Jump to content

Frage: Netzsicherheit: Fremdhardware im Netz finden/erkennen...

besucher

Von besucher
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

besucher Apprentice

besucher   10

Geschrieben
Geschrieben

Hallo,

 

ein Sicherheitsrisiko ist wenn jemand Fremdhardware -Privatlaptop- im internen Firmen Netz ansteckt.

 

Wenn Ihr erlaubt möchte ich dazu zwei Fragen stellen....

 

Kennt Ihr Tools die, die Überwachung ermöglichen und mir eventuell auch eine AlarmMessage senden wenn jemand solche im Netz ansteckt?

Was tut Ihr dagegen?

 

Besten Dank

Michael

Link zu diesem Kommentar
FLOST Experienced

FLOST   10

Geschrieben
Geschrieben

Hi Michael,

 

Willkommen im Board!

 

Das ist eigentlich unmöglich, es gibt immer Möglichkeiten Hardware zu verstecken. Aber, wenn du eine Mac-Erkennung laufen hast, dann bist du schon ziemlich sicher. Einfach nur MAC-Adressen zulassen, die dir bekannt sind. Du hast dann aber ein Wartungsproblem. Neue Hardware muss erst freigeschaltet werden etc.

 

FG

 

fLOST

Link zu diesem Kommentar
besucher Apprentice

besucher   10

Geschrieben
  • Autor
Geschrieben

Anscheinend kann man solches wirklich nur über eine MAC Erkennung lösen.

 

Leider ist es aber ein leichtes dem Fremdgerät eine MAC Adresse zu verpassen

die irgendein Rechner im Firmennetz besitzt.

 

Natürlich kann der "Angreifer" nur wenig machen (z.B.: über den Proxy ins Internet) weil er nicht in der Domain hängt, aber das reicht ja schon :(

 

Kennt ihr ein nettes Tool (außer CISCO), dass so etwas ermöglicht?

 

lg und danke fürs welcome

Michael

Link zu diesem Kommentar
com1_manu Apprentice

com1_manu   10

Geschrieben
Geschrieben

Also ich sehe keinen Grund bei deinen Anforderungen gleich das Sündteure Hardware-Quarantäne-Netwerk wie z.b. cisco nac einzusetzen. Wenn dur dir hauptsächlich einen Überblick verschaffen / und oder überwachen willst reicht ein Softwarelösung.

 

http://www.infoexpress.com/security_products/pe_overview.php

 

Ansonsten falls du noch etwas warten willst, McAfee und Microsoft haben auch schon entsprechende Produkte in der Pipeline, die sowohl selbständig als auch mit dem cisco trust agent zusammenarbeiten. Ab der Version 3.5 vom McAfee ePolicy Orchestrator ist auch schon ein kleiner Netzwerk-Sensor mitdabei. Der kann allerdings nicht mehr als Daten per icmp und netbios zu sammeln.

Link zu diesem Kommentar
besucher Apprentice

besucher   10

Geschrieben
  • Autor
Geschrieben

Danke für eure Antworten, eigentlich geht es mir nur um ein "kostengünstiges" Tool das mich Informiert wenn ein nicht konformes Endgerät in meinem Netz identifiziert wird…

 

zur: 802.1x-Authentifizierung: ist vorhanden aber das Problem bei Kupfer

 

erfolgt ja diese nur bei herstellen der Verbindung... (möchte jetzt keine Anleitung für böse Buben schreiben)

 

wenn also mit dem internen PC eine authentifizierte 802.1x Verbindung steht, der böse Bube diesen PC physisch vom Netz trennt, einen HUB dazwischen steckt - MAC Adresse auf seinen privaten PC überträgt - usw… Switches sind nun mal (Hauptsächlich) Layer 2 Komponenten (MAC Adresse)…

Link zu diesem Kommentar
Hr_Rossi Veteran

Hr_Rossi   10

Geschrieben
Geschrieben
zur: 802.1x-Authentifizierung: ist vorhanden aber das Problem bei Kupfer

 

erfolgt ja diese nur bei herstellen der Verbindung... (möchte jetzt keine Anleitung für böse Buben schreiben)

 

wenn also mit dem internen PC eine authentifizierte 802.1x Verbindung steht, der böse Bube diesen PC physisch vom Netz trennt, einen HUB dazwischen steckt - MAC Adresse auf seinen privaten PC überträgt - usw… Switches sind nun mal (Hauptsächlich) Layer 2 Komponenten (MAC Adresse)…

 

 

hi

 

irgednwie versteh ich dich nicht ganz 802.1x hat nichts mit MAC Adressen zu tun sondern mit Zertifikaten !

802.1x kann man auch für wired netzwerke einsetzen vorausgesetzt die switches könne es bzw könne wirksam werden als "Radius-Proxy" die die 802.1x anforderung zum IAS weiterleiten !

Man kann es auch so mache, indem man alle die dieses Zertifikat haben in eine eigenesm Segement bzw. VLAN schmeisst und alle die kein Zert. besitzen in ein eigenes Segment bzw VLAN (Guest-VLAN)schmeisst das keine logische Verbindung zum anderen VLAnN hat sonder nur routing funktionalität ins i-net !

 

hier eine gutes powerpoint zu cisco zum thema802.1x bzw EAP over LAN !

 

http://www.cisco.com/application/vnd.ms-powerpoint/en/us/guest/products/ps6662/c1650/cdccont_0900aecd80313f72.ppt#483,11,802.1x Identity and Security

 

 

lg

rossi

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

802.1x ist an sich eine gute Sache - setzt aber voraus, dass auch die Verbindung zwischen Netwerkdose und Rechner gesichert wird (z. B. verplombt). 802.1x schaltet nämlich Ports am Switch frei - kommt danach noch eine nicht 802.1x fähige Hardware (hub, switch) zum Einsatz dann authenitifziert der legale Rechner den Port und macht die tür für die anderen am hub auf.

 

Gruß

Link zu diesem Kommentar
Hr_Rossi Veteran

Hr_Rossi   10

Geschrieben
Geschrieben
kommt danach noch eine nicht 802.1x fähige Hardware (hub, switch) zum Einsatz dann authenitifziert der legale Rechner den Port und macht die tür für die anderen am hub auf.

 

Gruß

 

ahh

 

dass musst du mir bitte erklären wie das funktionierein soll :confused:

schickt dann der hub das zertifikat für den switchport mit das der up geht oder wie jetzt !??

lg

Link zu diesem Kommentar
besucher Apprentice

besucher   10

Geschrieben
  • Autor
Geschrieben
Hr Rossi schrieb: irgednwie versteh ich dich nicht ganz 802.1x hat nichts mit MAC Adressen zu tun sondern mit Zertifikaten !

Stimmt aber die Funktionsweise von 802.1x ist, dass ein Client eine erste Verbindung zum Switch herstellt. Der Switch ignoriert solange alle Verbindungen und fragt die Identität des Clients ab und sendet diese an den RADIUS Server. Wenn der RADIUS den Client authentifiziert wird diesem die Kommunikation durch den Switch ermöglicht und daher beim Switch (Layer2) die MAC Adresse des Clients dem Switch Port zugeordnet.

 

Hr Rossi schrieb: hier eine gutes powerpoint zu cisco zum thema802.1x bzw EAP over LAN !

Danke, werd ich mir mal reinziehen :)

 

Hr Rossi schrieb: dass musst du mir bitte erklären wie das funktionierein soll

Siehe meine antwort auf mein erstes Quote.... ...nachdem ein Client 802.1x authentifiziert und dadurch der Switchport geöffnet wird, erfolgt "keine weitere" Kommunikation zwischen Client und Switch.

 

Wenn ich jetzt auf dem Angreifer-Client die MAC Adresse des authentifiziert PC übertrage und jetzt einen HUB (Layer1 - der alles Broadcastet) auf das authentifizierte geöffnete Switchport dazwischenschalte auf dem der authentifizierte Client und mein Angreifer-Client (mit der selben MAC) hängt, ist es für den Switch so als gäbe es nur den einen Client, wegen der selben MAC Adresse.

 

Dadurch wäre es dem Angreifer möglich mittels UDP und ICMP Protokollen zu kommunizieren. Sollte aber auf dem authentifiziert Client eine Firewall laufen die nicht angeforderten Datenverkehr blockt könnte der Angreifer auch mittels TCP kommunizieren und hätte somit vollzugriff.

 

lg

michael

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...