Unbekannte MAC Adressen in der DHCP Liste auf SBS2003 ?
Hacker oder Fehler?
Halli hallo!
Ich habe eine Frage zur Server-Sicherheit. Wir haben in der Firma einen kleinen SBS2003 Server. Ich habe nun heute beim aufrufen der DHCP Liste zwei Einträge bemerkt, die ich nicht kenne. In der DHCP Liste waren 2 IP Adressen die vergeben worden sind an Stationen mit den Namen "Süße." und "Mary." Dies hat mich sofort verwundert, weil ich unsere Stationen kenne, und ich weiß, dass keine der Stationen so heißt. Wie kann ich herausfinden, ob dies ein Angriff war oder vielleicht noch weiterhin ist?
Was mich wundert: der Server ist nicht aus dem Internet erreichbar, ein Router mit eingeschalteter Firewall ist dazwischen geschaltet. Der Server dient nur als Datenserver und macht auch DNS und DHCP. In den DHCP Log's fand ich folgende Einträge:
11,06/15/07,13:51:06,Erneuern,192.168.1.18,süße.,00023F7FCF2C,
11,06/15/07,14:01:16,Erneuern,192.168.1.18,süße.,00023F7FCF2C,
16,06/21/07,18:53:06,Gelöscht,192.168.1.11,,0001A8C0010010DCE76C66,INTERN\Administrator
16,06/21/07,18:53:16,Gelöscht,192.168.1.18,,0001A8C00100023F7FCF2C,INTERN\Administrator
Was mich wundert ist die Tatschae, daß im Router Log sowohl die MAC Adressen wie auch die IP Adressen nicht auftauchen.
In der ARP Cache Tabelle im Router ist nichts, in der Routing Tabelle ist nichts, in der NAT Tabelle ist nichts.
Nun weiß ich nicht was ich davon halten soll, und deshalb habe ich mir gedacht Euch zu fragen, vielleicht habt Ihr noch eine Idee wo ich suchen soll um festzustellen, ob da was nicht in Ordnung ist.
Danke jetzt schon für Eure Hilfe
Grüße
XK
Halli hallo!
Ich habe eine Frage zur Server-Sicherheit. Wir haben in der Firma einen kleinen SBS2003 Server. Ich habe nun heute beim aufrufen der DHCP Liste zwei Einträge bemerkt, die ich nicht kenne. In der DHCP Liste waren 2 IP Adressen die vergeben worden sind an Stationen mit den Namen "Süße." und "Mary." Dies hat mich sofort verwundert, weil ich unsere Stationen kenne, und ich weiß, dass keine der Stationen so heißt. Wie kann ich herausfinden, ob dies ein Angriff war oder vielleicht noch weiterhin ist?
Was mich wundert: der Server ist nicht aus dem Internet erreichbar, ein Router mit eingeschalteter Firewall ist dazwischen geschaltet. Der Server dient nur als Datenserver und macht auch DNS und DHCP. In den DHCP Log's fand ich folgende Einträge:
11,06/15/07,13:51:06,Erneuern,192.168.1.18,süße.,00023F7FCF2C,
11,06/15/07,14:01:16,Erneuern,192.168.1.18,süße.,00023F7FCF2C,
16,06/21/07,18:53:06,Gelöscht,192.168.1.11,,0001A8C0010010DCE76C66,INTERN\Administrator
16,06/21/07,18:53:16,Gelöscht,192.168.1.18,,0001A8C00100023F7FCF2C,INTERN\Administrator
Was mich wundert ist die Tatschae, daß im Router Log sowohl die MAC Adressen wie auch die IP Adressen nicht auftauchen.
In der ARP Cache Tabelle im Router ist nichts, in der Routing Tabelle ist nichts, in der NAT Tabelle ist nichts.
Nun weiß ich nicht was ich davon halten soll, und deshalb habe ich mir gedacht Euch zu fragen, vielleicht habt Ihr noch eine Idee wo ich suchen soll um festzustellen, ob da was nicht in Ordnung ist.
Danke jetzt schon für Eure Hilfe
Grüße
XK
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 62035
Url: https://administrator.de/forum/unbekannte-mac-adressen-in-der-dhcp-liste-auf-sbs2003-62035.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
4 Kommentare
Neuester Kommentar
Entweder hat einer sein Notebook von daheim angeschlossen, oder es ist ne VMware Virtuelle Maschine. Habt ihr zufällig ne Mitarbeiterin die Mary heisst? Oder ne süsse Praktikantin?
Schau mal im Arp Cache des switches nach. Aber kann auch sein dass der / die REchner garnichtmehr am Netz hängen, dann leert sich der Arpeintrag nach ner Weile wieder von alleine. Von aussen wirds kaum gekommen sein, sondern von innen.
Schau mal im Arp Cache des switches nach. Aber kann auch sein dass der / die REchner garnichtmehr am Netz hängen, dann leert sich der Arpeintrag nach ner Weile wieder von alleine. Von aussen wirds kaum gekommen sein, sondern von innen.
Kein Grund zur Besorgnis.
Da hat einer sich eben ans Netz angeschlossen, der Zutritt zu LAN-Dosen hat.
Dass er vom DHCP dann eine IP erhält, ist nicht ungewöhnlich, sondern normal.
Und dass dann ein Logeintrag im DHCP Log erfolgt, ist auch normal.
Vom Internet aus wars kein Angriff - da wird sich keiner von deinem DHCP eine IP holen.
Wenn Du "ungenehmigte" Zugriffe aufs Netz verhindern willst, musst du eben 802.1X einführen, oder die Netzzugänge anders sichern (z. B. Port-Security bei Cisco).
Da hat einer sich eben ans Netz angeschlossen, der Zutritt zu LAN-Dosen hat.
Dass er vom DHCP dann eine IP erhält, ist nicht ungewöhnlich, sondern normal.
Und dass dann ein Logeintrag im DHCP Log erfolgt, ist auch normal.
Vom Internet aus wars kein Angriff - da wird sich keiner von deinem DHCP eine IP holen.
Wenn Du "ungenehmigte" Zugriffe aufs Netz verhindern willst, musst du eben 802.1X einführen, oder die Netzzugänge anders sichern (z. B. Port-Security bei Cisco).