32
Fremder Router im Netzwerk
Hallo zusammen,
im betroffenen Netzwerk hat irgendein Schlaumeier einen TP-Link Travel Router ins Netzwerk gehangen.
Dessen DHCP hebelt mir hier sämtliche Netzwerkgeräte aus dem System und zwingt mich, überall statische Adressen zu vergeben.
Es wurden schon Rundmails an alle Mitarbeiter versandt und Anstrengungen unternommen, den Störenfried zu finden. Erfolglos. Ich kann zwar dessen Webinterface aufrufen, habe jedoch das Passwort nicht. (Default ist es leider nicht mehr)
Besteht die Möglichkeit, ohne zu wissen wo es ist oder sich auf die Oberfläche aufzuschalten, dem Gerät zu verbieten, was es da unternimmt?
Beste Grüße
Kernphysik
im betroffenen Netzwerk hat irgendein Schlaumeier einen TP-Link Travel Router ins Netzwerk gehangen.
Dessen DHCP hebelt mir hier sämtliche Netzwerkgeräte aus dem System und zwingt mich, überall statische Adressen zu vergeben.
Es wurden schon Rundmails an alle Mitarbeiter versandt und Anstrengungen unternommen, den Störenfried zu finden. Erfolglos. Ich kann zwar dessen Webinterface aufrufen, habe jedoch das Passwort nicht. (Default ist es leider nicht mehr)
Besteht die Möglichkeit, ohne zu wissen wo es ist oder sich auf die Oberfläche aufzuschalten, dem Gerät zu verbieten, was es da unternimmt?
Beste Grüße
Kernphysik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4902887651
Url: https://administrator.de/contentid/4902887651
Printed on: May 2, 2024 at 11:05 o'clock
32 Comments
Latest comment
Die MAC-Adresse sperren?!
2
Hi,
anhand der MAC Adressen kannst du den Switchport ausfindig machen und somit wirst du den Störenfried finden.
Gruß
anhand der MAC Adressen kannst du den Switchport ausfindig machen und somit wirst du den Störenfried finden.
Gruß
1
Zitat von @killtec:
Hi,
anhand der MAC Adressen kannst du den Switchport ausfindig machen und somit wirst du den Störenfried finden.
Gruß
Hi,
anhand der MAC Adressen kannst du den Switchport ausfindig machen und somit wirst du den Störenfried finden.
Gruß
Dito.
Switchport suchen und administrative Bestrafung durch Auspeitschen vorbereiten. Sein Auto den Lack zerkratzen alternativ.
kannst du den Switchport ausfindig machen
Der wird wohl im Wifi hängen.Auch da sieht man die MACs
Auch da sieht man die MACs
Echt? Na, wenn Du meinst. 
Es ging mir um den "Switchport". Aber wer weiß, vielleicht wurde er ja auch als "Extender" installiert, damit sich die Nachbarn nen Internetanschluss sparen
Dessen DHCP hebelt mir hier sämtliche Netzwerkgeräte aus dem System
Genau deswegen konfigurieren kundige Netzwerk Admins immer DHCP Snooping auf ihren Switches. Damit passiert sowas niemals im Netz! 😉Die Cat Peitsche sollte dann der TO zu spüren bekommen als nachlässiger Netzwerk Admin! 🤣
2
Alternativ: Dauerping und nacheinander die Stecker am Switch ziehen. Anschließend das gleiche Vorgehen mit dem Sicherungskasten
Aber das ist wohl eher nen rustikales Vorgehen ...
Aber das ist wohl eher nen rustikales Vorgehen ...
Die Cat Peitsche sollte dann der TO zu spüren bekommen als nachlässiger Netzwerk Admin! 🤣
Vermutlich ein Penetrations-Test der GF um die eigene IT zu testenAlternativ: Dauerping
Wie gesagt: Mit aktivem DHCP Snooping auf dem Switch hätte der TO trotz Router oder anderen wilden DHCPs im Netz einen entspannten Freitag gehabt.
Vermutlich ein Penetrations-Test der GF um die eigene IT zu testen
Oha...dann siehts aber böse aus für die "Kernphysik"! 🤣
Moin,
Doch, die kennt er:
1. melde dich an einem Switch an und schaue, wo die MAC hingehört
2. wende dich an (d)einen Vorgesetzten - hat nichts mit Petzen zu tun, sondern mit dem Mitbringen und einfachen einhängen eigener Geräte
3. Sichere Dein Netz gegen solche Dinge ab
Gruß
em-pie
Zitat von @aqui:
Alternativ: Dauerping
Auf welche IP denn?? Die kennt der TO ja gar nicht... Mal ganz abgesehen davon das die sehr wahrscheinlich in einem ganz anderen IP Netz liegt, nämlich dem des Routers und nicht dem Netz an dessen Port oder WLAN dieser Router angeschlossen ist. Doch, die kennt er:
Erfolglos. Ich kann zwar dessen Webinterface aufrufen, habe jedoch das Passwort nicht. (Default ist es leider nicht mehr)
1. melde dich an einem Switch an und schaue, wo die MAC hingehört
2. wende dich an (d)einen Vorgesetzten - hat nichts mit Petzen zu tun, sondern mit dem Mitbringen und einfachen einhängen eigener Geräte
3. Sichere Dein Netz gegen solche Dinge ab
Gruß
em-pie
2Mit aktivem DHCP Snooping auf dem Switch hätte der TO trotz Router oder anderen wilden DHCPs im Netz einen entspannten Freitag gehabt.
Hm, dann wäre das Gerät aber doch immer noch - möglicherweise unentdeckt - im Netz. Oder verstehe ich das falsch?
möglicherweise unentdeckt - im Netz.
Jein in Bezug auf unentdeckt. Zumindestens der Snooping Switch entdeckt ihn ja sofort. Er kann dann auch keinerlei "DHCP Schaden" mehr im Netz anrichten. Inklusive des Nutzers der dann keine IP vom Router mehr bekommt. Mit anderen Worten: Das Teil ist dann ohne Funktion.Der Netzwerk Admin bekommt eine Syslog Meldung vom Snooping Switch über einen illegalen DHCP Offer und das gleich mit Port und Mac Adresse. Oder...der Nutzer kommt zum Admin und fragt warum sein illegaler Router im Netz nicht funktioniert... Dann bekommt der Nutzer die o.a. Peitsche zu spüren. 😉
3
Im Controller kann man in der Regel die Mac Adresse sehen. Die wiederrum ist dann an einen AP verbunden. Dann ist der Suchradius nur noch 100m. Falls nichts hilft das Passwort und die Verschluesselungsmethode so aendern dass der Stoerenfried sich nicht mehr verbinden kann.
Turnschuhadministration und altmodisches Suchen mit den Augen ist keine Alternative?
1
Wenn man die "Ecke" weiß, könnte man dort nach fremden Wifis suchen und evtl. die Ortung über die -dBms vornehmen. Aber alles ziemlich mühsam
Zitat von @KernPhysik:
im betroffenen Netzwerk hat irgendein Schlaumeier einen TP-Link Travel Router ins Netzwerk gehangen.
Das ist der Grund wieso unbenutzte Dosen entpatcht bzw. am Switch deaktiviert gehören.im betroffenen Netzwerk hat irgendein Schlaumeier einen TP-Link Travel Router ins Netzwerk gehangen.
Dessen DHCP hebelt mir hier sämtliche Netzwerkgeräte aus dem System und zwingt mich, überall statische Adressen zu vergeben.
Es wurden schon Rundmails an alle Mitarbeiter versandt und Anstrengungen unternommen, den Störenfried zu finden. Erfolglos. Ich kann zwar dessen Webinterface aufrufen, habe jedoch das Passwort nicht. (Default ist es leider nicht mehr)
Das nenne ich mal krasss. Ich hoffe, dass das für diese Person Konsequenzen hat.Es wurden schon Rundmails an alle Mitarbeiter versandt und Anstrengungen unternommen, den Störenfried zu finden. Erfolglos. Ich kann zwar dessen Webinterface aufrufen, habe jedoch das Passwort nicht. (Default ist es leider nicht mehr)
Besteht die Möglichkeit, ohne zu wissen wo es ist oder sich auf die Oberfläche aufzuschalten, dem Gerät zu verbieten, was es da unternimmt?
Ich würde versuchen über die MAC das Gerät zu identifizieren und den entsprechenden Switchport zu deaktivieren.Aber alles ziemlich mühsam
Das ist so nicht richtig. Mit der entsprechenden AP Hardware und einer Monitoring Funktion im Controller werden rogue SSIDs sofort gemeldet. Solche Pauschalaussagen sind, wie immer, relativ... 😉Das ist der Grund wieso unbenutzte Dosen entpatcht bzw. am Switch deaktiviert gehören.
Nützt aber dann nix wenn der Travel Router (wie fast alle) ein WLAN Router ist. Und man muss ja auch nicht gleich deaktivieren was wieder unnütz erhöhten Management Aufwand erfordert, sondern kann intelligent Port Security mit .1x oder MBP nutzen. Plus DHCP Snooping versteht sich! 
Naja. wenn in einem produktiven Netzwerk jeder beliebige Geräte anmelden kann, ist das mangelhafte Sicherheit.
Hier sollte eine MAC-White-List gepflegt werden, die das zumindest erschwert
1Hier sollte eine MAC-White-List gepflegt werden, die das zumindest erschwert
Oder automatisch in nen Gäste_vLAN packtist das mangelhafte Sicherheit.
Wenn der TO als Admin noch nichtmal DHCP Snooping aktiv hat, benutzt er sicher im WLAN dann auch PSK Passwörter die jeder Mitarbeiter, seine Familie und Oma Grete und.... kennt. Hier sollte eine MAC-White-List gepflegt werden
Wenig zielführend wo zumindestens alle mobilen Endgeräte heute anonymisierte Mac Adressen nutzen um ein Tracking zu vermeiden.
Ich lerne noch und bin dankbar für jeden Ansatz der bei der Fehlerfindung hilft.
Vielen lieben Dank für diejenigen, die konstruktive Kommentare hinterlassen haben.
Dank euch bin ich schon ein paar Schritte weiter.
Bedauerlicherweise ist das Netzwerk bei diesem Kunden sehr umfangreich und komplex. 7 VLANS, über 4 Stockwerke verbundene Switche und quasi null Dokumentation. Ich habe ein grobes Gefühl für den Aufbau, aber ganz durch steige ich noch nicht.
Ich finde die MAC gleich in mehreren Switches.
Für einen im 3. OG sieht der Eintrag so aus:
VLAN 1 CE32.E579.6EF6 Learned Gi1/0/4
bei einem anderen im 3. OG so:
VLAN 1 CE32.E579.6EF6 Learned Te1/0/1
Das heißt, sofern ich es richtig verstehe, dass das Gerät irgendwann einmal angeschlossen war, oder?
Es gibt noch weitere, aber deren Passwörter sind nicht bekannt
nicht gerade optimale Bedingungen.
Vielen lieben Dank für diejenigen, die konstruktive Kommentare hinterlassen haben.
Dank euch bin ich schon ein paar Schritte weiter.
Bedauerlicherweise ist das Netzwerk bei diesem Kunden sehr umfangreich und komplex. 7 VLANS, über 4 Stockwerke verbundene Switche und quasi null Dokumentation. Ich habe ein grobes Gefühl für den Aufbau, aber ganz durch steige ich noch nicht.
Ich finde die MAC gleich in mehreren Switches.
Für einen im 3. OG sieht der Eintrag so aus:
VLAN 1 CE32.E579.6EF6 Learned Gi1/0/4
bei einem anderen im 3. OG so:
VLAN 1 CE32.E579.6EF6 Learned Te1/0/1
Das heißt, sofern ich es richtig verstehe, dass das Gerät irgendwann einmal angeschlossen war, oder?
Es gibt noch weitere, aber deren Passwörter sind nicht bekannt
nicht gerade optimale Bedingungen.
Oha.
Aktuell sind die Abende und Wochenenden ja dunkel und lang ... vielleicht der Moment, das Thema "Dokumentation" mal anzufassen.
Alternativ alles ausstecken und Montag nur nach Freigabe wieder anstöpseln
Aktuell sind die Abende und Wochenenden ja dunkel und lang ... vielleicht der Moment, das Thema "Dokumentation" mal anzufassen.
Alternativ alles ausstecken und Montag nur nach Freigabe wieder anstöpseln
2Zitat von @KernPhysik:
Ich lerne noch und bin dankbar für jeden Ansatz der bei der Fehlerfindung hilft.
Vielen lieben Dank für diejenigen, die konstruktive Kommentare hinterlassen haben.
Bedauerlicherweise ist das Netzwerk bei diesem Kunden sehr umfangreich und komplex. 7 VLANS, über 4 Stockwerke verbundene Switche (…)
Ich finde die MAC gleich in mehreren Switches.
Für einen im 3. OG sieht der Eintrag so aus:
VLAN 1 CE32.E579.6EF6 Learned Gi1/0/4
bei einem anderen im 3. OG so:
VLAN 1 CE32.E579.6EF6 Learned Te1/0/1
Es gibt noch weitere, aber deren Passwörter sind nicht bekannt nicht gerade optimale Bedingungen.
Ich lerne noch und bin dankbar für jeden Ansatz der bei der Fehlerfindung hilft.
Vielen lieben Dank für diejenigen, die konstruktive Kommentare hinterlassen haben.
Bedauerlicherweise ist das Netzwerk bei diesem Kunden sehr umfangreich und komplex. 7 VLANS, über 4 Stockwerke verbundene Switche (…)
Ich finde die MAC gleich in mehreren Switches.
Für einen im 3. OG sieht der Eintrag so aus:
VLAN 1 CE32.E579.6EF6 Learned Gi1/0/4
bei einem anderen im 3. OG so:
VLAN 1 CE32.E579.6EF6 Learned Te1/0/1
Es gibt noch weitere, aber deren Passwörter sind nicht bekannt
nicht gerade optimale Bedingungen.Du musst dich auf den Ports „durchhangeln“.
Beispiel oben. Am Switch im 3.OG wurde die MAC am Port Te1/0/1 gefunden. Vermutlich ein Uplink-Port (10G) zu einem anderen Switch.
Am anderen Switch im 3. OG steht dann ja Gi1/0/4. hier musst du dort den Port 4 genauer anschauen. Was hängt da dran? Ein unmanaged-Switch? Dein Problem-Router? Ein AP?
Hangel dich auf diese Weise durch und du wirst ihn finden
17 VLANS, über 4 Stockwerke verbundene Switche
Na ja, da merkt man deine noch wenige Erfahrung. "Komplex" ist was anderes wenn du es mal mit einem Netz mit 2000 Ports oder mehr vergleichst.Ich finde die MAC gleich in mehreren Switches.
Das ist klar und erwartbar. In einem Layer 2 Netz siehst du diese Mac Adresse auch an jedem Uplink Port wie z.B. dein Te1/0/1/ Es gibt noch weitere, aber deren Passwörter sind nicht bekannt
Dein Zauberwort heisst DHCP Snooping! Damit ist der gesamte Spuk dann vorbei.
Was hängt denn an Gi1/04 so alles dran? Ich vermute da ist schon sehr warm, was die Nähe angeht.
1
Moin,
wie bereits erwähnt dhcp spoofing im Netz einrichten. Zumindest ist dein Problem dann schon "gelöst" und du kannst dich auf die Suche nach dem Gerät machen.
Wenn das Netzwerk zu groß und komplex ist frag in deiner Firma / externen, der dir dabei helfen kann.
Da es dein Kunde ist kannst du ja die Kosten weiterleiten
Vg
wie bereits erwähnt dhcp spoofing im Netz einrichten. Zumindest ist dein Problem dann schon "gelöst" und du kannst dich auf die Suche nach dem Gerät machen.
Wenn das Netzwerk zu groß und komplex ist frag in deiner Firma / externen, der dir dabei helfen kann.
Da es dein Kunde ist kannst du ja die Kosten weiterleiten
Vg
2
Moin,
Das Ding hat sicher WLAN. Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist und da alles auf den Kopf stellen. Danach mit einem Bello den Router bearbneiten den und den Mitarbeiter mit dem Cat9-LART.
lks
PS: Wenn das Ding über WLAN drinhängt, eingfach mal WLAN-SSID ändern und schauen, wer sich beschwert.
Das Ding hat sicher WLAN. Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist und da alles auf den Kopf stellen. Danach mit einem Bello den Router bearbneiten den und den Mitarbeiter mit dem Cat9-LART.
lks
PS: Wenn das Ding über WLAN drinhängt, eingfach mal WLAN-SSID ändern und schauen, wer sich beschwert.
Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist
Du meinst wohl eher einen "Peilempfänger"?! Nur 2 Sender nützen dir ja wenig bei der Feststellung der Signalstärke... https://deauther.com
Zitat von @aqui:
https://deauther.com
Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist
Du meinst wohl eher einen "Peilempfänger"?! Nur 2 Sender nützen dir ja wenig bei der Feststellung der Signalstärke... https://deauther.com
Sorry, hast recht.
ich dachte an sowas wie Insidder o.ä. mit dem man das unbekannte WLAN zu identifizieren versucht.
lks
Zitat von @Lochkartenstanzer:
Sorry, hast recht.
ich dachte an sowas wie Insidder o.ä. mit dem man das unbekannte WLAN zu identifizieren versucht.
lks
Zitat von @aqui:
https://deauther.com
Ich würde mit einem "Peilsender" mal schauen, wo das Signal am stärksten ist
Du meinst wohl eher einen "Peilempfänger"?! Nur 2 Sender nützen dir ja wenig bei der Feststellung der Signalstärke... https://deauther.com
Sorry, hast recht.
ich dachte an sowas wie Insidder o.ä. mit dem man das unbekannte WLAN zu identifizieren versucht.
lks
Gibt dafür viele kostenlose Tools. Zumindest für Android.
Muss man zwar langsam durchs Haus schleichen, aber man kommt zumindest in die Nähe des WLANs.
In Kombination mit dem entsprechenden Port soltle man den Übeltäter schnell fonden.
Viel Erfolg.
Und halt uns auf dem Laufenden.
2
Vielen Dank an alle, die konstruktive Beiträge geleistet haben!
Wieder einiges gelernt. Das DHCP Snooping war so z.B. noch nicht bekannt, wird jetzt aber in den Geräten, die es unterstützen, implementiert.
Ich nehme gerne weitere Stichwörter für Funktionen entgegen, die eurer Meinung nach in einem Netzwerk unabdingbar sind.
Ich habe das Gerät gefunden, indem ich die MAC Adresse durch die Switche nachverfolgt habe.
Das Teil war als WLAN Brücke eingerichtet, um ein Konferenzsystem mit LAN zu versorgen.
Es wurde SEHR gut versteckt, weswegen es beim ersten Suchlauf nicht gefunden wurde.
Wieder einiges gelernt. Das DHCP Snooping war so z.B. noch nicht bekannt, wird jetzt aber in den Geräten, die es unterstützen, implementiert.
Ich nehme gerne weitere Stichwörter für Funktionen entgegen, die eurer Meinung nach in einem Netzwerk unabdingbar sind.
Ich habe das Gerät gefunden, indem ich die MAC Adresse durch die Switche nachverfolgt habe.
Das Teil war als WLAN Brücke eingerichtet, um ein Konferenzsystem mit LAN zu versorgen.
Es wurde SEHR gut versteckt, weswegen es beim ersten Suchlauf nicht gefunden wurde.
2die eurer Meinung nach in einem Netzwerk unabdingbar sind.
- Spanning Tree Customizing (Root Switch Priority)
- DHCP Snooping
- QoS Priority mit 802.1p oder DSCP
- IGMP Snooping
- 802.1x Port Security
Ich habe das Gerät gefunden
👍Wenns das denn war bitte deinen Thread dann auch als erledigt schliessen!
1
