8 Antworten in diesem Thema

[Manuel1990]

Hi Leute

Habe ne Interessante Aufgabe die ich mithilfe eines Batch Scripts abwickeln möchte. Bevor ich mich nun an die "Programmierung" mache, wollte ich euch kurz fragen ob die von mir gewählte Methode okay ist oder man es noch vereinfachen könnte.

Zur Aufgaben:
Grundsätzlich geht es darum unautorisierte Geräte bzw. PC`s in unseren Netzwerk einigermassen detektieren zu können. Dazu würden wir in einem bestimmen Intervall den DNS oder wenn überhaupt möglich den WINS nach Einträgen durchsuchen die nicht unserer Namenskonvention für Computer entsprechen.

Ich würde nun einen vordefinierten IP Bereich mitthilfe einer Schleife anbfrage, bzw. NSLOOKUP abfragen auf diese IPs machen und diese dann in eine Text Datei ablegen. Diese Textdatei wiederum würde ich ich widerrum mit einer DO Schleiffe auslesen und alle Namen die beispielweise nicht mit CA oder GA beginnen in eine zweite Datei schreiben.

Ist das so möglich und kann ich überhaupt mehrere Kriterien wie "muss mit CA oder GA beginnen" setzten?

Oder gäbe es vielleicht eine noch einfachere Variante?

Vielen Dank im Vorraus & Grüsse
Manuel

[NilsK]

Moin,

ich verstehe das ganze Konzept noch nicht ganz.

Die erste Frage, die sich mir stellt: Warum sollten "unautorisierte Geräte" im DNS auftauchen?

Ansonsten solltest du dir das "ls"-Kommando innerhalb von nslookup ansehen.

Gruß, Nils

[Manuel1990]

Hi Nils

Wenn das Gerät eine IP über den DHCP zieht wird der DNS Eintrag ja automatisch erstellt. Noch besser wärs natürlich wenn wir den WINS Server auslesen könnten.

Grüsse

[lefg]

Hallo,

falls ein unauthorisierter Client weder den DHCP noch DNS oder WINS des Netzwerkes benutzt, dann ist das Konzept doch Makulatur. Falls jemand meint, damit "Sicherheit" zu erreichen", dann irrt er sich.

Falls es zwingend notwendig, gefordert, dass keine Fremdgeräte eingebracht, angeschlossen, dann ist an anderen Punkten anzusetzen: technisch, organisatorisch, administrativ.

[Manuel1990]

Hi lefg,

ja da geb ich dir völlig Recht. Es geht auch nicht wirklich darum das auszuschliessen oder einen gewollten Angriff abzuwehren. Wir haben jedoch bestimmte Clients die bewusst über ein spezielles VLAN nur ins Internet kommen. Wenn man diese Clients nun bewusst oder unbewusst in lokale Lan hängt könnten wir das so detektieren. Und da wir sowieso mit VLANs arbeiten kommt der jeweillige Client ohne DHCP aufs erste nicht wirklich weit.

Gruess
Manuel

[Manuel1990]

Also, NSLOOKUP mit LS funktioniert super. Hätte jemand ein Tipp wie ich das ganze nun filtern kann? Bzw. ich müsste mehrere Kriterien wie beispielweise "Darf nicht mit CA oder GA beginnen und nicht WindowsServer01 heissen"...

Grüsse
Manuel

[NilsK]

Moin,

find /? im CMD-Fenster. Evtl. in mehreren Schritten die Ausgabedatei von ls durchforsten.

Gruß, Nils

Bearbeitet von NilsK, 18. Januar 2012 - 13:07.
Fipptehler: Ich meinte find, nicht for

[Manuel1990]

Hi Leute,

okay, habs jetzt so gelöst:

Zuerst sortiere ich die von mir gebrauchten Einträge mithilfe einer For Schlaufe und dem Befehl findstr aus. Anschliessend werden eigene Geräte ebenfalls mithilfe von For und Findstr aussortiert bis mir dann noch eine Liste mit den sogenannten Ausnahmegeräten bleibt...

Nun habe ich aber noch ein Problem. Um das ganze zu automatisieren muss ich die Nslookup-ls Abfrage ebenfalls per Batch laufen lassen, aber der LS Befehl ist ja keine Option die ich in einer Zeile mitgeben kann. Gibt es hier Möglichkeiten?

Grüsse

[blub]

Hi,

DNSEinträge würde ich mit
DNSCMD /zoneexport
rausholen und untersuchen.

Wins mit
netsh wins server \\<server> show database servers={%wins1%,%wins2%,...} RecType=1
Rectype gibt an, ob du statische oder dynmische Einträge haben willst
Microsoft Corporation

Die Files kann man gleich mal als Backup verwenden.

blub