IP-Adressen-Überwachung

[jens.ebinger]

Hallo.

Bei uns gibts immer wieder "Gestalten", die irgendwelcher Netzwerkausrüstung IP-Adressen geben,

die bereits den Servern zugewiesen sind --> führt zu "verbesserungsfähigen" Ergebnissen.

Wir haben mehrere Gebäude mit mehreren Stockwerken, z.T. mit unmanaged Switchen.

D.h. den "Störenfried" schnell finden ist im Augenblick "nicht einfach" bis unmöglich.

Wir haben genug IP-Adressen (mehrere hundert pro Kopf), aber auch viel Ausrüstung im Haus (Industrie-kommunikation),

die auf Kundenbedürfnisse angepasst werden muss.

Boese Absicht steckt nicht dahinter, eher fehlendes Wissen oder Sorglosigkeit / Zeitdruck.

Ein schnelles Googlen hat ergeben, dass z.B. die Software "arpwatch" helfen können.

Hat damit jemand Erfahrung? Oder gibts ne (bekannt gute / bekannte taugliche) fertige Lösung (bunt angemalte Box im 19-Zoll-Format), die das auch kann?

Danke.

[lordy]

arpwatch ist sicher ein guter Ansatz.

Alternativ gibt es noch IP-Sentinel

[jens.ebinger]

Chefchen hat gesagt, "wenn das nur gegen Münzeinwurf (Kuaf von managed Switches) geht, dann machen wir das".

D.h. wir kaufen Switches nach. Empfehlungen bei der Gelegenheit?

Eigentlich haben wir schon Cisco-Ausrüstung, aber Chef mag die irgendwie nicht. Chef ist halt Chef. Das ist auch der Grund, warum wir dann unmanaged Switches gekauft haben.

[lordy]

Ich würd Cisco nehmen, weil ich mich damit auskenn'

Außerdem ist ein homogenes Netzwerk doch deutlich einfacher zu handhaben als Cisco hier, 3Com dort, Netgear da drüben, etc.

Bei Cisco kann man mit "port security" die Ports auch ganz schön vernageln.

[-uLtrA-]

Ich kann dir die HP ProCurve 2626er empfehlen

[jens.ebinger]

Bei Cisco kann man mit "port security" die Ports auch ganz schön vernageln.

Hmm?!?!? Da kommt Ausrüstung, wird via Netzwerk konfiguriert und geht dann raus zum Kunden. --> Beliebiges Equipment zumindest in Teilen des Hauses.

ist vielleicht VLAN ne Lösung?

[lordy]

Hmm?!?!? Da kommt Ausrüstung, wird via Netzwerk konfiguriert und geht dann raus zum Kunden. --> Beliebiges Equipment zumindest in Teilen des Hauses.

Über "port security" kannst du z.b. MAC-Adressen an bestimmte Ports binden und läßt nur jene offen, an denen regelmäßig dieses neue Equipment konfiguriert wird.

ist vielleicht VLAN ne Lösung?

VLANs sind kein Security-Werkzeug

[jens.ebinger]

Über "port security" kannst du z.b. MAC-Adressen an bestimmte Ports binden und läßt nur jene offen, an denen regelmäßig dieses neue Equipment konfiguriert wird.

D.h. Im Serverraum konfiguriere ich an Switch Nr.2 den Port Nr. 4 so, dass dort nur 00-11-22-33-44-55-66 zulässig ist. Was wenn nur an Switch Nr. 3 Port 6 (in der Abteilung "Inbetriebnahme") ein Gerät mit MAC-Adresse AA-FF-FF-EE-00-00 daherkommt, dass auch auf IP-Adresse 172.16.1.1 (die eigentlich dem Server "gehört") konfiguriert ist?

VLANs sind kein Security-Werkzeug

Warum?

[lordy]

Hmmm... stimmt, in dem Fall hilft dir dann Port-Security nicht. Es sorgt nur dafür, das Anwender nicht irgendwelche Geräte (APs, eigene Rechner, etc.) anschliessen.

Zum Thema VLAN: Es gibt durchaus möglichkeiten des VLAN-Hopping, daher sollte man verschiedene Security-Zonen nicht durch VLANs sondern durch seperate Switche trennen. Ob das für dich zutrifft ist natürlich was anderes...