Cautare MAC in retea

[IceCub]

Salutare,

Am de facut niste munca de detectiv si am nevoie de ajutorul vostru. Am nevoie de "ceva" care sa monitorizeze un subnet din reteaua locala si sa-mi spuna daca apare in retea o anumita adresa MAC. Serverul care se ocupa de DHCP (pfSense) nu are nici o optiune de genul acesta. Toate astea sunt pentru a da de urma unui laptop furat caruia i se cunoaste adresa MAC a placii WiFi, bineinteles, presupunand ca hotul se va intoarce intr-o zi la locul faptei cu laptopul.
Sansele ca acesta sa o faca sunt destul de mari deoarece:
- sunt > 170 de persoane care au primit laptopuri identice si se plimba cu ele toata ziua prin institutie, asa ca nu bate la ochi.
- tentatia de a se conecta la un AP cu free WiFi controlat de mine e destul de mare

Ideal ar fi ca acel "ceva" sa sa ma avertizeze printr-un mail imediat de a aparut dispozitivul in retea. Nu conteaza platforma pe care ruleaza: Win / *nix / Linux.

Any ideas?

 

[miahi]

Păi ai cam 2 opțiuni:
- pasiv: monitorizezi cache-ul ARP de pe default gateway
- activ: ții un scanner de IP-uri (nmap sau asemănător) pe toată plaja de IP-uri și monitorizezi acolo cache-ul ARP sau rezultatul scanner-ului

Bineînțeles, asta merge doar dacă tot wifi-ul e pe AP și nu routere. Dacă-s routere va trebui să vezi cache-ul ARP pe fiecare din ele.

 

[burebista]

Nu stiu cit te ajuta dar dracia asta scaneaza in background reteaua wi-fi si poate bipai la detectarea unui device nou sau in Advanced options se pare ca poti defini o anumita comanda la detectarea unul MAC (printre altele)

 

[Quark]

Ce te faci daca hotul citeste topicul asta (postat in zona publica)?
Exista tools specifice, cel putin sub Win. Extrem de eficiente dar putintel cam scumpe si greu de gasit free.

 

[IceCub]

Multumesc de raspunsuri. O sa incerc sa vad ce stie nmap.
Cel mai simplu e sa ma uit in logurile DHCP ale serverului, dar degeaba il gasesc acolo dupa 1-2 zile. Ideal este ca automatizez totul astfel incat sa faca o scanare la 5-10 min si sa ma anunte imediat (mail de preferat, ca ii dau eu smtp si toate cele).

Am pus pe server un arpwatch care stie sa dea mail la fiecare device nou (nu are alte optiuni), dar la 4-5 AP-uri cu free WiFi o sa ma inunde ala cu mail-uri...

Solutia lui Burebista e interesanta, dar nu vad nici o optiune in care sa ma anunte la detectarea unui anumit MAC.

 

[miahi]

Pui altă căsuță de mail + regulă de fwd doar dacă conține mac-ul respectiv.

 

[burebista]

Ma gindeam ca acolo unde zice ca poti pune o comanda la detectarea unui nou device poti specifica niste argumente gen la detectarea %mac_addr% ala al tau sa lansezi ceva (sunet, poze, filme, programul de mail, etc) dar banuiec ca e cam stufos ca vad ca nici astia de la NirSoft nu sunt prea darnici in explicatii.

Asa ca am gasit asta. Faci o scanare initiala cind e (mai) toata lumea buna legata la wi-fi, marchezi intrarile bune ca si cunoscute si apoi cind intra cineva necunoscut il pui sa-ti dea un mail.



Poti seta si intervalul in care-ti scaneaza reteaua.

Poza e de la mine, n-am wi-fi dar am vrut sa vad ce optiuni are p'acolo.

 

[IceCub]

Bun, pana la urma am luat programul sugerat de Burebista + sugestia cu forward-ul de mail a lui miahi si am am rezolvat problema. De luni ii dau sa scaneze la 5 minute si poate cu putin noroc gasesc faptasul.

Thank you!

Poza e de la mine, n-am wi-fi dar am vrut sa vad ce optiuni are p'acolo.

Oricum nu-l folosesc pe WiFi. L-am pus pe unul din servere si i-am dat sa scaneze range-ul de IP-uri pe care le aloca DHCP-ul.

 

[puterfixer]

Dacă aveai echipamente cu management, făceai chestii mișto cu ele

Dar întrebare: presupunând că primești notificarea cu MAC-ul conectat, ce faci? Sari pe etaj și urli NU MIȘCĂ NIMENI, LAPTOPURILE LA CONTROL?

 

[IceCub]

Identific rapid AP-ul la care e conectat si de acolo "fac politie" cu ei. Am si S/N-ul laptopului (noroc ca păgubitul a păstrat ambalajul).

 

[Jaffar]

As pune pariu ca il gasesti mai repede prin Vitan sau pe Mercador

 

[IceCub]

Putin probabil. Nu sunt romani, sunt din... Africa...