Neue Netzwerkgeräte entdecken
Hallo zusammen,
ich habe eine Netzwerkumgebung aus Cisco SG500 + Cisco SG200 Switchen.
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Gibt es eine Art "fertig-Lösung" oder gutes Tutorial, wie man das am besten umsetzen kann ?
Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen belibigen Port in meinem Netzwerk steckt.
Habt ihr Ideen / Tipps, wie ich das am besten realisieren kann ?
Vielen Dank im Voraus schonmal!
ich habe eine Netzwerkumgebung aus Cisco SG500 + Cisco SG200 Switchen.
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Gibt es eine Art "fertig-Lösung" oder gutes Tutorial, wie man das am besten umsetzen kann ?
Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen belibigen Port in meinem Netzwerk steckt.
Habt ihr Ideen / Tipps, wie ich das am besten realisieren kann ?
Vielen Dank im Voraus schonmal!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327717
Url: https://administrator.de/forum/neue-netzwerkgeraete-entdecken-327717.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @geforce28:
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Mal geschaut was deine beiden Switche so können?Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran, dass man dies eventuell über die Cisco Switche machen könnte.
Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen belibigen Port in meinem Netzwerk steckt.
Definiere doch mal fremdes Netzwerkgerät. Wann ist es Fremd oder bekannt? Was unterschiede Fremde Geräte von bekannten geräten? Wer oder was entscheided dies? 802.1x reicht dir also nicht? Ab wann ist ein fremdes Gerät keine fremdes Gerät mehr?Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @geforce28:
Ja klar, habe ich schon geschaut, was die so können, aber auf was speziell möchtest du hinaus ?
Dann hast du ja gesehen das dein SG200 zb. dir keinerlei option bietet deine dir gestrickte Datenbank einzupflegen oder gar eine Abfrage zu tätigen oder gar Vergleiche durchzuführen.....Ja klar, habe ich schon geschaut, was die so können, aber auf was speziell möchtest du hinaus ?
Ich würde eine Datenbank pflegen, mit MAC-Adressen der "bekannten" Geräte & alle anderen die auftauchen sind zunächst unbekannt und ich möchte eine Nachricht erhalten...
Und diese Datenbank bzw. deren Frontend oder whatsoever ist dann wohl auch in der lage die MACs von deiner SG... abzuholen und entsprechend deiner Wünsche dann zu verfahren. ARP Check oder Nagios und SNMP oder oder oder. Die Switche liefern dir nur die Rohdaten, ein Monitoring ala Nagios würde den Rest machen, oder eben deine Datenbank mit drumherum....Gruß,
Peter
Ich verwende auch ARP Watch was für mich den Zweck erfüllt, der da ist, jemand steckt sein privates Notebook ein und ich erfahre es. So wie ich das Verstanden habe nimmt das Programm Broadcasts auf, die z.b. beim DHCP anfallen und merkt sich welche IP/Host zu welcher MAC gehört.
Wenn jemand böses versuchen würde ARP Watch zu täuschen, wäre das wahrscheinliche einfach möglich (ARP Spoofing) von daher wenn du mehr Sicherheit möchtest würde ich den Ansatz von Pjordorf verwenden.
Good night
Wenn jemand böses versuchen würde ARP Watch zu täuschen, wäre das wahrscheinliche einfach möglich (ARP Spoofing) von daher wenn du mehr Sicherheit möchtest würde ich den Ansatz von Pjordorf verwenden.
Good night
Hallo,
Einen abschließbaren Serverraum?
Wie hoch wäre das Budget denn?
Egal, man kann ja auch versuchen diese gar nicht erst eindringen zu lassen, oder?
- LDAP Rolle auf dem AD/DC
- OpenLDAP Server
- Radius Server für WLAN oder LAN Klienten
- Captive Portal mit VLANs für WLAN Klienten der Gäste
- Host und/oder Netz basierendes IDS/IPS
- Netzwerkmonitoring á la PRTG, Nagios2 oder anderen
Sicherheit ist nie ein Punkt alleine und damit wären dann alle oder mehrere Punkte die ich hier aufgezählt habe auch nicht
schlecht wenn man sie nur konsequent umsetzt oder gar mehrere davon kombiniert.
Zertifikate auf allen Server und Klienten,........
Switch sperren oder ausschalten oder mittels Zertifikaten sicherstellen das diese und zwar nur diese mit dem Zertifikat in das
Netzwerk kommen. Dann kann dort jeder an den Ports im Büro anschließen was er und wie er will.
- Radius Server mit Zertifikaten und Verschlüsselung
- Captive Portal im eigenen VLAN für WLAN Gäste
- VLAN fähige Switche mit ACLs, MacSec und Multi-Radius Auth. per Port
- Host und Netz basierendes IDS/IPS
- AD/DC Struktur und GPOs für LAN und USB Geräte
- Netzwerkmonitoring mit PRTG und Kentix Sensoren
- Alarm per eMail und SMS
- Syslog Server auf die alle Syslogs kommen
- UTM mit IDS/IPS am WAN Interface
- DMZ für Server mit Internetkontakt und extra LAN für alles andere
- Kein BYOD
- Keine private Nutzung des Internets
- Alle zwei Jahre unterschrieben lassen Betriebsanweisung von den MA
- Schulungen abhalten, schulen und nochmals schulen
- Eigenen Server oder VM für PRTG
Eines mehrere oder alle zusammen bringen den einen oder anderen Erfolg zu Deinem Thema.
Gruß
Dobby
ich habe eine Netzwerkumgebung aus Cisco SG500 + Cisco SG200 Switchen.
Und mehr nicht? Server, NAS, SAN oder andere Geräte?Einen abschließbaren Serverraum?
Wie hoch wäre das Budget denn?
Ich möchte potenzielle Eindringlinge über Monitoring entdecken und dachte daran,.....
Eindringlinge von außen oder von drinnen oder beides?Egal, man kann ja auch versuchen diese gar nicht erst eindringen zu lassen, oder?
- LDAP Rolle auf dem AD/DC
- OpenLDAP Server
- Radius Server für WLAN oder LAN Klienten
- Captive Portal mit VLANs für WLAN Klienten der Gäste
- Host und/oder Netz basierendes IDS/IPS
- Netzwerkmonitoring á la PRTG, Nagios2 oder anderen
Sicherheit ist nie ein Punkt alleine und damit wären dann alle oder mehrere Punkte die ich hier aufgezählt habe auch nicht
schlecht wenn man sie nur konsequent umsetzt oder gar mehrere davon kombiniert.
dass man dies eventuell über die Cisco Switche machen könnte.
Mittels VLANs und/oder ACLs auf dem Switch lassen sich solche Sachen auch realisieren, oder?Gibt es eine Art "fertig-Lösung" oder gutes Tutorial, wie man das am besten umsetzen kann ?
LDAP Server, Radius Server Snort oder Suricata Sensoren und Server, PRTG und Kentix Sensoren, ein abschließbarer ServerraumZertifikate auf allen Server und Klienten,........
Konkret möchte ich benachrichtigt werden, sobald ein fremdes Netzwerkgerät mit einer unbekannten MAC-Adresse sich an einen
belibigen Port in meinem Netzwerk steckt.
Man sollte verhindern das diese Klienten überhaupt in das Netzwerk kommen und eventuell gleich alle nicht benutzen Ports ambelibigen Port in meinem Netzwerk steckt.
Switch sperren oder ausschalten oder mittels Zertifikaten sicherstellen das diese und zwar nur diese mit dem Zertifikat in das
Netzwerk kommen. Dann kann dort jeder an den Ports im Büro anschließen was er und wie er will.
Habt ihr Ideen / Tipps, wie ich das am besten realisieren kann ?
- LDAP Rolle oder OpenLDAP Server- Radius Server mit Zertifikaten und Verschlüsselung
- Captive Portal im eigenen VLAN für WLAN Gäste
- VLAN fähige Switche mit ACLs, MacSec und Multi-Radius Auth. per Port
- Host und Netz basierendes IDS/IPS
- AD/DC Struktur und GPOs für LAN und USB Geräte
- Netzwerkmonitoring mit PRTG und Kentix Sensoren
- Alarm per eMail und SMS
- Syslog Server auf die alle Syslogs kommen
- UTM mit IDS/IPS am WAN Interface
- DMZ für Server mit Internetkontakt und extra LAN für alles andere
- Kein BYOD
- Keine private Nutzung des Internets
- Alle zwei Jahre unterschrieben lassen Betriebsanweisung von den MA
- Schulungen abhalten, schulen und nochmals schulen
- Eigenen Server oder VM für PRTG
Eines mehrere oder alle zusammen bringen den einen oder anderen Erfolg zu Deinem Thema.
Gruß
Dobby