IP blockieren in einer AD-Domäne

[s1lversurv 10]

Hallo Zusammen,

 

Situation:

In unserem Netzwerk steht ein Gerät mit einer fixen IP. Wir von der Informatik

haben das nicht installiert. Das Gerät (Eine Lacie NAS Lösung) dürfte gar nicht

hier sein ...

 

Frage:

Gibt es eine Möglichkeit in unserer Windows 2003 Domäne dieses Gerät vom Netzwerkzugriff zu hindern? Habe mal an eine Reservation im DHCP Server gedacht. Das Gerät hat aber bereits die IP bezogen ... Gibt es andere Möglichkeiten?

 

PS:

Wir wollen dieses Gerät vom Netz ausschliessen.

[IThome 10]

Mit IPSec-Richtlinien könnte man das machen, aber das ist mit Kanonen auf Spatzen schiessen. Schalte das Gerät doch einfach ab ?!

[NorbertFe 2.035]

Hallo Zusammen,

 

Situation:

In unserem Netzwerk steht ein Gerät mit einer fixen IP. Wir von der Informatik

haben das nicht installiert. Das Gerät (Eine Lacie NAS Lösung) dürfte gar nicht

hier sein ...

 

Frage:

Gibt es eine Möglichkeit in unserer Windows 2003 Domäne dieses Gerät vom Netzwerkzugriff zu hindern? Habe mal an eine Reservation im DHCP Server gedacht. Das Gerät hat aber bereits die IP bezogen ... Gibt es andere Möglichkeiten?

 

PS:

Wir wollen dieses Gerät vom Netz ausschliessen.

 

Stecker ziehen? ;) Alles andere dürfte wohl eher ein unheimlicher Aufwand werden. IPFilter/Firewallkonfiguration so anpassen, dass dieses Gerät keinen Zugriff erhält. VLAN Konfiguration vornehmen usw. usf.

 

Bye

Norbert

[grizzly999 11]

Gibt es eine Möglichkeit in unserer Windows 2003 Domäne dieses Gerät vom Netzwerkzugriff zu hindern?

Was meinst du damit genau?

 

Habe mal an eine Reservation im DHCP Server gedacht. Das Gerät hat aber bereits die IP bezogen

Das habe ich auch nicht verstanden.

Und ich habe auch nicht verstanden: wenn es nicht da sein dürfte, dann mache es weg. Braucht das jemand?

 

Ich ahne nur, was du möchstet.

Lösungen:

a) Geräte entfernen (recommended)

b) Für das Gerät ein eigenes VLAN einrichten

c) Dem Gerät eine andere IP geben, aus einem anderen Netz (ohne VLAN)

d) spezielle IPSec-Policies einrichten (aber Anforderungen sin dunklar, s.o.)

 

 

grizzly999

[s1lversurv 10]

Danke für eure schnellen Antworten.

 

Muss vielleicht noch einiges hinzufügen:

* ich weiss weder wo das Gerät steht, noch welche Passwörter

für das http interface gesetzt sind. (Kann also keine Netzwerkkonfiguration vornehmen)

 

* Mit der DHCP Reservation, wollte ich die IP an eine andere MAC-Adresse binden, um das Gerät "abzuschiessen"

 

* Ich möchte etwas möglichst einfaches machen, ohne Richtlinien zu ändern. Darf auch ein wenig Hacky sein (vergl. LMHOST einträge) - das Ziel ist nur, dass sich der Besitzer eines Tages bei uns meldet und von uns Hilfe verlangt, resp. das Gerät mit nach Hause nimmt, wo es hingehört ... :-)

 

 

Hoffe diese Nachträge regen an ;-)

[NorbertFe 2.035]

Muss vielleicht noch einiges hinzufügen:

* ich weiss weder wo das Gerät steht,

 

Dann schau nach an welchem Switchport es hängt.

 

* Mit der DHCP Reservation, wollte ich die IP an eine andere MAC-Adresse binden, um das Gerät "abzuschiessen"

 

Naja.

 

* Ich möchte etwas möglichst einfaches machen, ohne Richtlinien zu ändern.

 

Finde das Geräte schalte es aus. Einfacher wirds nicht.

 

Darf auch ein wenig Hacky sein (vergl. LMHOST einträge) - das Ziel ist nur, dass sich der Besitzer eines Tages bei uns meldet

 

Warum sollte er das tun? er kann ja drauf zugreifen. ;)

 

Hoffe diese Nachträge regen an ;-)

 

Ehrlich gesagt nein. Denn die Antworten bleiben die gleichen. Du hast ein unerwünschtes Gerät im Netzwerk. Das bedeutet entweder du sicherst dein Netzwerk (802.1x o.ä.) ab oder findest das Gerät und entfernst es.

 

Bye

Norbert

[Dexx 10]

Was für Switche hast du und wie viele?

Das macht es für mich einfacher (evtl. Commands oder Tools).

 

Noberts Vorschlag mit IEEE802.1x ist sicherlich das sicherte, doch bedeutet es, das du einen "Aufwand" hast (je nach größe des Netzes).

 

Ich würde so vorgehen:

 

Ich wenn ich die IP habe und so mit auch die Mac Adresse herausfinden kann, würde ich auf jeden Switch schauen und die MAC Tables anzeigen lassen. So mit kannst man herausfinden, auf welchem Switch und sogar welchem Port er ist. Danach würde ich an den Switch gehen (vor Ort) und ein Notebook mit Sniffer an irgend einen Port hängen ohne das NAS vom Netz zu nehmen. Dieses dann mal 12 - 24 Stunden "mitsniffen" lassen und dann auswerten, bevor du dann das Patchkabel zum NAS entfernst. Denn in dem Snifferlog siehst du dann, welche IP oder Mac viel mit dem NAS kommuniziert. Das bedeutet, du findest den Standort des Verursachers /Nutzers heraus, bzw. kannst danach auch zum NAS gehen ("Netzwerkdosenplan") und es Abbauen da es im Normalfall gegen "EDV-Nutzungsvorschriften" verstößt (bei uns zu mindest).

Danach solltet ihr euch über einen Sicherheitsmechanismuss wie IEEE802.1x oder IDS oder Securityscanner gedanken machen. Denn das bedeutet, das irgendjemand ja auch sein Notebook einstecken könnte und evtl. auf sensible Daten zugreifen könnte, oder das Netz fluten oder oder oder....

 

Ich hoffe es hilft dir weiter.

 

Gruß,

 

Dexx

[grizzly999 11]

Danach würde ich an den Switch gehen (vor Ort) und ein Notebook mit Sniffer an irgend einen Port hängen ohne das NAS vom Netz zu nehmen. Dieses dann mal 12 - 24 Stunden "mitsniffen" lassen und dann auswerten, bevor du dann das Patchkabel zum NAS entfernst.

... Oder das FBI rufen, oder sich die Haare raufen :D :D

Sorry Scherz bei Seite,;) aber wenn ich den Switchport habe, wieso sollte ich dann lange sniffen und forschen und machen und tun :suspect:

Ich sehe wohin der Port gepatcht ist, und dann begebe ich dort hin. Oder ich ziehe den Stecker aus dem Switch, dann ist mit dem Gerät netzwerktechnisch stande pede Schicht im Schacht, und der "Besitzer" wird sich dann schon melden, wenn er Zugriffe braucht.

 

 

grizzly999

[Dexx 10]

...ja, das ist richtig :) Du hättest dann halt evtl. Infos darüber ob es einer oder mehrer waren, die die kiste benutzt haben...

 

Gruß,

 

Dexx