"Was, antwortet auf pings? Der ist gar nicht an!"
Zugschlus plaudert aus dem Nähkästchen.
Es ist schon eine Weile her. Bei einem langjährigen Kunden, der mich immer mal wieder mit haarigen Debuggingaufgaben oder komplexen Planungen inklusive Migration beauftragt hat. Einem so langjährigen Kunden, dass ich dort nahezu alle Leute duzen durfte und ein- und ausgehen durfte wie mir gerade zumute war.
Ich komme also im Office des Kunden an und suche mir einen freien Schreibtisch in einer Ecke des Großraumbüros mit für mein Tagewerk genug freien Netzwerkports. Zwei Tischreihen weiter stehen drei Mitarbeiter des Kunden aus dem Bereich Clientmanagement ratlos um einen PC herum. ich schnappe Unterhaltungsbrocken auf, und bekomme mit, dass das Softwareverteilungssystem für Windows-Clients sich nicht in der Lage sieht, das Redmond-Betriebssystem auf diesem Rechner zu installieren. Ich werde neugierig.
Ich packe also meinen Rechner aus, schließe ihn ans Netz an und frage dabei die drei, um welchen Rechner es sich handelt. Mit der (brandneuen) Inventarnummer ausgestattet schaue ich ins DNS und stelle fest, dass die Eintragung im DNS schonmal geklappt hat. Anpingen kann ich das Ding auch. So weit, so gut.
Ich rufe rüber "Was wollt Ihr eigentlich, das tut doch prima. Ich kann die Kiste sogar pingen."
Drei Köpfe drehen sich abrupt in meine Richtung. Ungläubige Gesichter: "Was, wie, anpingen? Der ist gar nicht an!"
Jetzt ist es an mir, zu grinsen: "Lösung in Sicht." Mit Hilfe von ARP-Cache und den Switchtabellen ist in wenigen Minuten der Switchport lokalisiert, an dem das unautorisierte Gerät angeschlossen ist. Eine neue Tapelibrary war im Labor vom Consultant des Herstellers statisch auf die schöne, glatte IP-Adresse konfiguriert worden. Nur dumm, dass sie mitten in dem DHCP-Range liegt, den die Softwareverteilung für Remote-Installationen verwenden möchte. Und dass der von der Software-Verteilung mitgebrachte DHCP-Server vor dem Assignment-Versuch nicht probiert, ob die Adresse vielleicht doch schon in Verwendung ist. Ok, das muss der DHCP-Server nicht, aber nett ist diese Sicherheitsmaßnahme allerdings trotzdem.
Nachdem die Tapelibrary kurzerhand vom Netz getrennt wurde, ließ sich der neue Client dann ganz problem- und widerspruchslos mit dem Betriebssystem aus Redmond versorgen.
Mit diesem Ereignis im Rücken war es dann kein Problem, das Labor-Netz endlich vom normalen Office-Netz trennen und mit einer Firewall absichern zu dürfen. Mit diesem Anliegen hatte ich dem IT-Leiter des Kunden schon Monate im Ohr gelegen. Aber oftmals muss halt erstmal was passieren, bevor triviale Sicherheitsmaßnahmen erlaubt werden. Zum Glück war es hier nichts wirklich gefährliches, was da passiert ist.
Comments
Display comments as Linear | Threaded