Poison Nuke

ne, hatte ich auch schon probiert :( was für einen unterschied macht es bei der Passwortänderung, ob man sich auf der Konsolensession einloggt oder eben normal?

nein, das mache ich nur in Ausnahmefällen, wenn ein anderer admin mit einem nicht TS Server mal wieder alle Sessions voll hat. Oder speichert die mstsc das dann wenn man sie einmal so aufgerufen hat?

Hallo, es kommt teilweise vor, dass ich mit Windows 7 mich nicht auf einen 2k8R2 Server verbinden kann, obwohl das Passwort definitiv korrekt ist. Das interessante ist, meistens geht es, aktuell sind es halt nur 2 Server da komm ich von Win7 nicht mehr drauf. Wenn ich aber von einem WinXP Client mit der etwas älteren mstsc Version mich verbinde, komm ich drauf. Bei den Servern wo es jetzt nicht mehr geht, war ich aber vorher schonmal drauf, hatte dort dann nur Passwort geändert, mehr nicht. Was könnte hier denn jetzt das Problem sein? Die RDP Verbindung ist auf den Servern für alle Versionen zugelassen, damit es eben auch von WinXP aus noch funktioniert. Sonst ist eigentlich nichts weiter eingestellt worden.

nein, Xerox ist nicht installiert und auch nicht lokal vorhanden, sodass es über RDP hätte vllt irgendwie installiert werden können. und wie es scheint, ist dies nicht der einzige. exakt die gleiche MAC sieht man auch bei einigen anderen Switchports, nur sehr viel seltener, weshalb das bisher nicht aufgefallen ist.

IP und MAC zugangskontrolle ist immer am Access-Switch ;) bzw sollte, der Distri-Core hat ganz andere aufgaben und wäre dort viel zu aufwändig und wenig effektiv der Server wurde ja wie oben geschrieben, schon auf Virenbefall kontrolliert. Es wurde auch schonmal zeitweise ein ARP dump laufen lassen, um eventuell von Seiten des Servers die MAC zu finden, aber da wurde nix gefunden. edit: @ xpfan ich frag den Admin mal. Aber er meinte er hätte da schon lange nix mehr geändert und ist ja ein Server ohne Drucker in der Nähe. Selbst im Netzwerk ist keiner, man müsste also über Internet einen Drucker installieren. Na mal schauen, vllt ist ja was in der Richtung zu finden

die Meldung hab ich ja weil die Switche nur registrierte MACs zulassen. Aber es hat noch keiner was beklagt das nix geht. Allerdings nervt es mich, dass im Minutentakt da ein Logeintrag zu dieser MAC kommt, ich würde jetzt ungern in meiner Loganlysesoftware eine Regel einbauen, dass diese Meldung ignoriert wird, sondern der Ursache lieber auf den Grund gehen. und es gibt kein DHCP und selbst wenn, da die MAC geblockt ist und die Switchports IP ACLs haben würde so oder so kein Eintrag dazu existieren. und normal ist es ja auch nicht, sonst hätte ich die Meldung bei zig anderen Switchports. Nur ich wüsste jetzt auch nicht wo ich überhaupt mit der Suche beginnen könnte ?

Hallo, der Switchport meldet dauernd, dass da diese MAC versucht auf das Netzwerk zuzugreifen, es ist aber keine MAC von dem Server selbst und eine Virtualisierung auf dem Windows 2003R2 Host ist nicht installiert. Und laut Admin ist auch nichts weiter installiert auf dem Server dass andere MAC adressen verwendet, ein umfangreicher Virusscan und ARP Scan wurde auch schon durchgeführt...dennoch kommt dauernd die Meldung, dass diese MAC da versucht auf das Netzwerk zuzugreifen, durch Port-security nat. geblockt wird. VendorID scheint wohl keine gültige zu sein, ist zwar auf Xerox registriert aber es ist ja kein Drucker angeschlossen oder installiert. habt ihr eine Idee woher das kommen kann oder wie man herausfinden könnte, was das verursacht?

ich habe doch extra geschrieben, die einzigen, die physikalisch überhaupt in der Lage sind an die Kabel zu kommen, sind die Netzwerkadmins ;) es ist zu 100% ausgeschlossen, dass irgendein anderer an die Hardware (Switche, Kabel, Rechner) rankommt, außer den Admins selbst. Wenn doch, dann hätten wir ein arges Sicherheitsproblem :D Und jetzt erkläre mir mal, wenn da kein User in der Lage ist, überhaupt die Kabel zu Gesicht zu bekommen, wie er jetzt noch etwas anstellen sollte ;) und in unserem Anwendungsfall ist 802.1x schlichtweg nicht realisierbar weil so ziemlich sämtliche auf den Markt bekannten Betriebsysteme zum Einsatz kommen und die Administration meist zu 100% dem User selbst obliegt. Und da dann noch viele User ihr eigenes Betriebssystem installieren, ohne unser zutun, wäre das einfach zuviel Aufwand da dann auch noch eine funktionierende RADIUS authentifizierung ans Laufen zu bekommen. Ich wüsste nichtmal wie das unter Citrix Xen oder einem ESXi oder vsphere oder so gehen sollte. Habs zumindest noch nie gehört dass die das könnten.

du verstehst mich scheinbar nicht richtig: die MAC Adresse ist fest auf dem Port konfiguriert. Es ist UNMÖGLICH, dass irgendwer sich diese MAC adresse klaut weil dazu muss er auch zeitgleich die Kontrolle über den Rechner haben für den diese aktiviert ist. Was bringt es jemanden, die MAC Adresse von einem anderen Rechner zu fälschen, wenn für seinen Port diese gar nicht aktiv ist? Er kann doch nur eine einzige MAC für seinen Rechner verwenden, dass ist diese welche wir von der Administration für seinen Switchport aktiviert haben. Da wir Administratoren auch die einzigen sind, die physikalisch Zugang zu den Rechnern und Switchports haben (die User loggen sich ausschließlich remote auf die Computer ein), kann auch niemand ein Kabel umstecken oder so). ich wüsste nicht wie 802.1x auch nur im Ansatz so einfach, zweckmäßig und effektiv arbeiten sollte. Weil für diese Methode bei uns ist Rechnerseitig nichts nötig. Einfach nur die MAC Adresse bei der Installation notieren und dann wird das ganze auf den Switchport konfiguriert. Sobald der User versucht die MAC oder IP zu ändern, geht diese MAC einfach nicht oder der ganze Rechner ist offline und wir haben einen Eintrag in unserem Log. Und das Ziel von diesem Thread hier war nicht das, weil das jetzt beschriebene mit der Portsecurity läuft schon seit ner ganzen Weile...hier im Thread geht es darum, die IntraVLAN Kommunikation auf Null zu reduzieren, sprich privateVLANs, was durch die 2960 halt nur durch ein paar Kunststücke möglich ist, sprich protected Ports auf den 2960 und eine VACL auf den 6500. Da die Rechner nur die MAC nutzen können, die wir am Switchport eingetragen haben und der Coreswitch nur die Pakete forwarded, wo die ZielMAC die vom Gateway ist, wie sollte da jetzt irgendeiner auch nur im Ansatz in der Lage sein etwas anderes zu machen als was wir ihm explizit erlaubt haben?

dank manuell konfigurierter MAC Adressen über Portsecurity wird da nicht viel mit fälschen sein, wenn man sich auf die Portsecurity der 2960er verlassen kann. Bisher hatte die uns aber nicht im Stich gelassen. und wozu umständliches, aufwändiges und mit Problemen verbundenes 802.1x? Alles wird manuell vorkonfiguriert auf den Switchen (IPs und MACs usw), damit braucht man gar nicht erst eine Authentifzierung. Somit kann ein Rechner auch erst dann online kommen, wenn wir ihn manuell freischalten. Perfekt sag ich da nur. Eine bessere lösung gibt es auch gar nicht.

private VLANs sind auf den 2960 aktiv, sie unterstützen ja PVLAN edge, genau das was gebraucht wird. Damit geht jeder Traffic so oder so erstmal über den Core. und IP ACLs können einfach rein vom Prinzip nicht das was gebraucht wird. Geht ja auch gar nicht. MAC und IP basierte Kommunikation ist halt was grundverschiedenes. grundlegend soll es am Ende einfach eine verschärfte Version von PVLANs werden. Und mittels der Möglichkeiten der 2960 und den VACL über die 6500er ist das ja nun auch wie gewünscht (hoffentlich) realisierbar. Ich war halt der Hoffnung ich könnte schon die MAC Filterung direkt auf den 2960 machen lassen, rein von der Konzeption her, dass Filterregeln so nah wie möglich am Ursprung ausgeführt werden sollten.

ne, die MAC Access List sollte sich auf ALLE Pakete auswirken. Ich wollte damit damit zusätzlich zur Port Security noch einige weitere Sachen steuern, z.B. sollten die angeschlossenen Computer nicht in der Lage sein, Verbindung zu bestimmten MACs aufzunehmen. Bei einer reinen L2 Funktionalität vom Switch wären damit sämtliche Pakete betroffen gewesen und es hätte den gewünschten Effekt. So hingegen ist die MACL vollkommen unwirksam bis halt auf dass kein ARP mehr geht wenn man ein deny any macht. frag mich zwar überhaupt welchen Sinn Cisco in den MACLs sieht, wenn sie praktisch wirkungslos sind aber ok, ich löse es jetzt ja wie gesagt mit einer VACL auf dem Coreswitch.

das er eben auf Layer2 arbeitet und nicht noch nach Layer3 schaut und erst anhand von Layer3 entscheidet, ob er seine Arbeit auf Layer2 fortsetzt oder nicht. Also genau DAS was man erwartet von einem L2 Switch.

Wie ich jetzt herausgefunden habe: die 2960 unterstützen MACLs nur für nicht IP Traffic. D.h. alles was kein IP Paket ist, wird davon beeinflusst. Da ARP kein IP Traffic ist, wurden natürlich die ARP Pakete geblockt, aber alles andere ging durch. das muss man auch erstmal wissen...weil grundleged ist es schon ganz schön ungewöhnlich, da MAC ja immerhin unterhalb der IP Ebene arbeitet und es daher völlig egal ist, was der nächste Layer für ein Format hat. Naja, dann ist das halt wohl so und man kann sagen die MACL auf den 2960 und 2950 sind unbrauchbar. Man muss es dann offenbar auf den Ingress ACLs der nächsten Switche machen. Auch wenn das grundlegend auch wieder gegen die Philosophie von Cisco ist, man sollte den Traffic möglichst nah an der Quelle / Ziel filtern, je nach Richtung.

beim Nachdenken darüber fiel mir auf, die VACL wird ja auch angewendet, wenn der Router ein Paket von irgendwo anders in dieses VLAN reinschickt, damit würden aber alle Pakete gedropt werden, weil die Ziel MAC nun ja die des Zielrechners ist. Habe daher oben noch die zweite Zeile ergänzt, also src_mac die vom Router und dest_mac beliebig. kann es halt leider noch nicht testen gerade, wollte daher vorweg in Erfahrung bringen ob es wenigstens erfolgsversprechend sein könnte :)

Hallo, wenn man diese VACL auf einem Distribution Layer Switch ausführt, würde es zu dem gewünschten Ergebnis führen, dass alle Hosts in VLAN 100 - 800 nur noch ausschließlich Pakete zum Gateway schicken können, welches diese eine MAC Adresse hat, aber keine Pakete mehr innerhalb des VLANs ausgetauscht werden können (bis auf ARP)? conf t mac access-list extended only_Router permit any 0018.7412.3456 permit 0018.7412.3456 any permit any ffff.ffff.ffff exit vlan access-map P_VLAN 10 match mac address only_Router action forward exit vlan filter P_VLAN vlan-list 100-800 end

ahh, gut zu wissen, danke dir :) IPv6 zieht sich ja eh noch ne lange Weile hin :(

Problem gefunden. Warum auch immer war NAT nicht aktiv, obwohl eigentlich mit NAT installiert worden ist. Nach hinzufügen von NAT zu IPv4 und zuweisen der Schnittstellen funzt nun alles einwandfrei. 2k8R2 ist halt doch etwas anders wie 2k3. jetzt sind da nur noch ein paar Fehlermeldungen in den Logs...z.b. wegen IPv6, obwohl ich IPv6 auf allen Adaptern deaktiviert habe. Kann man denke getrost ignorieren, oder?

hab das Edit erst jetzt gesehen also die Sache ist halt die, wenn der VPN Tunnel steht bin ich offline. Ich komm einfach nicht raus. IP Routing ist aber aktiv auf dem VPN Server

ja die interne IP von dem Server kann ich über den VPN Tunnel anpingen, also in dem Fall die 192.168.65.1

du meinst bei den Eigenschaften der VPN Verbindung, dort unter Netzwerk, IPv4 und dort unter Erweitert "Standardgateway für Remotenetzwerk verwenden"? der Haken ist gesetzt.

ahso, gut zu wissen wo muss dieser Haken gesetzt sein?

Hallo, RRAS für VPN Zugriff ist installiert, IP Routing ist aktiv, DHCP wird auf die IP Adresse der internen Schnittstelle weitergeleitet. DHCP Server ist standardmäßig installiert und konfiguriert. VPN Server: 2k8R2 ist gleichzeitig Gateway ins Internet Intern: 192.168.65.1 Extern: x.x.x.x (öffentliche Adresse) VPN wird von einem Win7 Client über L2TP mit IPsec und PSK hergestellt. Der Tunnel funktioniert auch soweit. Nur bekommt der Client keinen Standardgateway vom DHCP zugewiesen obwohl dieser in den Bereichsoptionen eingetragen ist. der Client ist damit offline. Wo liegt da das Problem? hier die IP Config vom Client: Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : xxx-PC Primäres DNS-Suffix . . . . . . . : office.xxxx.de Knotentyp . . . . . . . . . . . . : Gemischt IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : PPP-Adapter VPN-Verbindung: Verbindungsspezifisches DNS-Suffix: x.x.de Beschreibung. . . . . . . . . . . : VPN-Verbindung Physikalische Adresse . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.65.108(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 0.0.0.0 DNS-Server . . . . . . . . . . . : x.x.x.x NetBIOS über TCP/IP . . . . . . . : Aktiviert Ethernet-Adapter LAN-Verbindung 2: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel(R) Gigabit-CT-Desktopadapter Physikalische Adresse . . . . . . : 00-1B-21-55-A1-B9 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.111.5(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.111.254 DNS-Server . . . . . . . . . . . : x.x.x.x NetBIOS über TCP/IP . . . . . . . : Aktiviert Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : NVIDIA nForce-Netzwerkcontroller Physikalische Adresse . . . . . . : 00-19-66-A7-8B-8A DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.0.10(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 IPv4-Adresse . . . . . . . . . . : 192.168.1.254(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : NetBIOS über TCP/IP . . . . . . . : Aktiviert wenn irgendwas fehlt fragt nach. Ziel soll zumindest sein, dass der Client sich über das Internet auf den Gateway direkt einwählt, von da aus nat. Zugriff aufs interne Netz hat und dennoch im Internet surfen kann über den verschlüsselten VPN Tunnel. danke schonmal für eure Tipps :)

Hallo, Bei 2008R2 Enterprise hat man ja bei der pro Server Lizenz die Möglichkeit bis zu 4x das OS zu virtualisieren, bei vier Stück darf man auf dem physikalischen OS hingegen nichts weiter außer dem Management für die Virtualisierung selbst laufen lassen. die Frage ist jetzt, wie läuft das hier mit der Aktivierung ab. Bei SPLA mit eigenem KMS Server aktiviert man einen physikalischen Server ja über den eigenen Keyserver. die virtuellen Guests sind ja nun eigentlich rein von der Lizenz her inklusive, aktiviert man sie auf die gleiche Weise wie das HostOS oder muss man hier anders vorgehen?

Ziel soll einfach ein: -schöne ClassC VLANs -jeder Rechner in dem VLAN darf unter keinen Umständen irgendein Paket zu sehen bekommen das nicht direkt an ihn adressiert ist und kein ARP Broadcast vom Router ist. -ergo damit dürfen die DHCP Broadcasts ausschließlich nur am Router ankommen - die Rechner dürfen ausschließlich nur genehmigte MAC Adressen und genehmigte IP Adressen verwenden - MAC Spoofing usw sollen damit auch unterdrückt werden - keine VLAN internen DDoS Attacken... dazu muss zwangsweise der Traffic über den Router, welcher über bestimmte Filter diese Attacken erkennt und blockt, das geht auf Switchebene nicht. allein für den letzten Punkt ist PVLAN unumgänglich aber auch die ersten Punkte sind mit ACLs nicht realisierbar, das hab ich wochenlang im Lab ausprobiert, es hatte nie zufriedenstellend funktioniert, es kamen immer irgendwie irgendwo Pakete durch die man eigentlich nicht wollte aber man konnte die ACLs nicht umformulieren. Und das Konzept der pVLANs ist genau die Lösung für alles, fast alles von dem o.g., die ACLs sind so oder so noch lang genug, es werden ja auch noch Ports gefiltert usw, und ich kann es mit der Länge der ACLs nicht übertreiben. bzw sollte man nicht. Ich beschäftige mich jetzt über ein Jahr fast jeden Tag mit dem Netzwerk, die aktuelle Konfig ist schon das beste von dem was geht (für die die Cisco Switch nutzen, die Config für einen 24Port L2 Switch (der also Null L3 Funktionen ausführt bis auf ACLs) ist ca. 21-25kb groß und das ist nur text). Ich reize den Funktionsumfang so gesehen schon bis aufs letzte aus. PPS: es hat nicht zufällig einer hier ein Technet Abo und noch ein paar Anfragen ungenutzt? :D