugriff.
Also habe deine Firewall im Griff.
Nur segmentieren alleine, hilft nicht, die Zugriffregeln müssen dann der Vollständigkeit halber auch stimmig sein sonst bringt das Segmentieren nicht viel Nutzen.
Ins ManagementVLAN für die Netzinfrastruktur packt man auch keine Server für Client-Zugriff.
Also habe deine Firewall im Griff.
Nur segmentieren alleine, hilft nicht, die Zugriffregeln müssen dann der Vollständigkeit halber auch stimmig sein sonst bringt das Segmentieren nicht viel Nutzen.
Du siehst zudem ja auch die Absender IPs die versuchen per SNMP den Switches irgendetwas zu entlocken oder schlimmer noch zu konfigurieren.
Wäre es nicht intelligent einmal diese IP Adressen bzw. dazugehörigen Geräte ersteinmal ausfindig zu machen und auf diesen Geräten dann zu untersuchen WAS dort den SNMP Zugriff triggert.
DAS wäre je zuallererst einmal eine sinnvolle Vorgehensweise. Das irgendwelche Endgeräte SNMP Zugriffe starten ist eher ein gruseliges Szenario und de facto NICHT normal !!!
Die Fahrlässigkeit alle Infrastrukturgeräte nicht in ein gesichertes Management VLAN zu legen hat der Kollege @1915348599 schon angesprochen. Für einen Netzwerk Admin eher ein Armutszeignis.
Wäre es nicht intelligent einmal diese IP Adressen bzw. dazugehörigen Geräte ersteinmal ausfindig zu machen und auf diesen Geräten dann zu untersuchen WAS dort den SNMP Zugriff triggert.
DAS wäre je zuallererst einmal eine sinnvolle Vorgehensweise. Das irgendwelche Endgeräte SNMP Zugriffe starten ist eher ein gruseliges Szenario und de facto NICHT normal !!!
Die Fahrlässigkeit alle Infrastrukturgeräte nicht in ein gesichertes Management VLAN zu legen hat der Kollege @1915348599 schon angesprochen. Für einen Netzwerk Admin eher ein Armutszeignis.
Wir haben leider keinen Netzwerk-Admin in der Firma. Job ist schon ewig ausgeschrieben.... Also bei Interesse melden
Die identifizierten Rechner werde ich beobachten und mit netstat -abon kontrollieren ob hier Abfragen über Port 161 und 162 sind. Zusätzlich dann noch mit Wireshark.
Bin bereits mit dem Firewall-Betreuer in Verbindung. Wir werden die Switches in ein eigenes VLAN geben. Dazu haben wir dann nächste Woche noch eine Besprechung. Mal schauen was rauskommt.
Ja keine Ahnung was hier die SMTP-Zugriffe verursacht...
Die identifizierten Rechner werde ich beobachten und mit netstat -abon kontrollieren ob hier Abfragen über Port 161 und 162 sind. Zusätzlich dann noch mit Wireshark.
Bin bereits mit dem Firewall-Betreuer in Verbindung. Wir werden die Switches in ein eigenes VLAN geben. Dazu haben wir dann nächste Woche noch eine Besprechung. Mal schauen was rauskommt.
Ja keine Ahnung was hier die SMTP-Zugriffe verursacht...
Ja keine Ahnung was hier die SMTP-Zugriffe verursacht...
Das solltest du aber dringenst klären, denn das ist kein normales Verhalten !Im worst Case ist das eine Malware oder Trojaner die versuchen Netzwerk Infrastruktur entsprechend zu manipulieren.
Wenn das Winblows Rechner sind helfen die Microsoft Sysinternal Tools das herauszubekommen.
Sodala. Ich hab schon eine konkrete Vermutung: Meine Kollegin hat ein Update bei unserem Inventarisierungsprogramm gemacht und da gibt es jetzt eine erweiterte SNMP Funktion. Diese könnte Schuld sein. SNMP ist zwar im Programm grundsätzlich deaktiviert, aber da gab es eine versteckte Einstellung. Wir werden dass jetzt beobachten.
Des weiteren werden wir die Switches in ein eigenes VLAN geben und weitere Sicherheitsmaßnahmen vornehmen. Außerdem ist eine Netzwerk-Admin Schulung beantragt.
Danke für eure Hilfe.
Des weiteren werden wir die Switches in ein eigenes VLAN geben und weitere Sicherheitsmaßnahmen vornehmen. Außerdem ist eine Netzwerk-Admin Schulung beantragt.
Danke für eure Hilfe.
Für solche Kollegen die sowas nicht kommunizieren im Netzwerk Admin Team dann das oben angesprochene Tool heranziehen ! 😉
1
Das Tool beinhaltet ja viele kleine Programme. Mit welchem Programm könnte ich hier was machen?
Bist du dir ganz sicher das wir hier vom gleichen Tool reden ?? 🤣
1
aaahhh dieses tool :D :D :D :D haha
