7
Neue Netzwerkgeräte entdecken
Hallo zusammen,
ich habe eine Netzwerkumgebung aus Cisco SG500 + Cisco SG200 Switchen.
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Gibt es eine Art "fertig-Lösung" oder gutes Tutorial, wie man das am besten umsetzen kann ?
Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen belibigen Port in meinem Netzwerk steckt.
Habt ihr Ideen / Tipps, wie ich das am besten realisieren kann ?
Vielen Dank im Voraus schonmal!
ich habe eine Netzwerkumgebung aus Cisco SG500 + Cisco SG200 Switchen.
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Gibt es eine Art "fertig-Lösung" oder gutes Tutorial, wie man das am besten umsetzen kann ?
Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen belibigen Port in meinem Netzwerk steckt.
Habt ihr Ideen / Tipps, wie ich das am besten realisieren kann ?
Vielen Dank im Voraus schonmal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327717
Url: https://administrator.de/contentid/327717
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @geforce28:
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Mal geschaut was deine beiden Switche so können?Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen belibigen Port in meinem Netzwerk steckt.
Definiere doch mal fremdes Netzwerkgerät. Wann ist es Fremd oder bekannt? Was unterschiede Fremde Geräte von bekannten geräten? Wer oder was entscheided dies? 802.1x reicht dir also nicht? Ab wann ist ein fremdes Gerät keine fremdes Gerät mehr?Gruß,
Peter
N'abend ;)
Ja klar, habe ich schon geschaut, was die so können, aber auf was speziell möchtest du hinaus ?
IP Source Guard ?..
Ich würde eine Datenbank pflegen, mit MAC-Adressen der "bekannten" Geräte & alle anderen die auftauchen sind zunächst unbekannt und ich möchte eine Nachricht erhalten...
zu dem 802.1x:
Setze ich momentan noch nicht ein, finde ich aber interessant, muss aber auch von allen Endgeräten unterstützt werden, oder ?
Ja klar, habe ich schon geschaut, was die so können, aber auf was speziell möchtest du hinaus ?
IP Source Guard ?..
Ich würde eine Datenbank pflegen, mit MAC-Adressen der "bekannten" Geräte & alle anderen die auftauchen sind zunächst unbekannt und ich möchte eine Nachricht erhalten...
zu dem 802.1x:
Setze ich momentan noch nicht ein, finde ich aber interessant, muss aber auch von allen Endgeräten unterstützt werden, oder ?
Hallo,
Gruß,
Peter
Zitat von @geforce28:
Ja klar, habe ich schon geschaut, was die so können, aber auf was speziell möchtest du hinaus ?
Dann hast du ja gesehen das dein SG200 zb. dir keinerlei option bietet deine dir gestrickte Datenbank einzupflegen oder gar eine Abfrage zu tätigen oder gar Vergleiche durchzuführen.....Ja klar, habe ich schon geschaut, was die so können, aber auf was speziell möchtest du hinaus ?
Ich würde eine Datenbank pflegen, mit MAC-Adressen der "bekannten" Geräte & alle anderen die auftauchen sind zunächst unbekannt und ich möchte eine Nachricht erhalten...
Und diese Datenbank bzw. deren Frontend oder whatsoever ist dann wohl auch in der lage die MACs von deiner SG... abzuholen und entsprechend deiner Wünsche dann zu verfahren. ARP Check oder Nagios und SNMP oder oder oder. Die Switche liefern dir nur die Rohdaten, ein Monitoring ala Nagios würde den Rest machen, oder eben deine Datenbank mit drumherum....Gruß,
Peter
Ja ein Nagios / Icinga wollten wir sowieso einführen für das Monitoring unserer Virtualisierungsserver, aber das gehört hier jetzt nicht her...
Aber selbst der SG200 hat ja eine ARP Datenbank mit den Informationen, welche MAC-Adresse an welchem Port hängt..
Die kann ich im Webfrontend auch einsehen.
Die Frage ist ja jetzt nur, wie richtige ich es im Icinga Server so ein, dass diese ARP Datenbank aus den Switchen ausgelesen wird und bei neuen Geräten eine Benachrichtigung erfolgt ?
Ich habe im Netz dazu keine "Anleitung" oder soetwas gefunden und so komplett alles selbst programmieren möchte ich eigentlich nicht.
Als Alternative hatte ich mir gerade mal ARPWatch angeschaut.
Der ARPWatch-Dienst würde dann quasi alle ARP Pakete im Netzwerk mitloggen kann auch bei neuen Geräten benachrichtigen...
Habe ich denn irgendwelche Nachteile, wenn ich ARPWatch verwende, anstatt den Switch ARP-Table ?
Bekommt ARPWatch eventuell einige Geräte garnicht mit, wenn jemand böswillig genug ist und garkein ARP-Paket im Netzwerk verschickt, oder geht eine Kommunikation garnicht ohne ?
Aber selbst der SG200 hat ja eine ARP Datenbank mit den Informationen, welche MAC-Adresse an welchem Port hängt..
Die kann ich im Webfrontend auch einsehen.
Die Frage ist ja jetzt nur, wie richtige ich es im Icinga Server so ein, dass diese ARP Datenbank aus den Switchen ausgelesen wird und bei neuen Geräten eine Benachrichtigung erfolgt ?
Ich habe im Netz dazu keine "Anleitung" oder soetwas gefunden und so komplett alles selbst programmieren möchte ich eigentlich nicht.
Als Alternative hatte ich mir gerade mal ARPWatch angeschaut.
Der ARPWatch-Dienst würde dann quasi alle ARP Pakete im Netzwerk mitloggen kann auch bei neuen Geräten benachrichtigen...
Habe ich denn irgendwelche Nachteile, wenn ich ARPWatch verwende, anstatt den Switch ARP-Table ?
Bekommt ARPWatch eventuell einige Geräte garnicht mit, wenn jemand böswillig genug ist und garkein ARP-Paket im Netzwerk verschickt, oder geht eine Kommunikation garnicht ohne ?
Ich verwende auch ARP Watch was für mich den Zweck erfüllt, der da ist, jemand steckt sein privates Notebook ein und ich erfahre es. So wie ich das Verstanden habe nimmt das Programm Broadcasts auf, die z.b. beim DHCP anfallen und merkt sich welche IP/Host zu welcher MAC gehört.
Wenn jemand böses versuchen würde ARP Watch zu täuschen, wäre das wahrscheinliche einfach möglich (ARP Spoofing) von daher wenn du mehr Sicherheit möchtest würde ich den Ansatz von Pjordorf verwenden.
Good night
Wenn jemand böses versuchen würde ARP Watch zu täuschen, wäre das wahrscheinliche einfach möglich (ARP Spoofing) von daher wenn du mehr Sicherheit möchtest würde ich den Ansatz von Pjordorf verwenden.
Good night
Wie, haben die Cisco Teile etwa nicht so etwas wie einen "ARP-Guard"??? :D
Ich halte nicht viel von Cisco und kenne die Switche nicht gut. Klärt mich auf.
Und klar, ARP-Spoofing ist kein Thema. Aber eben die erste Schicht.
Ich halte nicht viel von Cisco und kenne die Switche nicht gut. Klärt mich auf.
Und klar, ARP-Spoofing ist kein Thema. Aber eben die erste Schicht.
Hallo,
Einen abschließbaren Serverraum?
Wie hoch wäre das Budget denn?
Egal, man kann ja auch versuchen diese gar nicht erst eindringen zu lassen, oder?
- LDAP Rolle auf dem AD/DC
- OpenLDAP Server
- Radius Server für WLAN oder LAN Klienten
- Captive Portal mit VLANs für WLAN Klienten der Gäste
- Host und/oder Netz basierendes IDS/IPS
- Netzwerkmonitoring á la PRTG, Nagios2 oder anderen
Sicherheit ist nie ein Punkt alleine und damit wären dann alle oder mehrere Punkte die ich hier aufgezählt habe auch nicht
schlecht wenn man sie nur konsequent umsetzt oder gar mehrere davon kombiniert.
Zertifikate auf allen Server und Klienten,........
Switch sperren oder ausschalten oder mittels Zertifikaten sicherstellen das diese und zwar nur diese mit dem Zertifikat in das
Netzwerk kommen. Dann kann dort jeder an den Ports im Büro anschließen was er und wie er will.
- Radius Server mit Zertifikaten und Verschlüsselung
- Captive Portal im eigenen VLAN für WLAN Gäste
- VLAN fähige Switche mit ACLs, MacSec und Multi-Radius Auth. per Port
- Host und Netz basierendes IDS/IPS
- AD/DC Struktur und GPOs für LAN und USB Geräte
- Netzwerkmonitoring mit PRTG und Kentix Sensoren
- Alarm per eMail und SMS
- Syslog Server auf die alle Syslogs kommen
- UTM mit IDS/IPS am WAN Interface
- DMZ für Server mit Internetkontakt und extra LAN für alles andere
- Kein BYOD
- Keine private Nutzung des Internets
- Alle zwei Jahre unterschrieben lassen Betriebsanweisung von den MA
- Schulungen abhalten, schulen und nochmals schulen
- Eigenen Server oder VM für PRTG
Eines mehrere oder alle zusammen bringen den einen oder anderen Erfolg zu Deinem Thema.
Gruß
Dobby
ich habe eine Netzwerkumgebung aus Cisco SG500 + Cisco SG200 Switchen.
Und mehr nicht? Server, NAS, SAN oder andere Geräte?Einen abschließbaren Serverraum?
Wie hoch wäre das Budget denn?
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran,.....
Eindringlinge von außen oder von drinnen oder beides?Egal, man kann ja auch versuchen diese gar nicht erst eindringen zu lassen, oder?
- LDAP Rolle auf dem AD/DC
- OpenLDAP Server
- Radius Server für WLAN oder LAN Klienten
- Captive Portal mit VLANs für WLAN Klienten der Gäste
- Host und/oder Netz basierendes IDS/IPS
- Netzwerkmonitoring á la PRTG, Nagios2 oder anderen
Sicherheit ist nie ein Punkt alleine und damit wären dann alle oder mehrere Punkte die ich hier aufgezählt habe auch nicht
schlecht wenn man sie nur konsequent umsetzt oder gar mehrere davon kombiniert.
dass man dies eventuell über die Cisco Switche machen könnte.
Mittels VLANs und/oder ACLs auf dem Switch lassen sich solche Sachen auch realisieren, oder?Gibt es eine Art "fertig-Lösung" oder gutes Tutorial, wie man das am besten umsetzen kann ?
LDAP Server, Radius Server Snort oder Suricata Sensoren und Server, PRTG und Kentix Sensoren, ein abschließbarer ServerraumZertifikate auf allen Server und Klienten,........
Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen
belibigen Port in meinem Netzwerk steckt.
Man sollte verhindern das diese Klienten überhaupt in das Netzwerk kommen und eventuell gleich alle nicht benutzen Ports ambelibigen Port in meinem Netzwerk steckt.
Switch sperren oder ausschalten oder mittels Zertifikaten sicherstellen das diese und zwar nur diese mit dem Zertifikat in das
Netzwerk kommen. Dann kann dort jeder an den Ports im Büro anschließen was er und wie er will.
Habt ihr Ideen / Tipps, wie ich das am besten realisieren kann ?
- LDAP Rolle oder OpenLDAP Server- Radius Server mit Zertifikaten und Verschlüsselung
- Captive Portal im eigenen VLAN für WLAN Gäste
- VLAN fähige Switche mit ACLs, MacSec und Multi-Radius Auth. per Port
- Host und Netz basierendes IDS/IPS
- AD/DC Struktur und GPOs für LAN und USB Geräte
- Netzwerkmonitoring mit PRTG und Kentix Sensoren
- Alarm per eMail und SMS
- Syslog Server auf die alle Syslogs kommen
- UTM mit IDS/IPS am WAN Interface
- DMZ für Server mit Internetkontakt und extra LAN für alles andere
- Kein BYOD
- Keine private Nutzung des Internets
- Alle zwei Jahre unterschrieben lassen Betriebsanweisung von den MA
- Schulungen abhalten, schulen und nochmals schulen
- Eigenen Server oder VM für PRTG
Eines mehrere oder alle zusammen bringen den einen oder anderen Erfolg zu Deinem Thema.
Gruß
Dobby
1
