Unbekannter Rechner im Netzwerk

[Registry 10]

Hallo zusammen,

 

mir ist gerde beim kontrollieren der DHCP Leases aufgefallen das wir einen Rechner im Netzwerk haben, der mir nicht bekannt ist (der Rechnername passt nicht zu unseren Systemen). Dieser Rechner hat eine DHCP-Lease von unserem DHCP-Server erhalten. Aktiv im Netz scheint er nicht mehr zu sein, da er nicht Pingbar ist (weder über die IP noch über den Hostnamen). Ich gehe mal davon aus, das einer unserer Mitarbeiter sein privates Notebook mitgebracht hat um unsere Internetleitung zu nutzen.

 

Gibt es eine Möglichkeit herauszufinden, wem der Rechner gehört (bzw. wo er steht) und noch viel wichtiger, wie kann ich soetwas für die Zukunft unterbinden?

[marka 584]

Eine Möglichkeit, herauszufinden, wem der gehört, kenne ich nicht.

Du kannd über MAC-Adressreservierung verhindern, dass unbekannte Hosts eine IP-Adresse erhalten. Jedoch ist das auch nicht wasserdicht, da man über MAC-Adressenspoofing prinzipiell eine solche fälschen kann. Das bedarf aber etwas mehr Kenntnisse, sodass das "Mal eben Anstöpseln" von privaten Notebooks damit wohl ausgeschlossen werden sollte.

[Registry 10]

Das würde aber bedeuten, das ich für jedes System eine Reservierung anlegen müsste? Das wäre ja ein ganz schöner Aufwand.

[Hauch 10]

Mit Network Access Protection von Windows Server 2008 und XP SP3 bzw. Vista sollte man dies lösen können. Ist natürlich auch nicht gerade eine kleinigkeit.

 

Aufjedenfall sollten nur die Dosen gepatcht sein die auch benötigt werden.

 

Gruß

[Robi-Wan 10]

Hallo,

 

das Problem hatte ich auch schon. Ein Hinweis hätte ich für Dich: je nachdem wie euer Netzwerk aufgebaut ist, kannst Du eventuell mit tracert herausbekommen, an welchem Router das Ding hängt. Wenn's ein "kleiner" Router ist und die Anschlüsse räumlich stark begrenzt sind, dann kannst Du da mal vorbeilaufen und schauen...

 

Ansonsten hast Du schlechte Karten und Du musst eine größere Runde drehen und nachsehen... Hoffentlich hast Du WLAN nicht aktiv...

 

Grüße, Robert

[lefg 276]

Falls der Rechner auf Ping nicht antwortet wegen der Firewall, der Rechner nicht mehr am Netz ist, der Switch die MAC nicht hat, dann gibt es keine Möglichkeit, irgendetwas festzstellen. Falls der Switch geeignet, dann ist möglicherweise der Port feststellbar.

 

Gibt es bei euch eine Unternehmensrichtlinie, die das Benutzen, Anschliessen von nicht genehmigten Rechnern in der Firma verbietet und die jeder Mitarbeiter unterzeichnet hat? Wo das denn stehe, das fragte die neue Leiterin den sie belehren wollenden Schergenadmin. Hat der Chef möglicherweise ein privates Notebook mitgebracht oder dessen Schwiegersohn?

[Stephan Betken 43]

Das würde aber bedeuten, das ich für jedes System eine Reservierung anlegen müsste? Das wäre ja ein ganz schöner Aufwand.

Ihr seid ja alle unflexibel. ;)

MCSEboard.de MCSE Forum - Einzelnen Beitrag anzeigen - DHCP - IP's nur an bestimmte MAC Adressen verteilen?

[Registry 10]

Selbstverständlich sind nur die Dosen gepatcht, welche auch benötigt werden (aber dies hindert ja niemanden daran, seinen Firmenrechner ab- und das private Notebook anzustöbseln). WLAN ist bei uns kein Thema. Eine Unternehmensrichtlinie gibt es, gerade deshalb möchte ich ja wissen wer dagegen verstößt.

 

@ Stephan Betken: Das sieht gut aus, ich denke mal so werde ich es machen und das ganze weiter beobachten.

 

Danke an alle für die Anregungen.

[Stephan Betken 43]

Okay, man darf aber nicht vergessen, dass dadurch die Kommunikation nicht unterbunden wird.

Wenn ein Benutzer fit genug ist, die IP-Adresse seines Firmenrechners festzustellen und seinem privaten Notebook zuzuweisen, dann bist Du leider auch nicht weiter als vorher.

Als brauchbare Lösung fällt mir da spontan noch ein Switch mit Port Security ein.

 

EDIT: Das seh ich ja jetzt erst: Windows Server How-To Guides: 802.1x Port Security mit IAS-Server und Windows CA - ServerHowTo.de

[vmundus 10]

Hallo

 

Hallo zusammen,

 

Gibt es eine Möglichkeit herauszufinden, wem der Rechner gehört (bzw. wo er steht) und noch viel wichtiger, wie kann ich soetwas für die Zukunft unterbinden?

 

Du kannst zumindest mal versuchen auf die verstecckte C-Freigabe aufzuschalten (soweit der Rechner kein Admin-Kennwort hat). In den "Dokumenten und Einstellungen" wirst Du dann sicherlich den Besitzer finden. Oder Du versuchts dich per Verwaltungskonsole mit dem Rechner zu verbinden. Oftmals gibt auch der Rechnername schon Aufschluss über den Besitzer.

 

Grüße

 

Volker

[Registry 10]

@ Stephan Betken: Das dadurch die Kommunikation nicht unterbunden wird mir schon klar, aber es ist besser als nichts. Zumindest muß der Anwender dann entsprechende kriminelle Energie aufwenden (wir reden hier immerhin von einer Fälschung). Das ist dann schon ein anderes Kaliber als "mal ebend" das Notebook in die Firmenbuchse zu stecken.

 

@vmundus: Das hätte ich schon gemacht, aber als mir die vorhandene Lease aufgefallen ist, befand sich das System nicht mehr im Netz (war per ping nicht erreichbar). Der Rechnername gibt leider keinen Aufschluss über den Besitzer.

[Stephan Betken 43]

@ Stephan Betken: Das dadurch die Kommunikation nicht unterbunden wird mir schon klar, aber es ist besser als nichts. Zumindest muß der Anwender dann entsprechende kriminelle Energie aufwenden (wir reden hier immerhin von einer Fälschung). Das ist dann schon ein anderes Kaliber als "mal ebend" das Notebook in die Firmenbuchse zu stecken.

Nein, es ist mal eben nach der IP-Adresse des Clients schauen, dem eigenen Gerät diese IP-Adresse zuzuweisen und statt des Clients das eigene Gerät ans Netzwerk anschliessen.

Also ganz ohne kriminelle Energie (zumindest, wenn keine entsprechenden Firmenrichtlinien bestehen).