SNMP HP Switche - MAC-Überwachung

  • Hat jemand eventuell einen Ansatz, möglichst per SNMP die MAC-Adressen an Switch-Ports zu "überwachen"?

    Der Umweg über "Console" ist nicht gerade mein Favorit... ansich komme ich mit SNMP gut klar, da gibt es einen Beitrag von mir zum Thema Druckerabfrage... aber bei den Switchen sieht es so aus als sie es tatsächlich komplizierter...

    Sowas in der Art:

    Autoit überwacht per SNMP einen bestimmten OID. Speichert sich den dahinter liegenden MAC-Wert weg. Beim nächsten Abfragen, vergleichen ob sich was am Port geändert. Wenn ja dann soll er z.B. eine Mail versenden. Wenn nicht dann nix tun.

    Der Thread hier soll nicht meine Faulheit unterstützen, sondern lediglich denkanstöße geben, wie man sowas lösen KÖNNTE.

  • Kann man das nicht über ARP lösen?

    PING mit Namensauflösung (unter Windows ping -a <IP>) und dann ARP (Windows arp -a <IP>)auslesen.

    So bekommst Du mit, wenn Hostname und MAC sich untreu werden. ?

  • Ja, das schon, so kriege ich aber nicht mit, wenn sich an einem Switchport ein fremdes Gerät andockt!

    Letztlich geht es nur darum, nachvollziehen zu können, wenn sich auf meinem Netzwerkkabel ein anderes Gerät anstöpselt...

    Ich könnte es zwar auch über die Port-Security des Switches abfrühstücken, aber dann ist es quasi eine "stille" Aktion auf dem Switch, der managed das ja dann alles allein, aber ich gucke mir ja nicht alle Switch-Consolen an um die Meldungen zu verpassen, wenn mal wieder jemand so schlau war, ein fremdes Gerät ins Netz zu kloppen...

  • Hmmm, bei kritischen Netzen kenn ich auch die sofortige Abschaltung, sobald eine unbekannte MAC daherkommt. Sorgt für mehr Arbeit beim helpdesk, aber das spricht sich recht schnell rum und wird dann schnell weniger.

    Gibt der Switch das her?

  • Abschaltung? Ja daher bin ich ja auf die Idee gekommen... mitm ARP-Cache des Switches könnte ich natürlich auch arbeiten, müsste dann aber entsprechend die Consolenausgabe mitlesen... unschön... daher kam mir die Idee SNMP, aber am gewust an Werten die darin enthalten sind, kann ich nicht eruieren, auf welchem Port welche MAC hängt...

    Du bist neu hier?! Wundert mich dass die alten Hasen hier noch Ihren Senf nicht zugegeben haben... :P

    Dir jedenfalls ein Herzliches Willkommen!

    • Offizieller Beitrag

    Hallo,

    du kannst doch PortSecurity so konfigurieren das der Port disabled wird, sobald ein fremdes Gerät angstöpselt wird. Das meinte @Zec wohl mit "Abschaltung". Der Port bleibt dann sollange disabled bis der Admin in wieder aktiviert, zusätzlich kann der Switch auch noch ein Trap senden, sobald der Port disabled wurde.

  • Ja Port disablen ist zwar auch schön, dann weiß derjenige aber auch, dass er aufgeflogen ist und würde sicherlich recht zügig von dannen ziehen... 8o

    Es gibt natürlich eine (teure und übermächtige) Softwarelösung für sowas... ich keine Werbung dafür machen... ein Keyword "macmon" reicht... :P

    da hier viele abhängen, die entweder so individuelle Lösungen brauchen, dass es sie nicht zu kaufen gibt oder einfach nur nicht andere Reich machen wollen, dachte ich, ich komme mal mit der Idee um die Ecke 8)

  • Ich bin auch ein Fan von honeypots. :) hab damals mal einen in der FH auf einem laborrechner eingerichtet, man glaubt gar nicht, wie viele DAUs da reinlaufen. Da reicht schon eine freigabe, die aussieht wie ein userprofil, eine datei "Playboy archive.exe". Was haben wir damals gelacht und für rote Köpfe gesorgt. "Na, war das kein playboy?" :rofl:

    Ansonsten ist eine MAC DB in keinster weise ein schutz. Wenn du wirklich einen mit nur ein wenig ahnung im netz hast, ist das erste eine gefakte MAC. Da gebe ich Sonderbaar recht. Dann braucht man etwas teures, was das clientverhalten auswertet und das mit direkter hardwareunterstützung, TAP usw.

    Was ist denn eigentlich dein ziel?

  • Genau eben festzustellen, dass sich auf einem Switchport ein Gerät reinhängt, das da nicht hingehört. Aber dann auch so, dass man als Admin noch die Möglichkeit hat, den jenigen "in flagranti" zu erwischen... Port-Security schaltet den Port zwar ab, aber wie ich oben schon erwähnt habe, würde der jenige dann seinen Kram einpacken und sich u.U ein anderes Kabel nehmen. Mal ganz weit gesponnen, wenn man Port-Security einschaltet und dann durch ein Großraumbüro läuft, sich überall mal einstöpselt, sollte recht schnell Ruhe sein im Netzwerk :P Ok, jetzt kommen bestimmt experten mit: "ganz so einfach ist es nicht, es gibt ja auch die Möglichkeit den Port so zu schalten, dass nur die gewünschte MAC angenommen wird... "