Unbekannte Mac in Netz klären (aprwatch läuft)
Hallo, arpwatch meldet mir in einem überwachten Netz ein unbekanntes Gerät mac address: 0:1e:2a:3b:66:3d mac vendor: Netgear Inc. Das ist schon ärgerlich genug aber 1) Das Netz ist 350 Kilomet weit weg und ich kann da nicht phsikalisch suchen. 2) Das unbekannte Gerät greift sich sporadisch die IP der Firwall. Mein Verdacht wäre das sich ein Schlaubär z.B. ein Nas-Storage ins Netz gehängt hat. Hat jemand eine Info ob ich raus bekommen kann welches Netgear-Gerät das sein könnte ausser Dienstag bei netgear nachzufragen? Gruß und Dank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, On Sonntag 31 Mai 2009, Ralf Prengel wrote:
Hat jemand eine Info ob ich raus bekommen kann welches Netgear-Gerät das sein könnte ausser Dienstag bei netgear nachzufragen?
Ich würde mit nmap schauen, welche ports offen sind und das Gerät darauf mal ansprechen. Vielleicht öffnet sich ja ein Konfigurator, mit dem man das Gerät identifizieren kann. Liebe Grüße Erik -- "Wenn du den letzten Zug getan hast ... die letzte Rauchwolke sich blau in der Luft verflüchtigen gesehen hast, ist es für eine sensible Natur unmöglich, nicht eine gewisse Melancholie zu empfinden." W. Somerset Maugham Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Erik P. Roderwald schrieb:
Hallo zusammen,
On Sonntag 31 Mai 2009, Ralf Prengel wrote:
Hat jemand eine Info ob ich raus bekommen kann welches Netgear-Gerät das sein könnte ausser Dienstag bei netgear nachzufragen?
Ich würde mit nmap schauen, welche ports offen sind und das Gerät darauf mal ansprechen. Vielleicht öffnet sich ja ein Konfigurator, mit dem man das Gerät identifizieren kann.
Das Gerät tuacht nur sporadisch auf. Ich denek ich werde ein script brauchen das von arpwatch ausgelöst wird sobald es wieder zu einer Auffälligkeit kommt. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Ralf Prengel [mailto:ralf.prengel@rprengel.de] schrieb:
arpwatch meldet mir in einem überwachten Netz ein unbekanntes Gerät
mac address: 0:1e:2a:3b:66:3d mac vendor: Netgear Inc.
Hat jemand eine Info ob ich raus bekommen kann welches Netgear-Gerät das sein könnte ausser Dienstag bei netgear nachzufragen?
In solchen Fällen gehe ich meist auf den zuständigen Router für dieses (entfernte) Netz und lese den ARP-Cache zu dieser MAC aus. Dann hat man schonmal die IP-Adresse des Gerätes. Die meisten Netgear-Geräte dürften per Web gemanaged werden, sodaß man dann leicht mit dem Webbrowser drauf zugreifen kann. Dort sollte man dann auch sehen, was das für ein Ding ist. Für den Fall, daß sowieso schon feststeht, daß das Teil unerwünscht im Netzwerk ist, kannst Du ja auch auf dem Switchport, an dem das Teil dranhängt, Portsecurity aktivieren und nur zulässige MAC-Adressen eintragen. Schließt Dein Kunde dann das NAS(?) wiedermal an, macht der Switch den Port dicht und meldet Dir dieses Ereignis sogar per Syslog und/oder SNMP. Und ich schätze, der Benutzer meldet sich dann auch bei Dir, weil sein Netzwerk nicht mehr geht... =;-) -- Viele Grüße aus Weimar Thomas Voigt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Ursprüngliche Nachricht----- Von: Voigt, Thomas [mailto:Thomas.Voigt@netkom.de] Gesendet: Dienstag, 2. Juni 2009 08:42 An: openSUSE mailing list Betreff: RE: Unbekannte Mac in Netz klären (aprwatch läuft)
Hallo,
Ralf Prengel [mailto:ralf.prengel@rprengel.de] schrieb:
arpwatch meldet mir in einem überwachten Netz ein unbekanntes Gerät
mac address: 0:1e:2a:3b:66:3d mac vendor: Netgear Inc.
Hat jemand eine Info ob ich raus bekommen kann welches Netgear-Gerät das sein könnte ausser Dienstag bei netgear nachzufragen?
In solchen Fällen gehe ich meist auf den zuständigen Router für dieses (entfernte) Netz und lese den ARP-Cache zu dieser MAC aus. Dann hat man schonmal die IP- Adresse des Gerätes. Die meisten Netgear-Geräte dürften per Web gemanaged werden, sodaß man dann leicht mit dem Webbrowser drauf zugreifen kann. Dort sollte man dann auch sehen, was das für ein Ding ist.
Für den Fall, daß sowieso schon feststeht, daß das Teil unerwünscht im Netzwerk ist, kannst Du ja auch auf dem Switchport, an dem das Teil dranhängt, Portsecurity aktivieren und nur zulässige MAC-Adressen eintragen. Schließt Dein Kunde dann das NAS(?) wiedermal an, macht der Switch den Port dicht und meldet Dir dieses Ereignis sogar per Syslog und/oder SNMP. Und ich schätze, der Benutzer meldet sich dann auch bei Dir, weil sein Netzwerk nicht mehr geht... =;-)
Ist leider ein arme-Leute-Netz so da ich hardwareseitig nichts blocken kann. Ich habe den Verursacher aber identifizieren können. Die Mac tauchte in den Logfiles schon mal auf. Ein User meinte die IP fest einstellen zu müssen. Beim nächsten Wartungseinsatz wird der Admin-Account erst mal gelockt. i.A. Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Erik P. Roderwald -
Ralf Prengel -
ralf.prengel@comline.de -
Voigt, Thomas