Rogue-Geräte von HP Procurve finden (und stoppen!)

7

Wir scheinen ein Problem mit unerwünschten Geräten in unserem Netzwerk zu haben. In DHCP (unter Win2003) kann ich Namen von Geräten sehen, die eindeutig nicht unsere sind. Vom Namen her vermute ich, dass es sich um einen drahtlosen AP handelt (WGR614 sieht für mich wie ein Netgear aus). Ich kann es jetzt nicht anpingen, aber ich möchte A.) sicher sein, dass es weg ist, und B.) verhindern, dass es zurückkommt.

Meine anfängliche Theorie ist, die MAC-Adresse am Switch zu blockieren. Ich möchte auch herausfinden, mit welchem ​​Port die MAC-Adresse verbunden war, damit ich den Ort finden kann, an dem sie verbunden war.

Wir haben verschiedene Varianten von HP ProCurve-Switches, wobei unser primärer Switch ein 4200 ist. Wie würde ich dies als einmalige Aufgabe tun? Ich bin eigentlich kein Netzwerkadministrator, also sei bitte sanft.

networking switch CC.
quelle
Schlechte Nachrichten: Durch das Blockieren des MAC des AP wird der MAC der verbundenen Clients nicht blockiert. Vielleicht möchten Sie einen Blick auf die Port-Sicherheit von procurve werfen (falls mit Ihrem Modell kompatibel), um nur 1 Mac pro Port zuzulassen.
LatinSuD

Antworten:

5

Ich kann Ihnen nichts über das Blockieren oder die Funktion der Zugriffssteuerungsliste in HP Procurve-Switches sagen. Im Allgemeinen ist das "Blockieren" unerwünschter Geräte keine gute Sache. Es ist eine bessere Idee, zu verhindern, dass die gewünschten Geräte überhaupt in Ihr Netzwerk gelangen.

Um die MAC-Adresse eines fehlerhaften Geräts von einem Computer im selben Subnetz wie dieses Gerät zu ermitteln, PINGEN Sie das Gerät und führen Sie an einer Eingabeaufforderung ein "arp -a" aus. Sie sollten so etwas zurückbekommen (unter Windows):

Interface: 192.168.28.10 --- 0x6
  Internet Address      Physical Address      Type
  192.168.28.9          00-ff-22-71-a6-a2     dynamic

Die MAC-Adresse ist in der Spalte "Physikalische Adresse" aufgeführt.

Hoffentlich verfügen die ProCurve-Switches über einige Funktionen, mit denen Sie die MAC-Adressdatenbank auf dem Switch nach einer bestimmten Adresse durchsuchen können. Wenn Sie dies tun, teilt Ihnen der Switch mit, an welchem ​​Port die MAC-Adresse "angezeigt" wird.

Auf einem Cisco-Switch (oder einem "Cisco-Workalike" -Switch) würden Sie Folgendes tun:

show mac-address | include xxxx.xxxx.xxxx

Dabei sind die x die MAC-Adresse (Entfernen des "-" zwischen den von Windows gemeldeten Ziffern und Platzieren von "." Zwischen jeder Gruppe von 4 Ziffern).

Finden Sie heraus, was an diesen Port angeschlossen ist. Wenn es sich um einen anderen Schalter handelt, wiederholen Sie den Vorgang auf dem anderen Schalter. Wenn Sie einen drahtlosen Zugangspunkt haben, sollten Sie über eine (bessere) Verschlüsselung nachdenken, um Unbefugte von Ihrem Netzwerk fernzuhalten.

Evan Anderson
quelle
+1 Aus Sicherheitsgründen ist es fast immer besser, eine "Nur-Erlaubnis-Liste" (einschließlich) anstelle einer "Ausschlussliste" (exklusiv) zu haben.
Kyle Brandt
Vielen Dank! Ich konnte es von der Show-Mac-Adresse aus aufspüren. Ich konnte nicht arp -a, da es nicht mehr im Netzwerk war, aber die Switches hatten das, was ich brauchte. Wenn Switches wie Server sind, würde ich eine Zulassungsliste verwenden, anstatt sie zu verweigern, aber ich versuche nur, sie schnell zu stoppen. Ich vermute, dass das Zusammenstellen dieser MAC-Liste etwas komplizierter ist, aber sagen Sie mir, wenn ich falsch liege!
CC.
2
show mac-address ist auch der Befehl zum Abrufen einer Mac-Adressliste auf dem HP ProCurve über Telnet to.
EKS