Hallo zusammen,
es kommt immer mal wieder vor, dass jemand in unserem Netzwerk ein Gerät anschließt (z.B. Privatlaptops oder die von externen Besuchern), weil die Leute z.B. Mails holen wollen.
Unser Lancom-Router sendet dann eine "intruder detected" E-Mail mit diversen Daten (Sender & Empfänger-IP, MAC & dem Paket selbst). Soweit so gut.
Was jetzt aber tun, um herauszufinden, ob das ein ernsthafter Einbruchsversuch oder nur ein (externer) Mitarbeiter ist, der seine Mails checken möchte?
Wie geht Ihr da üblicherweise vor, wenn ihr diese Info bekommt?
Welche Tools setzt Ihr ein, um dem Täter auf die Spur zu kommen?
Ich habe gestern z.B. ein tracert auf die Ziel-IP gemacht und kam raus bei ptbtime2.ptb.de [192.53.103.104] - dass da ein PC sich die Zeit holen wollte, hilft mir nicht weiter. Außer dieser ersten E-Mail habe ich nichts mehr vom Router bekommen, dass da ein Externer eine VPN-Verbindung zu seiner Firma gemacht hat, weiss ich zwar, habe aber nichts mehr davon mitbekommen.
Danke schon mal & Gruß
TheAdmin
Wie weiterrecherchieren nach "intruder detected"?
Moderator: Lancom-Systems Moderatoren