1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.

Cautare MAC in retea

Discussion in 'Ajutor: Comunicații' started by IceCub, Apr 11, 2014.

  1. IceCub

    IceCub Membru Senior

    Salutare,

    Am de facut niste munca de detectiv si am nevoie de ajutorul vostru. Am nevoie de "ceva" care sa monitorizeze un subnet din reteaua locala si sa-mi spuna daca apare in retea o anumita adresa MAC. Serverul care se ocupa de DHCP (pfSense) nu are nici o optiune de genul acesta. Toate astea sunt pentru a da de urma unui laptop furat caruia i se cunoaste adresa MAC a placii WiFi, bineinteles, presupunand ca hotul se va intoarce intr-o zi la locul faptei cu laptopul.
    Sansele ca acesta sa o faca sunt destul de mari deoarece:
    - sunt > 170 de persoane care au primit laptopuri identice si se plimba cu ele toata ziua prin institutie, asa ca nu bate la ochi.
    - tentatia de a se conecta la un AP cu free WiFi controlat de mine e destul de mare

    Ideal ar fi ca acel "ceva" sa sa ma avertizeze printr-un mail imediat de a aparut dispozitivul in retea. Nu conteaza platforma pe care ruleaza: Win / *nix / Linux.

    Any ideas?
     
  2. miahi

    miahi Wizzard

    Păi ai cam 2 opțiuni:
    - pasiv: monitorizezi cache-ul ARP de pe default gateway
    - activ: ții un scanner de IP-uri (nmap sau asemănător) pe toată plaja de IP-uri și monitorizezi acolo cache-ul ARP sau rezultatul scanner-ului

    Bineînțeles, asta merge doar dacă tot wifi-ul e pe AP și nu routere. Dacă-s routere va trebui să vezi cache-ul ARP pe fiecare din ele.
     
  3. burebista

    burebista Manic Miner

    Nu stiu cit te ajuta dar dracia asta scaneaza in background reteaua wi-fi si poate bipai la detectarea unui device nou sau in Advanced options se pare ca poti defini o anumita comanda la detectarea unul MAC (printre altele)
     

    Attached Files:

  4. Quark

    Quark zis şi Brucan

    Ce te faci daca hotul citeste topicul asta (postat in zona publica)? :smile:
    Exista tools specifice, cel putin sub Win. Extrem de eficiente dar putintel cam scumpe si greu de gasit free.
     
  5. IceCub

    IceCub Membru Senior

    Multumesc de raspunsuri. O sa incerc sa vad ce stie nmap.
    Cel mai simplu e sa ma uit in logurile DHCP ale serverului, dar degeaba il gasesc acolo dupa 1-2 zile. Ideal este ca automatizez totul astfel incat sa faca o scanare la 5-10 min si sa ma anunte imediat (mail de preferat, ca ii dau eu smtp si toate cele).

    Am pus pe server un arpwatch care stie sa dea mail la fiecare device nou (nu are alte optiuni), dar la 4-5 AP-uri cu free WiFi o sa ma inunde ala cu mail-uri...

    Solutia lui Burebista e interesanta, dar nu vad nici o optiune in care sa ma anunte la detectarea unui anumit MAC.
     
  6. miahi

    miahi Wizzard

    Pui altă căsuță de mail + regulă de fwd doar dacă conține mac-ul respectiv.
     
  7. burebista

    burebista Manic Miner

    Ma gindeam ca acolo unde zice ca poti pune o comanda la detectarea unui nou device poti specifica niste argumente gen la detectarea %mac_addr% ala al tau sa lansezi ceva (sunet, poze, filme, programul de mail, etc) dar banuiec ca e cam stufos ca vad ca nici astia de la NirSoft nu sunt prea darnici in explicatii.

    Asa ca am gasit asta. Faci o scanare initiala cind e (mai) toata lumea buna legata la wi-fi, marchezi intrarile bune ca si cunoscute si apoi cind intra cineva necunoscut il pui sa-ti dea un mail.

    wifi_scan.jpg

    Poti seta si intervalul in care-ti scaneaza reteaua.

    Poza e de la mine, n-am wi-fi dar am vrut sa vad ce optiuni are p'acolo. :smile:
     
  8. IceCub

    IceCub Membru Senior

    :notworthy:

    Bun, pana la urma am luat programul sugerat de Burebista + sugestia cu forward-ul de mail a lui miahi si am am rezolvat problema. De luni ii dau sa scaneze la 5 minute si poate cu putin noroc gasesc faptasul.

    Thank you!

    Oricum nu-l folosesc pe WiFi. L-am pus pe unul din servere si i-am dat sa scaneze range-ul de IP-uri pe care le aloca DHCP-ul.
     
  9. puterfixer

    puterfixer Administrator

    Dacă aveai echipamente cu management, făceai chestii mișto cu ele :smile:

    Dar întrebare: presupunând că primești notificarea cu MAC-ul conectat, ce faci? Sari pe etaj și urli NU MIȘCĂ NIMENI, LAPTOPURILE LA CONTROL? :smile:
     
  10. IceCub

    IceCub Membru Senior

    Identific rapid AP-ul la care e conectat si de acolo "fac politie" cu ei. Am si S/N-ul laptopului (noroc ca păgubitul a păstrat ambalajul).
     
  11. Jaffar

    Jaffar Wizard

    As pune pariu ca il gasesti mai repede prin Vitan sau pe Mercador :smile:
     
  12. IceCub

    IceCub Membru Senior

    Putin probabil. Nu sunt romani, sunt din... Africa...