Wieviele Geräte sind im Netzwerk?

Die Frage im Titel könnte treffender: “Wer ist in meinem Netzwerk?”, lauten und gehört damit nicht nur im privaten Bereich zu den Fragen, die jeder Anwender beantworten können sollte, sondern auch der Administrator eines Unternehmens. Für die Funktionalität der IT Systeme ist das Wissen, über Netzwerkteilnehmer nicht zwangsläufig nötig. Unbekannte Netzwerkteilnehmer werden in der Regel auch keine Versuche unternehmen das fremde System zu stören. Es dient als Tarnung für eigene Operationen wie:

  • Aufbau und/oder Erweiterung eines Botnetzes
  • Bitcoin Mining
  • Filesharing

Seien es neue Zombierechner für diverse Distributed Denial of Service Angriffe oder die Rechenleistung aller CAD Workstations mit dem Ziel Bitcoins zu ergattern, dem Netzwerkbetreiber entstehen erhebliche Kosten und das ein oder andere Gerichtsverfahren wird unter Umständen eröffnet.

Umso wichtiger ist es regelmäßig einen Blick auf das eigene Netzwerk zu werfen und zu prüfen, ob nach wie vor alle erkannten Netzwerkgeräte bekannt sind.

über Smartphones

Um auf professioneller Ebene Geräte sichtbar zu machen, ist mehr als ein Smartphone nötig, aber für den ersten Blick ausreichend. Apps wie Fing können Abhilfe schaffen. Das Netzwerk prüfend, schickt Fing sogenannte ARP Pakete durch das Netzwerk und stellt systematisch simple Fragen an die Broadcast Netzwerkadresse. Zur besseren Verständlichkeit, hier ein Beispiel:

Netzwerk: 192.168.0.0/24
Broadcast Adresse: 192.168.0.255

Fing sendet nun an die Adresse 192.168.0.255 ein ARP Paket, und fragt dadurch jedes Gerät im besagten Netzwerk, wer hinter dieser IP Adresse steht.

Anfrage 1: Wer hat 192.168.0.1 (wird gesendet an 192.168.0.255 und landet damit bei den Adressen .1 bis .254)

Anfrage 2: Wer hat 192.168.0.2 (das gleiche Speil wie bei der ersten Anfrage)

Diese Anfragen werden bis zur IP 192.168.0.254 durchgeführt. Die App hofft auf eine Antwort eines Clients, der die IP Adresse kennt und antwortet dem Protokoll entsprechend.

über Laptops/Desktops

Es ist über anderweitige Wege ebenfalls möglich das Netzwerk auf sogenannte “lebendige” Hosts zu überprüfen. Ob Linux oder Windows, unter beiden Betriebssystemen lässt sich das Programm nmap ausführen. Mit nmap lassen sich äußerst viele unterschiedliche Dinge realisieren, wie Portscanning, Diensterkennung u. v. m.

Folger Befehl hilft weiter und prüft das Netzwerk auf aktive Knoten, die auf Port 80 antworten:

nmap -sP 192.168.0.1/24

Das Problem ist aber, dass längst nicht jedes System antwortet, da viele Clients auf Port 80 die Pakete ignorieren. Stattdessen sollte versucht werden eine TCP Verbindung auf andere häufig genutzt Ports zu erstellen. Beispielsweise Port 22 (ssh) oder 3389 (Windows Remote Desktop)

nmap -sP -PS22,3389 192.168.0.1/24

Professioneller Ansatz

Im Unternehmensbereich ist es sehr aufwändig mittels nmap manuell alles zu prüfen. Außerdem reichen diese Informationen im Normalfall nicht aus. Häufig muss man zusätzlich sicherstellen, dass sich beispielsweise keine fremden Geräte einfach an freie Dosen anschließen können. Fremde Geräte, die als Gäste erkannt werden, müssen in gesonderte VLANs verschoben und lange inaktive Clients müssen dem System erst ihre Compliance (Updates etc.) nachweisen, bevor sie das Unternehmensnetzwerk hereingelassen werden.

Am Markt gibt es viele Lösungen. Mir davon bekannt sind zwei, wobei erstere Lösung ein deutscher Hersteller aus Berlin ist. Macmon kann längst nicht so viel wie ForeScout, eignet sich aber für viele Zwecke, die im unteren bis mittleren Anforderungssegment liegen. ForeScout hingegen ist weitaus komplexer und bietet mit Client Agents sehr viel mehr Möglichkeiten.

Artikel teilen:

Kommentar verfassen