Cautare MAC in retea

IceCub

Membru Senior
Joined
Jun 27, 2005
Messages
2,481
Salutare,

Am de facut niste munca de detectiv si am nevoie de ajutorul vostru. Am nevoie de "ceva" care sa monitorizeze un subnet din reteaua locala si sa-mi spuna daca apare in retea o anumita adresa MAC. Serverul care se ocupa de DHCP (pfSense) nu are nici o optiune de genul acesta. Toate astea sunt pentru a da de urma unui laptop furat caruia i se cunoaste adresa MAC a placii WiFi, bineinteles, presupunand ca hotul se va intoarce intr-o zi la locul faptei cu laptopul.
Sansele ca acesta sa o faca sunt destul de mari deoarece:
- sunt > 170 de persoane care au primit laptopuri identice si se plimba cu ele toata ziua prin institutie, asa ca nu bate la ochi.
- tentatia de a se conecta la un AP cu free WiFi controlat de mine e destul de mare

Ideal ar fi ca acel "ceva" sa sa ma avertizeze printr-un mail imediat de a aparut dispozitivul in retea. Nu conteaza platforma pe care ruleaza: Win / *nix / Linux.

Any ideas?
 

miahi

Wizzard
Sugar daddy
Joined
Aug 1, 2004
Messages
8,084
Păi ai cam 2 opțiuni:
- pasiv: monitorizezi cache-ul ARP de pe default gateway
- activ: ții un scanner de IP-uri (nmap sau asemănător) pe toată plaja de IP-uri și monitorizezi acolo cache-ul ARP sau rezultatul scanner-ului

Bineînțeles, asta merge doar dacă tot wifi-ul e pe AP și nu routere. Dacă-s routere va trebui să vezi cache-ul ARP pe fiecare din ele.
 

burebista

Manic Miner
Sugar daddy
Joined
Sep 2, 2005
Messages
4,470
Nu stiu cit te ajuta dar dracia asta scaneaza in background reteaua wi-fi si poate bipai la detectarea unui device nou sau in Advanced options se pare ca poti defini o anumita comanda la detectarea unul MAC (printre altele)
 

Attachments

Quark

Zis și Brucan
Sugar daddy
Joined
Nov 6, 2003
Messages
13,433
Ce te faci daca hotul citeste topicul asta (postat in zona publica)? :smile:
Exista tools specifice, cel putin sub Win. Extrem de eficiente dar putintel cam scumpe si greu de gasit free.
 

IceCub

Membru Senior
Joined
Jun 27, 2005
Messages
2,481
Multumesc de raspunsuri. O sa incerc sa vad ce stie nmap.
Cel mai simplu e sa ma uit in logurile DHCP ale serverului, dar degeaba il gasesc acolo dupa 1-2 zile. Ideal este ca automatizez totul astfel incat sa faca o scanare la 5-10 min si sa ma anunte imediat (mail de preferat, ca ii dau eu smtp si toate cele).

Am pus pe server un arpwatch care stie sa dea mail la fiecare device nou (nu are alte optiuni), dar la 4-5 AP-uri cu free WiFi o sa ma inunde ala cu mail-uri...

Solutia lui Burebista e interesanta, dar nu vad nici o optiune in care sa ma anunte la detectarea unui anumit MAC.
 

miahi

Wizzard
Sugar daddy
Joined
Aug 1, 2004
Messages
8,084
Pui altă căsuță de mail + regulă de fwd doar dacă conține mac-ul respectiv.
 

burebista

Manic Miner
Sugar daddy
Joined
Sep 2, 2005
Messages
4,470
Ma gindeam ca acolo unde zice ca poti pune o comanda la detectarea unui nou device poti specifica niste argumente gen la detectarea %mac_addr% ala al tau sa lansezi ceva (sunet, poze, filme, programul de mail, etc) dar banuiec ca e cam stufos ca vad ca nici astia de la NirSoft nu sunt prea darnici in explicatii.

Asa ca am gasit asta. Faci o scanare initiala cind e (mai) toata lumea buna legata la wi-fi, marchezi intrarile bune ca si cunoscute si apoi cind intra cineva necunoscut il pui sa-ti dea un mail.

wifi_scan.jpg

Poti seta si intervalul in care-ti scaneaza reteaua.

Poza e de la mine, n-am wi-fi dar am vrut sa vad ce optiuni are p'acolo. :smile:
 

IceCub

Membru Senior
Joined
Jun 27, 2005
Messages
2,481
:notworthy:

Bun, pana la urma am luat programul sugerat de Burebista + sugestia cu forward-ul de mail a lui miahi si am am rezolvat problema. De luni ii dau sa scaneze la 5 minute si poate cu putin noroc gasesc faptasul.

Thank you!

Burebista said:
Poza e de la mine, n-am wi-fi dar am vrut sa vad ce optiuni are p'acolo.
Oricum nu-l folosesc pe WiFi. L-am pus pe unul din servere si i-am dat sa scaneze range-ul de IP-uri pe care le aloca DHCP-ul.
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,181
Dacă aveai echipamente cu management, făceai chestii mișto cu ele :smile:

Dar întrebare: presupunând că primești notificarea cu MAC-ul conectat, ce faci? Sari pe etaj și urli NU MIȘCĂ NIMENI, LAPTOPURILE LA CONTROL? :smile:
 

IceCub

Membru Senior
Joined
Jun 27, 2005
Messages
2,481
Identific rapid AP-ul la care e conectat si de acolo "fac politie" cu ei. Am si S/N-ul laptopului (noroc ca păgubitul a păstrat ambalajul).
 
Top Bottom