Access Violation from... Wie bekomme ich den Urheber heraus

Mein Problem ist folgendes:

Mein NAS ist an ein bestimmtes Netzwerk gebunden, sprich ich habe in den Sicherheitseinstellungen ein Netzwerk definiert, das Zugriff hat.
Das Netz seölbst liegt hinter einer Firewall und ist als DMZ definiert, hier darf also quasi jeder alles.
Nun habe ich ab und zu in den Logfiles den Eintrag:

Access Violation from 169.254.254.37 with UDP (port=1900)

Der Adressbereich 169.254.254.x ist soweit ich weiss die Localhost Adresse von Windowsrechnern, die den DHCP nicht sofort finden, ich breche also nicht in Panik aus. Ich würde den Rechner aber doch gerne identifizieren.

Da ich 2 Nas im Netz habe, habe ich das Syslog und die Verbindungsprotokolle auf beiden Nas aktiviert und speichere sie am jeweiligen anderen NAS. Interesanter Weise finde ich in den Systemereignisprotokollen oben genannten Eintrag, aber nichts, was mir den Rechner, der den Eintrag verursacht, identifizierbar macht. Dier Syslogs schweigen sich tot und auch in den Systemverbindungsprotokollen ist nichts zu finden (name oder MAC)

Mit Hilfe des Boards hier habe ich arpwatch installiert, allerdings wird mir dort die IP 169.x.x.x und passende MAC-Adresse nicht eingetragen (eigentlich logisch, darf sich ja nicht verbinden).

Nun meine Frage:
Welche Mittel kann ich auf dem QNAP einsetzen, um den Schlingel zu identifizieren, der mir ständig diesen Access Violation Eintrag verursacht. Mir würde die MAC-Adresse vollkommen reichen, da alle Rechner, die in unser Netz gehen, über die MAC.-Adresse freigeschalten werden müssen, die MAC mir also verraten würde, wer besagten Rechner in Betrieb hat.

Die Range 169.254.245.x für den Zugriff frei zu geben ist für mich keine Opton und nur eine Temporäre Lösung.

Erst mal Danke für die Antwort

Ich bin sicher nicht sonderlich ungeduldig und schreie sofort nach einer Antwort auf meine Fragen. Ich kenne da wesentlich ungeduldigere Leute als mich. Entsprechend meiner Anwesenheit im Forum, kümmer ich mich für gewöhnlich um meine Fragen. Ich gehöre auch zu jenen, die selbst gefundene Lösungen gerne an ihren Thread anhängen und sie als gelöst markieren (sofern möglich und leicht auffindbar). Foren sehe ich als Hilfe zur Selbsthilfe, entsprechend nehme ich mir Zeit und lasse anderen Zeit.
Wenn du meine Online-Zeiten sehen kannst, wirst du bemerken, dass ich heute, nach längerer Zeit, das erste mal wieder eingeloggt bin. Da ich erst die letzten Tage dazu gekommen bin mich um das Problem "autostart arpwatch" zu kümmern (ich habe hier den Umbau eines ganzen Stockwerks mit neuem Netzwerk, Servern und Testnetzen, um den ich mich kümmern muss), hatte ich noch nicht geantwortet, das wurde jetzt nachgeholt :roll:

Den Grund der Access Violation kenne ich, meine Frage war ja auch nicht, welcher Art die Verletzung war. Da hier fast ausnahmslos vorkonfigurierte Linux-Rechner laufen, ist Zerconf auszuschliessen, die machen das nicht. Darum ging es mir aber auch nicht.
Ich möchte nur in Zukunft bei einer Access-Violation etwas mehr infos auf meinem Nas.

Ich mag mich wohl etwas dumm ausgedrückt haben, ich habe den Rechner schon längst gefunden, aber am NAS SELBST sind die Informationen sehr dürftig. Dass es hier eine banale Geschichte war ist ja nur ein Nebeneffekt, die Informationen des Nas sind Imho so lala. Das NAS dürfte meiner Meinung nach bei Violations wesentlich redseliger sein. Da man ohne freigeschaltene MAC-Adresse nicht ins Netz kommt, bieten sich die Mac-Adressen geradezu an.

Dass ich hier nachfragen muss mag ich eigentlich auch nicht, liegt aber einzig daran, dass QNap ein eigenes Logging verwendet, nichts dahin legt, wo man es gewohnt ist zu finden, es keine eindeutig identifizierbaren Konfigurationsdateien gibt, wo ich mir einen passenden Eintrag selbst machen kann und ich eigene QNap-Wege gehen muss, damit nach einem Neustart nicht alles weg ist.

Hallo

Sollte ich jemandem auf den Schlips getreten sein, tut es mir leid, so war das nicht beabsichtigt. Weshalb ich jetzt eine auf die "Pfeife" bekomme verstehe ich gerade nicht.
Mea Culpa, dass für mich das arpwatch Problem eine eher untergeordnete Rolle gespielt hat. Die Lösung, warum arpwatch auf der QNap (und übrigens nur dort) in der Version, die man über QPKG laden kann, bei mir nicht korrekt läuft hat sich erst am Freitag (21.6) zufällig ergeben. Warum das bei mir so ist, habe ich noch nicht hinterfragt und werde ich auch nicht.

Zitat

Nunja, letztlich sind die QNAP's auch keine Network Managemet Stations sondern lediglich NAS. Mit der Möglichkeit über QPKG/IPKG eigene Dinge zu installieren, bietet QNAP schon wesentlich mehr Möglichkeiten gegenüber anderen Anbietern. Tatsache ist auch, dass es sich um Embedded Systeme handelt und da Resourcen immer recht knapp sind.

Das ist mir zwar klar, aber es könnte ja sein, dass es eine Möglichkeit gibt, syslog mit fertigen Mitteln etwas redseliger zu machen. Da es Sicherheitseinstellungen gibt, dachte ich an ein etwas intensiveres Logging, wenn den Richtlinien nicht entsprochen wird. Ein "da ist was passiert" reicht mir so nicht.
Wenn es mit Boardmitteln nicht geht, lasse ich mir eben etwas anderes einfallen.

Zitat von "dr_mike"

Den Punkt verstehe ich grad nicht. Die MAC ist mit einfachsten Mitteln fälschbar (Stichwort MAC-Spoofing) und bietet keinerlei großartigen Schutz. Auch findest du über die MAC mit Sicherheit nicht den Verursacher im Internet. Mit der IP kannst du zumindest einkreisen woher was kommt, da IP's geroutet werden nicht MAC's.

Gesetzt dem Fall ihr habt auch WLAN, dann setz ich mich einfach in den Funkbereich, greife mir eine der dort versendeten MAC-Adressen ab, trage diese in mein Laptop ein und kann dann im Netzwerk machen was ich will?? :shock:
Ohne WLAN stöpsel ich mich an eine Netzwerkdose rippe eine MAC-Adresse und kann dann ebenfals alles Mögliche machen??
BITTE - das ist nicht dein Ernst!! :shock:

Wieso müssen wir das eigentlich diskutieren? Aber na gut, ein kurzer Abriss.
Jede Anschlussdose eines jeden Raums wird einem Port an einem Swich zugeordnet, dem wiederum eine erlaubte MAC hinterlegt wird. Aus diesen Switch-Ports werden dann grosse VLANS erstellt.
Stimmen MAC Einstellung der Dose und die des zugehörigen Ports am Switch nicht überein, wird keine Verbindung zum Netzwerk und somit auch keine Verbindung zum Internet hergestellt. Wer was im jeweiligen VLAN darf regeln wiederum die Firewalls der betreffenden VLans b.z.w die dortige Rechtevergabe durch LDAP o.Ä.

Es reicht also nicht eine MAC zu spoofen, man muss auch im richtigen Raum sein und sich dort an die richtige Dose patchen und von der Dose die MAC geklaut haben und selbst dann hat man maximal Internet-Zugang und kann seine Mails abholen. Das kann man leicher erreichen, indem man seine MAC einfach registrieren lässt und eine Dose zugewiesen bekommt. Das dauert maximal 1 Minute.
Jeder MAC-Adresse wird in einer Datenbank der Rechnername, Rechnerinformationen und der Inhaber zugeordnet. So kann ich Inhaber, Rechnername, Raumnummer und Anschlussdose über die MAC heraus finden. Wir reden hier übrigens von einigen hundert Rechnern, da würde ich gerene den Überblick behalten.

Zitat von "dr_mike"

Das ist natürlich vollkommener Unsinn. Explicit deine vorkonfigurierten Linux-Rechner mögen so eingerichtet sein, dass sie das nicht machen. Jedoch jede QNAP (Linux) und jedes andere Gerät, was über DHCP eine Adresse beziehen möchte unterstützt heutzutage Zeroconf von Haus aus. Im Übrigen ist auch die Annahme falsch, dass Zeroconf von Win kommt. Der Ursprung liegt soweit ich weiss bei Apple.

Die Annahme, dass die Meldung von einem Windows-Rechner kommt ist sicher nicht falsch, da keine Apple im betreffenden VLan im Einsatz sind und die Linuxrechner mit festen IP-Adressen arbeiten und entsprechend vorkonfiguriert sind. Wer Zerconf entwickelt hat ist mir dabei egal, Windows-Rechner die keine Verbindung zu DHCP finden war eine einfache Feststellung, keine Frage. Wer der Zeroconf Working Group angehört ist mir da vollkommen wurscht...

Interessant, wie schnell man als vollkommen unfähig hingestellt wird, wenn man die komplette Konfiguration seines Netzes nicht offen legt um eine MAC-Adresse ins Logging eines NAS eintragen zu lassen.

Zitat von "jody"

also bevor hier noch jemand aus dem Anzug springt, gieße ich mal etwas Öl ins Feuer:

1. Boardsuche nach "169.254." bringt alleine 181 Treffer, von denen wenigstens 10% einen Hinweis auf die Lösung geben.

Ich habe nun fast alle Suchergebnisse durchforstet, kann aber beim besten willen nichts finden, wie man die Mac ins logging bekommt. 10% Lösungsanteil sind echt hoch. :roll:

Zitat von "jody"

2. Wenn die ganzen Leser des Forums nicht schnell genug antworten, ist das eben so! Nachtreten bringt allenfalls unmut.

Da hst du leider etwas falsch verstanden.
Ich habe in keinster Weise Antwort verlangt oder wegen zu langsamen Antworten genörgelt. Nicht ich beklage mich über Tempo sondern der, der geantwortet hat.
Ich habe wohl als Fragesteller zu langsam reagiert, also nicht schnell genug den Erfolg meiner Installation verkündet und mich nicht oft genug bedankt (was ich übrigens vollkommen anders sehe).
Nochmal der Verlauf besagten Themas:

• Das Thema habe ich am Mi 5. Jun 2013, 11:59 eröffnet
• habe am gleichen Tag 16:40 Antwort erhalten
• mich am Do 6. Jun 2013, 13:36 für die Antwort gaaaaanz brav bedankt und kurz erwähnt, dass es kleiner Probleme mit dem Logfile gibt, händisch aber alles klappt
• am gleichen Tag einen Hinweis bekommen, absolute Pfade zu verwenden (Was leider nicht geholfen hat)
• Zufällige Lösung am 21.6 durch einen Kollegen

Bis zum 25.6. war ich nicht im Forum. Bis dahin war mir ein händischer Start genug, ich hatte wirklich anderes zu tun und fange mir eine, weil ich nicht von einem Erfolg berichtet habe.