Zunächst benötigen Sie Informationen über das Endgerät, welches Sie ausfindig machen wollen. Diese Informationen sollten entweder die IP-Adresse oder noch besser die MAC-Adresse des Endgeräts sein. Sollte Ihnen die MAC-Adresse des Endgerätes bekannt sein, können Sie direkt zu Schritt 2 springen. Sollten Sie nur die IP-Adresse zur Verfügung haben, werden wir damit die MAC-Adresse des Endgeräts bestimmen.
Dazu nutzen wir das Address Resolution Protocol (ARP), welches verwendet wird, um IP- zu MAC-Adressen zuzuordnen. Diese Zuordnung wird allerdings nur von Layer 3 Geräten durchgeführt, sodass Sie für diesen Schritt einen Router oder einen Routing-Switch benötigen. Falls Sie nicht sicher sind, wer in Ihrem Netzwerk routet, können Sie hier einfach das Gerät verwenden, welchem die IP-Adresse, die als Standard-Gateway fungiert, zugewiesen ist.
Verbinden Sie sich zuerst mit der Kommandozeile des Switches bzw. der Firewall. Führen Sie auf diesem Gerät dann einen Ping auf das gesuchte Gerät aus. Ist der Ping erfolgreich, sollte im ARP-Table eine Zuordnung zur MAC-Adresse erscheinen. Auf Aruba Switches kann dieser mittels des folgenden Befehl ausgegeben werden:
switch# show arp |
Hier können Sie nun die MAC-Adresse des Endgerätes ablesen und notieren. Diese benötigen wir im folgenden für die eigentliche Suche.
Netzwerk-Hardware erstellt Tabellen zu MAC-Adressen, mit denen Sie im Verlauf einer spezifischen Zeit kommuniziert haben. Den Mac-Adressen wird der Port zugeordnet, über welchen der Kontakt erfolgte. Diese Tabellen können wir zur Suche nutzen, wenn wir die entsprechende MAC-Adresse kennen. Zur Ausgabe des MAC-Address Tables auf der Kommandozeile auf Aruba Switches können wir den folgenden Befehl eingeben:
switch# show mac-address MAC-ADRESSE |
Hier entnehmen Sie nun den Port, auf welchem die Adresse vom Switch gesehen wurde. Ist das Gerät direkt an diesem Port angeschlossen, ist die Suche damit beendet. Dies sollten Sie an der Konfiguration des Ports erkennen. Ist hier mehr als das VLAN des Endgeräts konfiguriert, ist die Wahrscheinlichkeit hoch, dass hier ein weiterer Switch angeschlossen ist.
Sollte an dem Switchport, an welchen Sie die MAC-Adresse gefunden haben, ein weiterer Switch angeschlossen sein, müssen wir unsere Suche auf diesem Switch fortsetzen. Um Informationen über den entsprechenden Switch zu bekommen, machen wir uns das Link Layer Discovery Protocol (LLDP). zunutze. Damit können wir Informationen über direkt benachbarte Netzwerk-Hardware herausfinden.
Um diese Informationen auszugeben, geben Sie auf einem Aruba Switch den folgenden Befehl ein:
switch# show lldp information remote-device PORTNUMMER |
Auf Aruba CX Switches lautet der entsprechende Befehl:
switch# show lldp neighbor-information PORTNUMMER |
Damit kann bequem die IP-Adresse des benachbarten Switches ausgelesen werden, auf dessen CLI wir die Suche fortsetzen müssen. Falls LLDP nicht zur Verfügung steht, benutzen andere Hersteller gerne eigene Implementierungen, die auf dem LLDP basieren. Cisco nutzt zum Beispiel das Cisco Discovery Protocol, kurz (CDP), welches den gleichen Sinn erfüllt.
Haben wir die Informationen über den benachbarten Switch, welcher zur gesuchten MAC-Adresse des Endgeräts führt, können wir die Suche auf diesem fortsetzen. Wir verbinden und wieder mit dem CLI des Switches, suchen abermals nach der MAC-Adresse in der MAC-Adressen Tabelle. Sollte die MAC-Adresse wieder zu einem benachbarten Switch führen, setzen wir unsere Suche solange fort, bis wir den Switch mit dem Port gefunden haben, mit dem das Endgerät verbunden ist.
Neben der manuellen Suche nach MAC-Adressen existieren auch deutlich bequemere Methoden, einen Switchport zu einem Endgerät ausfindig zu machen. Verwenden Sie zum Beispiel einen Radius-Server zur Portabsicherung, kann dieser in der Regel auch den letzten Port des Clients liefern. Mit Aruba Clearpass können darüber hinaus auch Informationen über Hersteller des Endgerätes und Datenverbrauch geliefert werden. Zudem gewinnt Ihr Netzwerk durch eine zeitgemäße Absicherungsmethode des Ports massiv an Sicherheit.