Καλησπέρα σε όλους! Έχουμε το εξής σενάριο:
Εταιρεία με περιπου 200 δικτυακές συσκευές, Domain Controller win2016, και μερικά Cisco catalyst switches.
Εντοπίστηκε στο δίκτυο ένας υπολογιστής ο οποίος τρέχει Win Server 2008 και θέλουμε να τον μπλοκάρουμε εντελώς (να μην μπορει να επικοινωνήσει με κανεναν άλλον υπολογιστή του LAN) ή να τερματίσουμε τη λειτουργία του.
Τα προβλήματα είναι τα εξής:
1) Δεν ξέρουμε ούτε είναι εύκολο να βρούμε τη φυσική του θέση.
2) Δεν έχει γίνει join στον DC, έχει μόνο το default WORKGROUP των windows.
3) Με RDP μας απαντά αλλά κανείς δεν ξέρει τα credentials, Admin account δεν εχει local. Εκεί είδαμε ότι είναι Win Server.
4) Μέσω του Firewall έχουμε μπλοκάρει τις συνδέσεις εκτός LAN από και πρός το συγκεκριμένο PC.
5) Του κάνω ping και μου απαντάει.
6) Υπάρχουν 6 Cisco Catalyst switches στα οποία δεν έχουμε credentials, εκτός από ένα (ο προηγούμενος admin την έκανε απότομα και δεν έχει αφήσει τίποτα).
Μέσα από το ενα switch που έχουμε πρόσβαση, μπορώ να δω το interface και το mac address της συσκευής αλλά στο ίδιο interface βρίσκονται άλλες 15 συσκευές, άρα δεν είναι απευθείας κουμπωμένο στη συγκεκριμένη θύρα.
Δοκίμασα με mac address-table static <mac> vlan <number> drop αλλά συνεχίζω να του κάνω ping
Μπορεί να είναι κάτι πολύ απλό, αλλά έχω κολλήσει. Any ideas?
Εμφάνιση 1-6 από 6
-
14-09-19, 16:28 Απενεργοποίηση ή μπλοκάρισμα άγνωστου υπολογιστή #1Greek IT Professionals
https://discord.gg/cM723Be
-
15-09-19, 08:33 Απάντηση: Απενεργοποίηση ή μπλοκάρισμα άγνωστου υπολογιστή #2
Την ερωτηση σου δεν επιασα.............. καλημερα. Αν σε ενοχλει τοσο πολυ γιατι δε πας να το ξηλωσεις? Τι ακριβως εταιρεια ειστε που ερχεται ο καθενας και στηνει και απο ενα μηχανημα χωρις να το παιρνετε χαμπαρι?
Άλλα Ντάλλα....
-
15-09-19, 08:56 Απάντηση: Απενεργοποίηση ή μπλοκάρισμα άγνωστου υπολογιστή #3
Δεν ξέρω πώς ήταν στημένο το δίκτυο, ούτε αν οι πορτιέριδες μπορούσαν να εντοπίσουν έναν κακόβουλο admin.
Το βρήκα δεν πειράζει
Σε ολα τα Catalyst
#show cdp neighbors
#show mac address-table address <mac>
#show mac address-table int (interface) στα interfaces έδειξε η προηγούμενη εντολήGreek IT Professionals
https://discord.gg/cM723Be
-
15-09-19, 10:05 Απάντηση: Απενεργοποίηση ή μπλοκάρισμα άγνωστου υπολογιστή #4
Σωστός.
Καλό θα ήταν να βάλεις και port security στα catalyst ώστε να μην μπορεί να μπει rogue switch ή rogue access point στο δίκτυο.
Προσωπικά έχω έρθει πολλές φορές αντιμέτωπος με users που φέρνουν APs από το σπίτι τους και τα βάζουν στο εταιρικό δίκτυο "έτσι, για να έχουν WiFi στο κινητό" !!!
.
-
15-09-19, 11:51 Απάντηση: Απενεργοποίηση ή μπλοκάρισμα άγνωστου υπολογιστή #5
Ναι θα το κοιτάξω γιατί γίνεται ένας μικρός χαμούλης. Βασικά ήδη το κουβέντιασα με φίλους/συναδέλφους (σχετικά άπειρος γαρ σε hands-on περιβάλλον) κι ετοιμάζω ένα PC με Xen Server όπου θα ανέβει το LibreNMS για αρχή, κι αργότερα ένα Linux Firewall (πχ OpnSense) κι ίσως κανα Kali ή Parrot, να παίξει πλήρης χαρτογράφιση γιατί χωρίς κάποιον να δώσει βασικές πληροφορίες, θα αργήσω λίγο να αποκτήσω εικόνα (ούτε credentials για κάποιες βασικές συσκευές δεν έχω).
Ευχαριστώ για τη σύσταση, αν παίζουν ιδέες για εναλλακτικές πλατφόρμες τύπου LibreNMS, καλοδεχούμενες!Greek IT Professionals
https://discord.gg/cM723Be
-
15-09-19, 12:03 Απάντηση: Απενεργοποίηση ή μπλοκάρισμα άγνωστου υπολογιστή #6
Χρησιμοποιώ το PRTG αλλά δεν είναι δωρεάν.
edit: από ότι βλέπω είναι δωρεάν μέχρι 100 sensors, αν το δίκτυό σου είναι μικρό μπορεί να σε βολέψει...Τελευταία επεξεργασία από το μέλος EnDLess : 15-09-19 στις 12:12.
Bookmarks