Netzwerk Monitoring

    Hallo zusammen, ich bin auf der Suche nach einer Software die es mir erlaubt ein bestehendes Netzwerk zu überwachen.


    Was ich möchte:


    - Blockieren von Mac Adressen. Pop up wo mir meldet, das sich gerade eine neue nicht bekannte Mac Adresse im Netzwerk versucht zu verbinden und ich somit geziehlt sagen kann, "Ja" oder "nein weiter blocken"


    Da ich nicht so der Netzwerk Spezi bin, habt bitte etwas Nachsicht. =)


    Danke

    Für diese Zwecke lieber mit 802.1x arbeiten, Authentifizierung über RADIUS (AD-Account, Zertifikat, whatever). Dazu braucht es aber vernünftige Switche, die das können.



    Netzwerk Monitoring ist aber das falsche Schlagwort dazu.

    Genau wie Seng meint, 802.1x ist sicher der beste Weg.
    Vermutlich gibt es aber das eine oder andere Gerät, welches kein 802.1x implementiert hat und somit wärst du wohl in Kombination mit einer MAC-Filterung am besten bedient.


    Ich weiss jedoch nicht in was für einer Umgebung und in welcher Grösse du das umsetzen willst. Beseht eine zb. schon eine PKI?


    Wenn du das im kleineren Rahmen machen willst, würde ich eine Port ACL konfigurieren und ein SNMP-Trap receiver, wo der Switch ein SNMP-Trap an ein Netzwerk Management System senden kann. (zum Beispiel Nagios mit Nagtrap).


    Aber ist echt noch schwierig, wenn man nicht weiss wie die Umgebung jetzt aussieht und ob da evtl. schon Herstellerlösungen vorhanden sind bzw. wären.


    Sonst kannst du uns ja mal Updaten :)

    Zitat

    Original von seng
    Für diese Zwecke lieber mit 802.1x arbeiten, Authentifizierung über RADIUS (AD-Account, Zertifikat, whatever). Dazu braucht es aber vernünftige Switche, die das können.



    Netzwerk Monitoring ist aber das falsche Schlagwort dazu.


    Kann fast jeder popliger HP-Switch über das CLI. :)



    Wie schon gesagt über Radius ist eine super Lösung, Radius mit Mac-Auth und das Log zu monitoren ist relativ einfach.
    Wenn es dir schon reicht, dass das Gerät keine IP bekommt, reicht ein anständiger Router. ;)

    plex@truenas: i7-9700, 64GB DDR4 RAM, 18*10TB, 4TB NVMe

    mobile@osx: Macbook Air M1

    desktop@win11: Ryzen 5700G@4.4GHz, 64 GB DDR4, RTX 3070 8GB, 16TB HDD, 8TB SATA SSD, 2TB NVMe

    Danke schon mal für die Zahlreichen Antworten, leider versteh ich nur Bahnhof. =)


    Wir sprechen von von ca 250 Endgeräten.


    IP Cams und Clients PC's


    Wir möchten die Switches die unmittelbar in User nähe sind vor unbefugtem Zugriff schützen.


    Wir haben ca 30 8 Port PoE Switches wo IP Cams + ein Clients PC für den Stream dran hängt.


    Die Idee ist, diese Punkte so sicher wie möglich gegen Manipulation zu bekommen.


    - Wenn was ausgesteckt wird bekommen wir über den Server bereits eine Nachricht.
    - Wir ein Fremdes Gerät eingesteckt bekommt es zwar keine IP vom Router, wenn jemand sich aber auskennt, kann er manuell eine eingeben.
    - Ports die nicht verwendet werden zu sperren wär auch ne Möglichkeit, aber dann bekomme ich nicht mit ob jemand was versucht hat.


    Cool wäre wenn ich dem Switch sagen könnte, das er nur die Geräte die Angeschlossen sind erlaubt und sobald sich was ändert ich eine Nachricht bekomme.


    Dieser Switch kommt zum Einsatz: Netgear GS110TP


    Da steht was von:


    The GS110TP provides more robust security. This includes:
    • 802.1x for authentication (MD5)
    • ACL filtering to permit or deny traffic based on MAC or IP addresses


    Danke für die Hilfe

    Zitat

    wenn jemand sich aber auskennt


    Das Problem ist , wenn jemand "sich auskennt" kann er die meisten dieser Mechanismen umgehen.


    Bei dieser Grösse gehe ich davon aus, dass es sich um ein Büronetz handelt?

    Lian-Li PC-V1100B / Eizo FlexScan S2133 x 2 / Intel Core 2 Duo E7400 / Asus P5Q / Asus STRIX R7 370

    Nein


    Das ist eine temporäre Installation auf einer Messe.


    Der Netgear Switch ist immer das letzte Glied in der Kette.


    Das Hauptnetzwerk besteht aus 8 Knotenpunkten von da wird es verteilt auf die einzelnen Bereiche.


    Das Hauptnetzwerk ist ohne Hilfsmittel wie Leiter oder sonstige Hebevorrichtungen nicht erreichbar.


    Ich weiss das wir mal an einer LAN-Party (time2wonder) ein System hatten wo es möglich war Ports nur für vordefinierte IPs frei zugeben.


    Also User A musste am Port A stecken er konnte nicht den Port B benutzten der für User B vorgesehen war.

    Zitat

    Ich weiss das wir mal an einer LAN-Party (time2wonder) ein System hatten wo es möglich war Ports nur für vordefinierte IPs frei zugeben.


    Also User A musste am Port A stecken er konnte nicht den Port B benutzten der für User B vorgesehen war.


    Bist du sicher? Ich denke da wurden einfach die Ports jeweils aktiv gesetzt...


    Einfachste Lösung für dich wäre wohl über MAC-Adressen Authentifizierung.


    Ansonsten Radius Server, dann kannst du auch Spielereien machen wie:
    User/PC unbekannt -> umleitung auf vlan 600 mit keinem Netz dahinter...
    User/PC bekannt -> umleitung auf vlan 2 mit einem Netz dahinter...
    ...usw...
    Was wahrscheinlich wiederum dein, gelinde gesagt, schwarten Switch wahrscheinlich nicht kann.


    Das weiss ich eben nicht mehr wie es gemacht wurde, evt weiss das Schnitzel noch.., muss ihn mal anrufen.


    Ja der Switch ist jetzt nicht gerade das Gelbe vom Ei, aber für unsere Zwecke und die damalige Erfahrung hat der gereicht.


    Aber die Funktion muss ja nicht das letzte Glied in der Kette bieten?

    Doch, grundsätzlich muss der Switch als letztes Glied in der Kette die Möglichkeiten zur Verfügung stellen... alles andere kann mit sehr geringem Aufwand umgangen werden, da man ja bereits Layer 1/2 access hat...


    MacSec ist in deinem Fall wohl wirklich die einfachste Lösung, das sollte dein Switch eigentlich können.
    Alle Geräte die Access brauchen dran und fixen. Jede neue Mac bekomm dann keinen Layer 2/3 Access mehr, resp. wird direkt blockiert.