Welche Clients sind online?
-
Hallo,
vielleicht wurde das bereits beantwortet, aber irgendwie finde ich es nicht.
Es geht darum, dass alle Clients im Netzwerk eine feste IP vom DHCP Server zugewiesen bekommen.
Wenn ich erfahren möchte, welche Clients im Netzwerk gerade online (in Betrieb) sind, kann ich das so direkt nicht ermitteln.
Bei dynamische IP sehe ich das in der DHCP Lease Tabelle. Aber wie kriege ich raus, welche von den statischen online sind??? :-[
Ich stelle mir das so ähnlich vor, wie in der Fritzbox; entweder ist da eine Weltkugel oder eine grüne Lampe vor der IP-Adr/Hostname.Danke & Gruß
-
Unter Status | DHCP Leases werden alle Leases angezeigt und dort gibt es eine Spalte "Online", in der genau der Status steht.
Bestimmt auch bei Dir. -
schau mal unter Diagnostics: ARP Table
Da siehst du alle IP's die mit der PfSense kontakt hatten.
Das kann, muss aber keine Vollständige Liste sein.
Kann ja sein das die Geräte zwar im Netz sind aber mit der PfSense keinen Kontakt hatte. Also kann die PfSense auch nicht wissen das es die gibt.In den meisten Fällen haben die Geräte im Netzwerk aber Kontakt mit dem Internet also auch mit der PfSense (so fern diese dein Default Router ist) also wirst du hier in der Regel auch fast alle Geräte finden.
Die die eine statische IP haben hatten ja auch mal Kontakt mit der PfSense daher sollten die da auch auftauchen. -
Unter Status | DHCP Leases werden alle Leases angezeigt und dort gibt es eine Spalte "Online", in der genau der Status steht.
Bestimmt auch bei Dir.Bei static ARP funktioniert das aber nicht, da werden auch Geräte als "online" angezeigt, die schon tagelang weg sind.
Und in der ARP table ist auch keine Info zum aktuellen Status.
Finde ich auch recht intransparent, wenn ich wissen will, wer WIRKLICH aktuell im Netz unterwegs ist.
-
Verwende einen Netzwerk Monitor wie Look@LAN. Der genannte zeichnet auch schöne grüne Bälle vor aktiven IPs, rote vor inaktiven.
-
Mal im Ernst, warum kann sowas eine "security appliance" nicht ot-of-the-box? Mag sein, dass in großen Firmen niemand wirklich danach schaut, in kleinen, auf Sicherheit ausgelegten Netzen haben die Monitor-Möglichkeiten von pfSense was IPs, aber auch states per IP (nicht nur aktuell, sondern z.B. kumulativ über die letzten 24 h, Tage Wochen) deutliche Defizite.
Jetzt werden gleich wieder irgendwelche Apps genannt werden, die das mehr oder weniger gut können, aber wrum nicht meine Firewall selbst?
Ja, ich kann ein Feature beantragen. Aber warum gibt's das nicht schon längst?
-
Jetzt werden gleich wieder irgendwelche Apps genannt werden, die das mehr oder weniger gut können, aber wrum nicht meine Firewall selbst?
Ja, ich kann ein Feature beantragen. Aber warum gibt's das nicht schon längst?
Es beruhigt mich schon mal zu wissen, dass es nicht an mir liegt! ;D
Wenn diese Apps/Pkg wenigstens für pfSense/FreeBSD wären, wäre alles wieder gut.
Ich bin auch der Meinung, das gehört zur Router-Funktionalität.
Und ja, ich betreibe pfSense als Router/Firewall/Proxy. -
Ja, ich kann ein Feature beantragen. Aber warum gibt's das nicht schon längst?
Ich bin auch der Meinung, das gehört zur Router-Funktionalität.
Weils vielleicht eben doch nicht so viele brauchen, wie man selbst denkt? Aus meinem Umfeld kann ich nur sagen, dass das zwar nice to have wäre, aber noch kein einziger Kunde noch anderer Kollege mir das angefragt hat. Und warum gehört das zu einer Router Funktionalität? Ich mag das nicht weg diskutieren, aber sorry, ich sehe einfach den Sinn nicht. Ich definiere also statische IPs im DHCP an bestimmte Clients. Alleine das macht man im Normalfall bei 100+ Clients nicht mehr. Sollte es auch recht selten geben, dass ein Client eine definierte Adresse haben muss. Und wenn ich dann größere Umgebungen habe, ist eine Liste auch nicht mehr so klein, dass ich die so locker überblicken kann.
Aber vielleicht mal auf die technische Seite geschaut: wie soll die Firewall das denn wissen? Deshalb sind die Anzeigen eben ungenau, denn sie kann es nur schätzen anhand des Leases und wenn das abläuft und es kommt keine Verlängerung ist es klar -> der Client ist offline. Was soll sie statt dessen machen? Jedes Mal beim Aufruf der Seite einen kompletten Ping-Scan durchs ganze lokale Netz? Unpraktisch und dauert recht lange, bis dann die Seite endlich aufgebaut werden kann. Wird es gecached, ist die Info vllt. alt. Also was dann? Alle 10min einen Scan machen und die Werte cachen? Also alle 10min komplette Broadcast Überprüfung aller IPs aus einem Netz? Dann gibts gerne noch Kisten die mit lokalen Firewalls o.ä. einfach keine Antwort auf Ping geben, also ggf. dann ARP Lookup? Oder Portprobing?
Ich verstehe da einfach die Anforderung nicht, warum ich wissen muss - in der DHCP Ansicht auf der Firewall - welche Clients im Moment gerade online sind. Bei größeren Netzen ist man vielleicht eh mit 802.1x am Start und dann hat man andere Möglichkeiten zu sehen, wer da ist und wer nicht. Aber wofür mag man das haben?
in kleinen, auf Sicherheit ausgelegten Netzen haben die Monitor-Möglichkeiten von pfSense was IPs, aber auch states per IP (nicht nur aktuell, sondern z.B. kumulativ über die letzten 24 h, Tage Wochen) deutliche Defizite.
Kannst du uns sagen was genau? Und warum das bspw. mit anderen Paketen wie Snort o.ä. nicht deinen Wünschen entspricht? Würde mich interessieren.
-
Aber vielleicht mal auf die technische Seite geschaut: wie soll die Firewall das denn wissen?
Wie gesagt, diese Funktionalität sehe ich nicht bei der Firewall, sondern beim Router.
Und ich habe pfSense auch als Router im Einsatz.
Hätte ich sonst ein extra Router im Einsatz, dann würde ich das "dort" erwarten.Wenn die Entwickler von pfSense das nicht wissen, wie man das hinkriegt, dann könnten die vielleicht bei AVM nachfragen.
Die Fritzbox kann das sehr gut! ;) -
Snort? Bitte was? Was hat das mit Möglichkeiten zum monitoren des Netzwerks zu tun? Das blockt regelbasiert das ein oder andere ab, was Cisco/NSA halt so als Regeln zulässt.
Aber weder kann ich damit kontrollieren, wer bei mir wann wie lange im Netz ist, noch wo die einzelnen Rechner manchmal/regelmäßig (Windows update? Antivirenupdate? Adobe telefoniert nach Hause? Sonstiger Schund, der die Klappe nicht halten kann?) hinfunken.
Mich interessiert das in meinen Netzen brennend. Das Sicherheit im Alltag für viele kein (!) Thema ist sehe ich ja schon daran, dass meine Kunden schwachsinnige shärpoints und ähnlichen Trash einsetzen und glauben, etwas für die Sicherheit ihrer Daten getan zu haben (2-Wege-Authentifizierung! OMG! Wie sicher!). Ich will Transparenz in meinem Netz, Logs, die nicht von irgendwelchem Mist aus dem DSL Modem zugespammt werden (was nur schwer zu unterbinden ist) und v.a. Logs, die wirklich aussagekräftig sind. Z.B.:
-
Wer hat sich wann an-/abgemeldet, nach MAC/IP
-
Nach MAC/IP sortiert: Welche IPs wurden angesurft, sortiert nach Häufigkeit, Zeitraum über Tage bis 1 Monat, meinetwegen
-
Welche Protokolle wurde dabei verwandt. Welches Datenvolumen gesendet/empfangen.
-
Ist irgendetwas davon in letzter Zeit auffällig/neu (regelmäßiger Kontakt)
-
Welche Anwendung hat diesen Verkehr getriggert (zumindest wenn es ein Browser war, sollte sich das ja zuordnen lassen, wenn es Google etc. können, warum meine Box nicht?).
Wenn ich noch ein Zeit lang nachdenke wird es sicher noch mehr.
Damit liesse sich auffälliger traffic schneller aufspüren, als mit dem Vertrauen in Firewallregeln oder NSA-gesponsorte IDS wie snort/suricata, (selbst wenn ich alles unnötige zumache, die Trottel können immer noch durch port 80/443 oder notfalls eMail-ports auf jede Kiste und wieder raus).
-
-
-
Oder die IPs hin und wieder mal anpingen?
Ich würde den Hersteller schlachten, der mir mein Netz mit sinnlosen Broadcasts flutet. Das mag in nem klein bevölkerten /24 vielleicht noch OK sein, aber nicht wenn die Kiste mehrere Netze mit DHCP bespaßt und die dazu noch größer sind. Zumal ich immer noch nicht weiß warum ich die Info überhaupt will. Aber ich lerne gern dazu, deshalb hab ich auch gefragt, warum man das brauchen mag.
Aber weder kann ich damit kontrollieren, wer bei mir wann wie lange im Netz ist,
Captive Portal + Radius oder zeitbasierende Regeln? Alles andere ist wieder die Frage - warum. Warum soll ich das "einfach so" wissen. Wenn mir das wichtig ist, dass bspw. ein Netz, ein IP Block o.ä. nicht nach 18h ins Netz geht, dann bau ich das in die Regeln oder lassen den Zugriff über sowas wie das CP beschränken. Ist also machbar.noch wo die einzelnen Rechner manchmal/regelmäßig (Windows update? Antivirenupdate? Adobe telefoniert nach Hause? Sonstiger Schund, der die Klappe nicht halten kann?) hinfunken.
State Overview, Firewall Regeln loggen. Das wovon du sprichst sind tiefgreifende Auswertungen. Das kann man bspw. ohne Probleme mit ntopng und Co. machen oder mit einem kompletten Log Cluster abdecken, an den die Firewall(s) ihre States/Flows schickt. Also: Doch das geht. Mit entsprechenden Paketen. Mir wäre das bei anderen Herstellern auch nicht bekannt, dass die tolle Dashboards einfach so mitliefern, die dir gleich Graphen, Tabellen und Listen zeigen, wer wie wann wohin mit wem gesprochen hat und Daten verschickt. Ich frage mich dann schon manchmal, warum das von pfSense einfach erwartet wird. Wer kann das denn out of the box, einfach so, ohne irgendwelche Kosten? Gibts da was?Mich interessiert das in meinen Netzen brennend. Das Sicherheit im Alltag für viele kein (!) Thema ist sehe ich ja schon daran, dass meine Kunden schwachsinnige shärpoints und ähnlichen Trash einsetzen und glauben, etwas für die Sicherheit ihrer Daten getan zu haben (2-Wege-Authentifizierung! OMG! Wie sicher!).
Da kann ich dein Leid aus vollen Zügen nachempfinden… :/ Ich habe teils noch schlimmere Kunden, aber es bessert sich.
Ich will Transparenz in meinem Netz, Logs, die nicht von irgendwelchem Mist aus dem DSL Modem zugespammt werden (was nur schwer zu unterbinden ist) und v.a. Logs, die wirklich aussagekräftig sind. Z.B.:
Wie gesagt - das ist zu einem großen Teil machbar.
- Wer hat sich wann an-/abgemeldet, nach MAC/IP
Wie soll das die Firewall/der Router genau wissen?
- Nach MAC/IP sortiert: Welche IPs wurden angesurft, sortiert nach Häufigkeit, Zeitraum über Tage bis 1 Monat, meinetwegen
Ist keine Funktion einer Firewall, sondern von (D)PS (deep packet inspection) + Logging. Das hat auch was mit Sicherheit zu tun, nämlich Datensicherheit und Privacy. Das sind ggf. Daten der Kunden bzw. Mitarbeiter und auch die sind schützenswert. Denn wenn nirgends im Vertrag was davon steht, dass die Totalüberwacht werden, haben Sie das recht in der Pause mal zu surfen, ohne dass das jemand exzessiv mitloggt.
- Welche Protokolle wurde dabei verwandt. Welches Datenvolumen gesendet/empfangen.
Dito, machbar. Bandwithd, ntopng und Co.
- Ist irgendetwas davon in letzter Zeit auffällig/neu (regelmäßiger Kontakt)
Das würde zeitliche Analyse erfordern. Wenn du Daten so lange speicherst so etwas analysieren zu können, hoffe ich du hast einen guten Datenschutzbeauftragten. Zumal das dann schon fast an eine Art "Bewegungsprofil" grenzt. Die dürfen nicht so ohne weiteres erhoben werden.
- Welche Anwendung hat diesen Verkehr getriggert (zumindest wenn es ein Browser war, sollte sich das ja zuordnen lassen, wenn es Google etc. können, warum meine Box nicht?).
DPS. Das ist eine völlig andere Ebene als ein Switch (L2) oder Router (L3). Was du wissen willst ist L7, Applikation. Dazu müsste ich den Traffic explizit mitlesen, damit ich genau sehen kann, was war der User Agent bspw. Klar kann das Google, denn dein Browser hat ja ne Kennung und du surfst Google an. Dass die die Daten haben ist also normal. Dass du die einfach zwischendrin abgreifst nicht. Kannst du mit transparenten Proxies und Co machen, aber auch hier der Verweis: Datenschutz. Denn dann liest du potentiell sogar mit, WAS gesendet wird.
Wenn ich noch ein Zeit lang nachdenke wird es sicher noch mehr.
Glaub ich dir :) Hast du aber schonmal drüber nachgedacht, dass das zu viel des Guten ist? Ich bin auch durchaus bei dir wenns um Sicherheit und derlei geht, aber was du aufzählst grenzt an Totalüberwachung und Vorratsdatenspeicherung (Profile erstellen um zu erkennen, ob was neues gemacht wird?!)Damit liesse sich auffälliger traffic schneller aufspüren, als mit dem Vertrauen in Firewallregeln oder NSA-gesponsorte IDS wie snort/suricata,
Gesponsert? ;) Die Regeln für Snort oder Suricata kommen meines Wissens auch aus der Community :)(selbst wenn ich alles unnötige zumache, die Trottel können immer noch durch port 80/443 oder notfalls eMail-ports auf jede Kiste und wieder raus).
Öhm ja. Das sollen Sie ja auch, du betreibst ja offensichtlich einen Webserver :) Nein, ich bin wirklich sehr für Security, auf jeden Fall. Aber dazu packe ich dann nicht den Aluhut auf, sondern mache das was ich anbiete so sicher wie möglich. Und natürlich sind ereignisbasierte Erkennungen interessant. Aber dazu dann alles zu protokollieren und zu überwachen geht dann doch etwas weit.Aber von der philosophischen Frage abgesehen, dass du mir persönlich da viel zu weit gehst (und das an vielen Stellen stark ans illegale grenzt), ist es größtenteils möglich. Andere Sachen (noch?) nicht, aber das bietet auch kein anderes mir bekanntes Produkt gerade an. Insofern verstehe ich die starke Unzufriedenheit nicht, die aus deinem Post rausklingt? Vielleicht verstehe ich es aber auch nur falsch. Wie gesagt, ich lasse mich gern erhellen :)
Grüße
- Wer hat sich wann an-/abgemeldet, nach MAC/IP
-
Mal im Ernst, warum kann sowas eine "security appliance" nicht ot-of-the-box?
Und warum nutzt Du nicht das was vorhanden ist anstatt zu tösen?
Natürlich gibt es die Liste der aktiven und die aller konfigurierten DHCP Leases (siehe mein Post) und dazu noch den (je nach Einstellung relativ schnell erneuernden) ARP Table.Alle diese Einträge sind so aktuell, wie es für die pfSense relevant ist.
Brauchst Du einen Scan über ein Subnetz (um zB statisch konfigurierte Hosts außerhalb des pfSense scopes zu 'finden'), dann nutze die dafür vorgesehenen externen Tools. Das ist kein Drama. Ich habe sowas sowieso auf meinem Laptop installiert, um auch in anderen Netzen nach Hosts schauen zu können. Also Netze, die ich nicht errichtet habe oder in denen ich selbst nur Gast bin.
Das ist doch sowas wie eine Grundausrüstung für jeden Netzwerker. -
Immer die selben Ritter der Kokosnuss, der Nutzer ist zu dooooof, um zu erkennen, was er für ein tolles Produkt hat, notfalls u zweit, immer druff…
Eine ARP-tabel, wenn ich nur static ARP habe? Wirklich?
So ein Müll. Ich bin weg, die Fanboy-Dichte ist nervig...
-
Es steht hier ja niemand unter Zwang, die pfSense zu verwenden. Jedem steht es frei, das für seine Zwecke in seinen Augen geeignetste Produkt einzusetzen.
Ich bin mit dem Funktionsumfang und der Anpassbarkeit via Packages mehr als zufrieden. Die pfSense hängt zwischen internen Netzen und WAN und in diesen internen Netzen gibt es andere Hosts mit unterschiedlichen Betriebssystemen, wo ich bei Bearf auch den ganzen anderen Schnickschnack installieren und ausführen kann.
Wie hier schon erwähnt, die Fritzboxen können das ja, und noch viel mehr. Dann kann man ja auch diese verwenden. Du bestellst dir ja auch nicht im Gasthaus ein Wiener Schnitzel und beklagst dich bei Kellner, dass kein Käse drinnen ist. Wenn du den magst, bestellst dir eber Cordon Bleu. Zum Glück ist diese Welt so einfach. ;)
Ich, für meinen Teil, wenn ich eine FB einrichten soll, packt mich ein Riesen-Frust. Schnell geht da gar nichts, wenn man das Ding nicht kennt. Zuerst muss man sich einmal durch die 200-seitige Anleitung wälzen um nur die primären Dinge wie Standard-Logindaten raus zu finden. 200 Seiten für eine simplen DSL-Router, so geschrieben, dass es nur ein Laie versteht. Mit Begriffen, die der Netzwerker verwendet, findet man darin nichts.
Aber so hat ein jeder das Seine und ich will diesen Thread hier gar nicht in eine FB-Diskussion entführen. Möchte nur sagen, die einen sind mit pfSense zufrieden, die anderen soll das nehmen, was ihren Ansprüchen gerecht wird anstatt über dieses Produkt zu meckern. Und alles ist gut. :)
Grüße
-
viragomann> Ich bin mit dem Funktionsumfang und der Anpassbarkeit via Packages mehr als zufrieden. … Ich, für meinen Teil, wenn ich eine FB einrichten soll, packt mich ein Riesen-Frust.
Echt? Warum?
viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.
Nee, oder? Und bei pfSense ist es leichter? Wirklich? Es läuft trotzdem, wenn man es nicht kennt oder falsch konfiguriert?
viragomann> Zuerst muss man sich einmal durch die 200-seitige Anleitung wälzen um nur die primären Dinge wie Standard-Logindaten raus zu finden.
und du kommst tatsächlich mit pfSense ohne Anleitung zurecht? Irgendwas widerspricht sich hier…
Wenn ich mir die Foren über pfSense anschaue, könnte ich meine ohne fachmännische Unterstützung und paar Anleitung kommt man nicht sehr weit mit pfSense...viragomann> Möchte nur sagen, die einen sind mit pfSense zufrieden, die anderen soll das nehmen, was ihren Ansprüchen gerecht wird anstatt über dieses Produkt zu meckern. Und alles ist gut. :)
das perfekte "Produkt" gibt es nicht. irgendwas vermisst man immer, oder würde es anders machen.
und Recht hast du auch: pfSense ist nicht die Eierlegende Wollmilchsau.dafür bekommt man aber die günstigste Firewall-Router-Proxy-Kombination auf dem Markt… ;)
-
Immer die selben Ritter der Kokosnuss, der Nutzer ist zu dooooof, um zu erkennen, was er für ein tolles Produkt hat, notfalls u zweit, immer druff…
Eine ARP-tabel, wenn ich nur static ARP habe? Wirklich?
So ein Müll. Ich bin weg, die Fanboy-Dichte ist nervig...Welche Laus ist Dir denn über die Leber gelaufen?
Warum zitierst Du jetzt den ARP-Table, der eben denkbar ungeeignet ist und nicht den DHCP Lease Table, der, wie inzwischen mehrfach erwähnt, genau die gewünschten Infos beinhaltet?
Schon blöd, wenn die eigenen Argumente so schnell zu Ende gehen, gell?!
Naja, dann hauen wir nochmal kurz mit der Keule "Fanboy" um uns und verpissen uns anschließend.
Eine konstruktive Diskussionskultur ist anders!PS: am Vergleich mit FritzBoxen kann ich nicht teilnehmen, da ich die Geräte nur von außen kenne.
Und das Design stand wohl eher nicht zur Debatte. Ansonsten bin ich froh, denn "meins ist besser als Deins" ist eine Debatte auf trotzigem Kinderniveau, die nicht effektiv geführt werden kann! (Vgl. die 3 ICH-Zustände, wen's interessiert) -
viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.
Nee, oder? Und bei pfSense ist es leichter?Leute, das ist doch keine konstruktive Diskussion!
Das, was man bereits kennt, ist immer einfacher zu handhaben als Neues. Das war schon immer so und wird es auch bleiben.Ich gehe doch auch nicht zu einem Tee-Trinker und schmeiße ihm meine Kaffee-Trinker Argumente vor die Füße und behaupte, es sei das einzig glückselig Machende. Wir können uns gern über die Zubereitung oder den Konsum austauschen, mehr aber auch nicht.
Macht auch nichts. ;) -
viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.
Nee, oder? Und bei pfSense ist es leichter?Leute, das ist doch keine konstruktive Diskussion!
Das, was man bereits kennt, ist immer einfacher zu handhaben als Neues. Das war schon immer so und wird es auch bleiben.Diese meine Aussage beruhte auf meinen ersten Kontakt mit den Geräten, FB u. pfSense. Und ja, mit der pfSense hatte ich tatsächlich weniger Schwierigkeiten mich zurecht zu finden. Liegt einerseits wohl daran, dass man bei der Einrichtung auf die wesentlichen Dinge hingeführt wird und viele Erläuterungen zu den Funktionen direkt in der GUI zu finden sind, da wo man sie braucht, und andererseits mag es daran liegen, dass ich schon andere Erfahrung mit professionellen Firewalls hatte.
So viel nur zur Erklärung dieser Aussage. Alles andere habe ich bereits zuvor erwähnt.
Schönen Tag.
-
… und andererseits mag es daran liegen, dass ich schon andere Erfahrung mit professionellen Firewalls hatte.
dann ist ja alles klar… würde mir bestimmt genauso gehen, wenn ich Linux-Erfahrung hätte und vielleicht hauptberuflich noch damit zu tun hätte.
Alles fing damit an, dass ich als "Anfänger" mit pfSense unsicher war, ob die Funktion tatsächlich nicht vorhanden war; deswegen habe ich gefragt. Als dann aber anfing, nach dem Motto "für was brauchst du das, nimm dies oder jenes..." - war das ganze schon Offtopic.
Es wurde sogar versucht über den Sinn von statischen MAC Adresse zu diskutieren... darum ging es nicht!Ob es Sinn macht, so eine Funktion in pfSense zu integriert, kann man sicherlich darüber streiten. Tatsache ist, momentan gibt es die nicht, und es steht in den Sterne, ob sowas je unter pfSense zu finden sein wird. Bis dahin, muß man sich mit Hilfsmitteln aushelfen, sein es mit zusätzliche Hardware oder Apps, die auf Clients laufen.
Danke