Deathcore
Lieutenant
- Registriert
- Apr. 2009
- Beiträge
- 712
Hallo liebe CBler,
ich habe hier bei uns im Firmennetz einige sagen wir mal "unschärfen".
Das Netz besteht aus ca. 500 Clients.
Das Netz hat nur so vor Broadcasts getrieft
Ich habe schon etwas Analyse betrieben und folgende Dinge getan:
Es gibt dennoch noch extrem viele ARP-Anfragen im Netz. Ich habe etwas im Technet geschaut und gefunden das die ARP-Cache Timeouts verändert wurden.
Und zwar auf einen Wert zwischen 10-45 Sekunden.
Ich finde diesen Wert für ein Netz was so statisch ist wie unser sehr niedrig.
Eine MAC/IP Zuordnung ändert sich nur falls ein Client ausgetauscht wird.
Ich habe per Befehl:
den Timeout auf 10 Minuten gestellt.[Bleibt das beim Reboot erhalten?]
Das ganze wollte ich gerne per GPO ausbringen, aber bevor ich noch etwas kaputt fahre würde ich gern wissen ob ich vllt etwas übersehen habe?
Mir würde nur ein Problemfall in den Sinn kommen:
Gerät wird getauscht. Anderer Client hat noch die Zuordnung gecacht und will genau im Zeitfenster noch eine Verbindung aufbauen[Falls der Austausch nicht länger als 10 Minuten dauert] Dann würde das ganze ja nicht klappen.
Nochmal zu NetBios over TCP/IP
Das Netbios veraltet ist und nicht mehr genutzt werden sollte versteht sich von selbst. Auch das die Namensauflösung über Broadcasts passiert ist mir klar.
Wie Angriffe über Netbios funktionieren habe ich mir noch nicht angeschaut. [Denke aber mal die Broadcasts spielen den entscheidenen Faktor]
Was ich für viel interessanter halte ist wo es noch gebraucht wird?
Ältere Clients brauchen es z.B. für SMB. klar
Aber gibt es auch noch aktuelle Anwendungen die nicht Socket nutzen??
Was würde gegen die Abschaltung von Netbios auf aktuellen Clients sprechen?
Danke!
LG
ich habe hier bei uns im Firmennetz einige sagen wir mal "unschärfen".
Das Netz besteht aus ca. 500 Clients.
Das Netz hat nur so vor Broadcasts getrieft
Ich habe schon etwas Analyse betrieben und folgende Dinge getan:
- IPX (Netware) bei Druckern abgestellt
- Appletalk bei Druckern abgestellt.
- NetBios wird noch auf allen modernen Clients abgeschaltet (dazu unten mehr)
Es gibt dennoch noch extrem viele ARP-Anfragen im Netz. Ich habe etwas im Technet geschaut und gefunden das die ARP-Cache Timeouts verändert wurden.
Und zwar auf einen Wert zwischen 10-45 Sekunden.
Ich finde diesen Wert für ein Netz was so statisch ist wie unser sehr niedrig.
Eine MAC/IP Zuordnung ändert sich nur falls ein Client ausgetauscht wird.
Ich habe per Befehl:
Code:
arp timeout 600 secondsDas ganze wollte ich gerne per GPO ausbringen, aber bevor ich noch etwas kaputt fahre würde ich gern wissen ob ich vllt etwas übersehen habe?
Mir würde nur ein Problemfall in den Sinn kommen:
Gerät wird getauscht. Anderer Client hat noch die Zuordnung gecacht und will genau im Zeitfenster noch eine Verbindung aufbauen[Falls der Austausch nicht länger als 10 Minuten dauert] Dann würde das ganze ja nicht klappen.
Nochmal zu NetBios over TCP/IP
Das Netbios veraltet ist und nicht mehr genutzt werden sollte versteht sich von selbst. Auch das die Namensauflösung über Broadcasts passiert ist mir klar.
Wie Angriffe über Netbios funktionieren habe ich mir noch nicht angeschaut. [Denke aber mal die Broadcasts spielen den entscheidenen Faktor]
Was ich für viel interessanter halte ist wo es noch gebraucht wird?
Ältere Clients brauchen es z.B. für SMB. klar
Aber gibt es auch noch aktuelle Anwendungen die nicht Socket nutzen??
Was würde gegen die Abschaltung von Netbios auf aktuellen Clients sprechen?
Danke!
LG