Adress-Wizard

RzK-Logo Version 4.2 Pro  -   (C) 04/2005 RzK GmbH

Hauptstraße 49 * 53567 Asbach *Tel: 02683-940000 / Fax: 02683-4537

WWW: http://www.rzk.com email: info@rzk.com

Installation Lizenz Hauptmenü Permanenter Scan Mehrere IP-
Adress-Bereiche
Konfiguration
passiver Scan
Anzeige unbekannter
Adressen
Kontextmenü: Intrusion Prevention Port Scanner
Kommandozeilen
Parameter
NetBios NetBios
Konfiguration
SNMP VLANs Wake on LAN Oracle-Datenbank
Anbindung
Probleme Index

Grundsätzliches:

Der Adress-Wizard dient zur Identifizierung und Überwachung der im Netz aktiven Stationen. Sie erhalten eine Zuordnung zwischen MAC- und IP-Adressen sowie den Stationsnamen. Zudem werden Sie informiert, falls es doppelte IP-Adressen gibt, MAC-Adressen oder Namen sich geändert haben oder "fremde" Adressen in Ihrem Netz sind. Adresslisten können als Text-, HTML-, XML oder Excel Dateien gespeichert werden. Das Programm kann auch zur permanenten Kontrolle verwendet werden, wann welche Stationen im Netz erreichbar sind.

Optional kann der Adress-Wizard auch Informationen SNMP-fähiger Geräte anzeigen, Rechner per Wake on LAN ferngesteuert starten, Alarme per Email versenden oder an andere Programme zur Weiterverarbeitung weitergeben oder Eindringling im Netz aktiv stören (Intrusion Prevention).

Systemvoraussetzungen:

Der Adress-Wizard ist ein 32Bit Programm für Windows 9x, Windows NT, Windows 2000, Windows XP und Windows 2003 Server. Der Empfang der Daten erfolgt direkt über den NDIS Karten-Treiber. Voraussetzung für den Einsatz des Adress-Wizards ist das IP-Protokoll, da die Erfassung der Adressen über das Absuchen eines oder mehrerer IP-Adressbereiche erfolgt.


Lizensierung:

Um das Programm in vollem Umfang benutzen zu können, müssen Sie eine Lizenz bei RzK erworben haben. Beim Aufruf des Programms wird überprüft, ob ein Lizenzcode vorliegt (Datei ADRWIZ.SNP).

Die Verwendung der SNMP, Wake on LAN, Email-Alarmierung oder der Intrusion Prevention-Funktion des Adress-Wizards bedingen jeweils eine spezielle Lizenzerweiterung.

Sofern Sie eine Lizenz erworben haben, kann der Lizenzcode wiefolgt aktiviert werden:

  1. Wenn Sie die Lizenzdatei z.B. auf der Installationsdiskette haben, wählen Sie den Menüpunkt Lizenz - Neue Lizenz aus Datei.Wählen Sie das Verzeichnis mit der Lizenzdatei (ADRWIZ.SNP) im folgenden Dialog aus.
  2. Wenn Sie (z.B. via Email) eine Lizenz von uns erhalten haben, können Sie diese auch über den Menüpunkt Lizenz - Neue Lizenz über Zwischenablage aktivieren, indem Sie die Lizenz mit einem Texteditor zuvor in die Zwischenablage kopieren.
  3. Sie können die Lizenzdatei auch einfach vor dem Start des Adress-Wizards in das Programmverzeichnis kopieren.

Über die Lizenz wird festgelegt, wieviele Adressen das Programm erfassen und speichern kann. Der Upgrade auf eine höherwertige Lizenz ist jederzeit möglich.

Wenn keine Lizenz vorliegt, haben Sie zwei Möglichkeiten, wenn Sie den Suchvorgang starten:


Installation:

  1. Führen Sie das Setup-Programm von der Installationsdiskette aus.
  2. Die Treiberinstallation erfolgt automatisch. Ein Neustart des Rechners ist nicht erforderlich.
  3. Starten Sie den Adress-Wizard.
  4. Beim ersten Start wählen Sie die Netzwerkkarte (NDIS Interface) aus und überprüfen die IP-Einstellungen.
  5. Wenn Sie über eine Lizenz verfügen, muss diese zunächst aktiviert werden (siehe Lizenzaktivierung).

Deinstallation:

Schließen Sie den Adress-Wizard, falls er gerade läuft. Klicken Sie auf Start>Einstellungen>Systemsteuerung>Software Klicken Sie auf den Eintrag des Adress-Wizard doppelt und folgen Sie den Anweisungen auf dem Bildschirm. Einige Dateien werden nicht gelöscht. Dazu gehören normalerweise die Lizenzdatei (AdrWiz.snp) und die ini-Datei, die vom Programm erstellt wurde. Löschen Sie diese Dateien manuell wenn sie nicht mehr benötigen werden.


Hauptmenü:

Ablauf:

1. Auswahl der lokalen Netzwerkkarte und IP-Adresse:  (Details)

Obiges Konfigurationsfenster öffnet sich beim ersten Start des Programms automatisch. Falls Ihr Rechner über mehrere Netzwerkkarten verfügt, kontrollieren Sie zunächst, ob die korrekte Karte (NDIS Interface) ausgewählt ist. Als nächstes kontrollieren Sie die IP-Adresse, die der Wizard selbst als Absende-Adresse verwendet. Wenn Sie mehrere Netzwerkkarten installiert haben, kann die vorgeschlagene IP-Adresse ggf. nicht diejenige sein, die der ausgewählten Netzwerkkarte zugeordnet ist. In diesem Fall würden Sie beim Start die Windows-Meldung "IP-Adress-Konflikt" erhalten.

2. Auswahl: aktiver oder passiver Scan:

Entscheiden Sie, ob das Netz aktiv abgesucht werden soll, oder ob der Adresswizard nur "mithören" soll. Dies erfolgt über die Auswahlbox "Scanmode: Aktiv / nur mithören". Im ersten Fall wird an jede Adresse in den ausgewählten Adressbereichen eine Anfrage gesendet und nur Adressen erfasst, die in diesen Bereichen liegen. Im passiven Fall wird jedes Paket mitgelesen und alle Adressen aufgenommen, die UDP-, TCP-, ARP- oder ICMP-Ping gesendet haben. Wenn Sie das Netz nicht aktiv absuchen wollen, können Sie mit Schritt 6 fortfahren.

3. Angabe der Router Adresse und der Netzmaske: (nur erforderlich bei aktivem Scan oder SNMP Anfragen an Adressen außerhalb der Netzmaske)

Falls Sie Adressen außerhalb ihrer Netzmaske suchen wollen, benötigt der Adress-Wizard die IP-Adresse des Routers. Zur Unterscheidung von internen und externen Adressen ist die IP-Netzmaske erforderlich.

Adressen innerhalb der Netzmaske werden durch ARP abgefragt, Adressen außerhalb durch (ICMP-)Ping.

4. Legen Sie die abzusuchenden IP-Adressbereiche fest: (nur erforderlich bei aktivem Scan)

Durch Angabe der ersten und letzten zu suchenden IP-Adresse legen Sie fest, in welchem Adressbereich der Adress-Wizard nach aktiven Stationen suchen soll. Falls Sie mehr als einen Adressbereich absuchen wollen können Sie über den Knopf bis zu 15 voneinander unabhängige Bereiche definieren.

5. Legen Sie das Zeitintervall fest: (nur erforderlich bei aktivem Scan)

Hiermit wird bestimmt, wieviele Anfragen pro Sekunde abgesetzt werden. Voreinstellung: 100msec, d.h. 10 Anfragen pro Sekunde. Wenn auch Adressen erkannt werden sollen, die hinter einer langsameren Verbindung liegen, sollte das Intervall heraufgesetzt werden.

6. Starten Sie den Suchvorgang:

Natürlich mit dem Start-Knopf.
Adressen die auf ARP- bzw. PING-Anfragen antworten, erscheinen in der unten stehenden Liste. Bei Adressen innerhalb der Netzmaske erscheint neben der IP-Adresse auch die MAC-Adresse. Bei Adressen außerhalb nur die IP-Adresse (die MAC-Adresse ist immer die des Routers).

Im Status-Bereich oben wird angezeigt, welche Adresse aktuell gesucht wird (aktiver Scan), wieviele Pakete (getrennt nach ARP und Ping) gesendet wurden, wieviele Antworten eintrafen und wieviele unterschiedliche Adressen erkannt wurden.

Falls sich eine Adresse geändert hat, erfolgt ein Eintrag im Fehler-Log. Dies Log ist über den -Knopf, der in diesem Fall im Status-Bereich eingeblendet wird, anzeigbar. Wenn man nun das Log mittels dieses Knopfes öffnet, die Meldungen löscht und das Log-Fenster wieder schließt wird der Alarm-Knopf wieder ausgeblendet

Sie können den Suchvorgang jederzeit mit dem Stop-Knopf abbrechen. Ansonsten endet der Vorgang, wenn die End-Adresse des letzten abzusuchenden Bereichs erreicht ist. (Ausnahme: permanenter Scan - s.u.)

7. Ermitteln der Namen zu den gefundenen Adressen:

Über den Start-Knopf im Feld Namen ermitteln veranlassen Sie den Adress-Wizard dazu, via Winsock/DNS nach den Namen zu den gefundenen IP-Adressen zu suchen. Es werden nur die Adressen berücksichtigt, die in der Liste ausgewählt sind (Markierung: ). Die Auflösung erfolgt entweder über eine lokale HOSTS-Liste oder durch eine Anfrage an den Nameserver. Sie können angeben, wie lange die Auflösung eines einzelnen Names maximal dauern darf und Sie können den Vorgang mit dem daneben liegenden Stop-Knopf vorzeitig beenden. Das Programm schaut nicht selbst in die Hosts Datei sondern verwendet WinSock Aufrufe. Diese führen zu einem reverse DNS Aufruf, wenn kein Eintrag in der Windows Hosts Datei gefunden wird. Es wird also der in Windows selbst eingetragene DNS Server verwendet.
Gefundene Namen werden automatisch in der Liste eingetragen. Wenn sich Namen geändert haben, erfolgt ein Eintrag im Adress-Wizard-Fehler-Log. Dies Log ist über den -Knopf anzeigbar.

8. Auswahl der Adressen, die gespeichert werden sollen:

Innerhalb der Liste können Sie über die -Markierungen entscheiden, ob die betreffende Adresse in die zu speichernden Listen aufgenommen werden sollen. Wenn Sie mit Hilfe des Fertig-Knopfes den Adress-Wizard beendet haben, werden Sie gefragt, ob Sie die n markierten Adressen speichern wollen.

Mehrere Adressbereiche:

Falls Sie mehr als einen Adressbereich absuchen wollen können Sie über den Knopf bis zu 15 voneinander unabhängige Bereiche definieren.

Das Programm durchsucht nacheinander alle definierten Adressbereiche, sofern diese aktiviert sind (). Jeder Bereich wird durch Start- und End-Adresse festgelegt (nicht durch Netzmasken). Der "D" Knopf hinter dem ersten Adressbereich setzt diesen zurück auf das gesamte IP Subnetz der gewählten Netzwerkkarte.


Die Auswahl "ARP verwenden" bedeutet, dass Adressen in diesem Adressbereich zwingend via ARP angesprochen werden - auch dann, wenn die Adresse außerhalb des durch die eigene Adresse und IP-Netzmaske definierten Bereiches liegt. Der Router wird also in diesem Fall nicht verwendet.


Die Einstellung "Gerichteter ARP" betrifft nur Adressen, die im Netz des Adress-Wizard PCs liegen. Sie bedeutet: Wenn in einem vorhergegangenen Scanvorgang bereits die MAC-Adresse zu dieser Station gefunden wurde, wird fortan der ARP gezielt an diese MAC-Adresse gesendet und kein Broadcastpaket verwendet. Das heißt alle IP-Adressen dieses Bereiches die nicht über den Router angesprochen werden müssen und zu denen die MAC-Adressen bekannt sind, werden mit direkt an sie gerichteten ARP Paketen angesprochen. Diese Funktion spart Broadcastsendungen und mithin Bandbreite. Der Nachteil dieser Funktion besteht darin, dass eine Station bzw. IP-Adresse als offline markiert bleibt falls sich ihre MAC-Adresse ändert (z.B. weil die IP-Adresse abgelaufen und vom DHCP-Server einer anderen Station zugeteilt wurde).

Hinter jedem aktivierten Adressbereich wird angezeigt, wieviele Adressen darin enthalten sind und wie lange der Suchvorgang dauern wird.
Zusätzlich wird in der unteren Statuszeile angezeigt, wieviele Adressen insgesamt gesucht werden sollen und wie lange der gesamte aktive Suchvorgang dauern wird.

Einstellungen für den passiven Scanvorgang:

Über das Einstellungsmenü - "Konfiguration" -> "Konfiguration passiver Scanmode" können Sie das folgende Fenster öffnen:

Beim passiven Scan (nur mithören) können Sie entscheiden, ob

  1. alle gefundenen IP-Adressen,
  2. nur die IP-Adressen, die innerhalb der oben festgelegten Bereiche liegen oder
  3. nur die IP-Adressen, die nicht innerhalb der oben festgelegten Bereiche liegen

in die Liste der gefundenen Adressen aufgenommen werden sollen. Adressen außerhalb der Bereiche werden in der Tabelle rot markiert.

Zudem können Sie wählen, welche Protokolle berücksichtigt werden sollen:

Nur wenn der entsprechende "Haken" gesetzt ist, werden diese Protokolle berücksichtigt und die gefundenen Adressen in die Liste aufgenommen.

Desweiteren können Sie die Liste der gefundenen Adressen automatisch in definierten Zeitabständen speichern lassen, um immer eine aktuelle Liste z.B. für Ihr Intranet zu haben. Hierbei können Sie HTML oder XML Dateien verwenden. Dies bestimmen Sie indem Sie entweder über die Endung .HTM oder .XML verwenden. Eine genauere Beschreibung des HTML- und XML-Export Formats finden Sie unter "Export".

Adressbereiche und passives Scannen als Eindringlingsalarm

Die beiden Merkmale Adressbereiche und passiver Scanvorrgang können Sie benutzen, um Eindringlinge in Ihrem Netz aufzuspüren. Jede Adresse die außerhalb der definierten Adressbereiche liegt wird rot in der Tabelle markiert. Definieren Sie die Adressbereiche so, dass nur die Adressen Ihres Netzes umfasst werden, so sehen Sie sofort, wenn eine fremde IP-Adresse (=Eindringling) auftaucht.

Permanentes Absuchen des Netzes:

Sie können den Adresswizard so einstellen, dass er permanent das Netz aktiv in den angegebenen Adressbereichen absucht. Dies ist sinnvoll, um wirklich alle Adressen zu erfassen, aber auch, um den "Ausfall" von Adressen zu bemerken. Um das folgende Fenster für die Einstellungen des permanenten Absuchvorgangs zu öffnen, verwenden Sie bitte den Knopf oder den entsprechenden Eintrag im Konfigurationsmenü.

Sie können angeben, wie lange nach Beendigung eines aktiven Scans durch alle gewählten Adressbereiche gewartet werden soll, bevor der nächste Suchvorgang gestartet wird. Am Ende des Suchvorgangs (bevor die Wartezeit auf den nächsten beginnt) können an alle gefundenen Adressen SNMP- und Namens-Anfragen gestellt werden. Innerhalb dieser Wartezeit kann das passive Suchen verwendet werden um auch externe Adressen zu erfassen.

Sie können festlegen, welche Ereignisse im - Log protokolliert werden sollen:

Sie können auch einstellen, dass nach jedem Suchvorgang die gesamte Adressliste automatisch in einer HTML oder XML Datei (je nach Auswahl) gespeichert wird.

Zudem können Sie wählen, ob der Adresswizard eine Meldung in das -Log schreiben soll, wenn eine Station länger als n Sekunden nicht mehr geantwortet hat. Diese Zeit sollte natürlich länger sein als die Dauer eines kompletten Suchvorgangs plus der Wartezeit auf den nächsten.

Die Adresse der eigenen Station wird blau und die des Routers orange markiert.

Wenn der permanente Absuchvorgang aktiviert ist, kann man anhand der farblichen Markierung der Einträge in der Spalte, wo das letzte Auftreten der Adressen notiert wird, sehen ob eine Station aktuell erreichbar war bzw. wann sie zuletzt geantwortet hat. Eine genaue Dauer des Fehlens einer Station über das Zeitlimit hinaus erhalten Sie, wenn Sie den Mauszeiger über die Zeile der Station im Bereich letzte Anfrage bis letztes Auftreten bewegen.

Diese Farben können sie in dem Menü Permanentes aktives Absuchen über den Knopf "Farben auswählen" unten links verändern:

Wenn der permanente Suchvorgang deaktiviert ist, ändert der Knopf sein Aussehen in . Wenn der Vorgang aktiviert wurde und der Adresswizard auf den Start des nächsten Suchvorgangs wartet "dreht" sich dieser Knopf.

Kontextmenü:

Über die rechte Maustaste erreicht man innerhalb der Adresstabelle das folgende Kontextmenü:

Das Menü bezieht sich jeweils auf die Adresse und die Spalte über der der Mauszeiger steht.

Der obere Teil des Kontextmenü bezieht sich auf die aktuell ausgewählte Adresse (die auch darüber angezeigt wird).
Sie können direkt folgende Aktionen ausführen:

Die folgenden fünf Einträge dieses Menüs können Sie selbst festlegen, indem Sie den Eintrag "Einträge für dies Menü definieren" aufrufen:

Als Beispiele sind z.B. die Aufrufe für Telnet, FTP und Ripe WhoIs eingetragen.

Die Auswahlbox links legt fest, ob dieser Menüeintrag angezeigt werden soll. Rechts daneben steht der Menütext und ganz rechts das Kommando, welches aufgerufen werden soll. Dabei können Sie %I eingeben, um die aktuell gewählte IP-Adresse innerhalb des Kommandos zu verwenden. Entsprechendes gilt für die MAC-Adresse (%M), den DNS-Namen (%N), den NetBios Stationsnamen (%B), den NetBios Gruppennamen (%G) und den NetBios Benutzernamen (%U).

Falls ein Menübefehl mehrere Kommandos hintereinander ausführen soll, verwenden Sie bitte das | Zeichen zum Trennen der Befehle. Achtung: Bei Verwendung von mehreren Befehlen wartet der AdressWizard auf das Ende des vorherigen bevor das nächste gestartet wird!

Intrusion Prevention (NetARP)

Wenn die entsprechende Zusatzlizenz vorliegt kann der AdressWizard auch aktiv Adressen stören, die nicht in der Adressliste enthalten sind. Somit können Sie verhindern daß unerwünschte Stationen Ihr Netz nutzen.

Voraussetzung für den Einsatz dieser Funktion ist also, daß die Adressliste, die vom Programm bisher erstellt wurde komplett ist, d.h., daß es keine Adressen gibt, die das Netz nutzen dürfen aber noch nicht in der Liste sind. Kontrollieren Sie dies unbedingt, bevor Sie die Intrusion Prevention Funktion starten, da ansonsten diese Stationen gestört würden.

Um Adressen den Zugang zum IP-Netz zu verwehren verwendet AdressWizard das Programm NetARP. Dies beantwortet alle ARP Anfragen von Adressen die nicht in der Adressliste enthalten sind mit erfundenen MAC Adressen und verhindert somit die Kommunikation.

Die Port Scan Funktion

In der linken oberen Ecke befindet sich die Host-Liste. Diese enthält alle Hosts, auf denen bereits mindestens ein offener Port entdeckt wurde. Wurde einer dieser bekannten Hosts ausgewählt, wird automatisch der Scan-Vorgang gestartet, der jederzeit über den Stop-Button angehalten werden kann.

Zur Auswahl der zu scannenden Ports gibt es zwei Möglichkeiten :

  1. es kann in den beiden Eingabe-Feldern rechts oben der Start- und der End-Port angegeben werden. PortScan scannt nun alle Ports vom Start-Port an bis zum End-Port.
  2. es kann im Dateiauswahlfeld eine Liste mit bestimmten Ports angegeben werden. Die Beispiel-Datei "sample.qpl" liegt bereits bei. Es ist eine ASCII-Datei mit untereinander stehenden Zahlen. Diese versteht PortScan als TCP-Portnummern und scannt diese später. Zeilen, die keiner gültigen Zahl entsprechen, werden ignoriert.

Bei installiertem Anti Virus Programm mit Email-Schutz kann es unter Umständen dazu kommen, dass auf jedem gescannten Computer der Port 25 (SMTP) als offen angezeigt wird.

Beim Klick auf den Speichern-Button rechts neben dem Dateiauswahlfeld wird eine Liste mit allen momentan bekannten Ports gespeichert. Das hat zum Vorteil, das auch nur diese Anzahl an Ports beim nächsten Scan berücksichtigt wird.
Beim Klick auf den Speichern-Button unter der Host-Liste werden alle diese Einstellungen gespeichert.

Die Liste der verfügbaren Ports kann auch komplett abgespeichert werden, um den Zeitpunkt des ersten Auftretens und den Zeitpunkt des letzten Auftretens zu berücksichtigen. Hierzu dienen die Buttons "Portliste Laden" & "Portliste Speichern". Die Port-Liste wird dabei ebenfalls in einem eigenen ASCII-Format abgespeichert, die mit einem Text-Editor einsehbar ist.

Mit einem Klick auf "Aktualisieren" wird der Scan-Vorgang erneut gestartet. PortScan kann dies auch automatisch tun. Sobald die Option "Permanentes Port-Scannen aktivieren" gewählt ist, scannt PortScan automatisch in den darunter eingestellten Intervallen anhand der rechts oben angegebenen Ports.

Die komplette Darstellung der Tabelle lässt sich mit "Tabelle laden" & "Tabelle speichern" ebenfalls Laden resp. Speichern. Hier kann zwischen verschiedenen Formaten gewählt werden.

Ein Klick auf "Tabelle löschen" leert die Tabelle, während ein Klick auf "Optionen" Möglichkeiten zur individuellen Einstellung bietet.

Filter für die Anzeige der Adressen setzen:

Bei großen Adresslisten kann es sinnvoll sein mit Hilfe eines Filters sich nur ausgewählte Einträge anzeigen zu lassen. Dies ist über das Kontextmenü möglich, wenn der Suchvorgang nicht aktiv ist. Der Filter bezieht sich jeweils auf die Spalte über der das Kontextmenü geöffnet wurde.

Ein leerer Filter bringt alle Einträge zur Anzeige. Wenn der Suchvorgang wieder gestartet wird, wird der Filter automatisch deaktiviert.

Speichern und Einlesen von Adresslisten:

Sie können die Liste der gefundenen Adressen in einer Adresswizard-Datei oder einer SNMP-Adressen-Datei speichern. Die Auswahl des Dateiformats erfolgt im "Adressliste in Datei speichern"-Dialog. Dies ist z.B. dann sinnvoll, wenn Sie mehrere Adressbereiche absuchen wollen und den Prozess unterbrechen wollen, da er sehr zeitaufwendig ist. In der SNMP-Adressen-Datei werden nur die Adressen gespeichert, die auf die SNMP-Anfrage geantwortet haben.

Es werden nur diejenigen Adressen gespeichert, bei denen die Markierung (Haken) in der ersten Spalte gesetzt ist.

Beim Einlesen der Adressliste haben Sie auch die Möglichkeit, eine HOSTS-Liste von IP-Adressen zu importieren. Dies erfolgt über die Auswahl dieses Dateityps im "Adressliste aus Datei laden"-Dialog. Eine Datei zu importieren macht dann Sinn, wenn man sehen will, welche Adressen überhaupt im Netz sein sollten. Wenn man vor dem Scan Prozess eine aktuelle Host-Datei importiert und dann den aktiven Suchvorgang startet sieht man auch die Adressen, die momentan nicht im Netz sind. Wenn man den Scan startet ohne vorher eine Datei zu laden sieht man natürlich nur die Adressen die momentan erreichbar sind.

Exportieren von Adresslisten:

Über die Export-Funktion im Menü Datei haben Sie die Möglichkeit die Adressliste in verschiedenen Formaten zu speichern.
So können Sie die Adressliste auch in anderen Programmen einsetzen.

Es werden nur diejenigen Adressen exportiert, bei denen die Markierung (Haken) in der ersten Spalte gesetzt ist.

Folgende Exportformate werden unterstützt:

Umsortieren der Liste:

Neu gefundene Adressen werden immer am Ende der Liste eingefügt. Die Liste ist somit nicht unbedingt nach Adressen sortiert. Sie können die Liste umsortieren, indem Sie auf die entsprechende Spaltenüberschrift klicken.

Kommandozeilenparameter:

Der Adress-Wizard kennt folgende Schalter (Kommandozeilenparameter). Sie können entweder über die Eingabeaufforderung hinter den Aufruf der AdrWiz.exe geschrieben, oder in einer Verknüpfung gespeichert werden.

NetBios

Wenn auf Ihrem Rechner NetBios über TCP/IP aktiviert ist, ist der Address Wizard in der Lage, via Nbtstat Informationen zu sammeln und auszuwerten. Um die NetBios Informationen für die gefundenen Adressen zu ermitteln, klicken Sie auf -> "NetBios -> NetBios-Namen jetzt ermitteln".

NetBios Konfiguration:

Um in das NetBios Konfigurationsmenü zu gelangen, klicken Sie auf -> "NetBios -> Konfiguration"

Sie erreichen das Menü ebenfalls, wenn Sie im Fenster "Manuell einen Adressbereich nach NetBios-Namen durchsuchen" auf den Punkt Konfiguration klicken. Es öffnet sich in beiden Fällen folgendes Fenster:

NbtStat:

Hier können Sie Einstellungen für NbtStat vornehmen. Es gibt fünf vordefinierte Spracheinstellungen. Dazu gehören die Sprachen Deutsch, Englisch, Spanisch, Französisch und Schwedisch. Falls Ihre Sprache nicht dabei sein sollte, können Sie die in den Textfeldern angegebenen Muster - Bezeichnungen auch manuell ändern. Sehen Sie sich hierzu die Ausgabe von "nbtstat" an, indem Sie "nbtstat" in einem Kommandozeilenfenster aufrufen.

Ausgabe Format:

Durch das Setzen von Haken bestimmen Sie, welche Parameter in der Address Wizzard Liste angezeigt werden sollen. Zur Auswahl haben Sie folgende Spalten: "NetBios Name", "NetBios Username", NetBios Gruppenname" und "Erweiterte NetBios Informationen". Falls NetBios mehr als einen Stationsnamen, Benutzernamen oder Gruppennamen ermittelt, können Sie die Liste dieser Namen alphabetisch oder in der Reihenfolge des Auftretens sortieren lassen. Außerdem können Sie mit dem Feld "Nur den ersten Namen der Tabelle anzeigen" festlegen, ob alle gefundenen Namen angezeigt werden sollen oder nur der, der in der NbtStat Tabelle als erster auftritt.

Debug:

Im letzten Konfigurationsmenü können Sie festlegen, ob die Ausgabe von "nbtstat" in Dateien (eine pro IP-Adresse) gespeichert und im Verzeichnis "\NBTSTAT" abgelegt werden soll. Auszlig;erdem kann das Programm automatisch feststellen, ob Sie im Konfigurationsmenü "NbtStat" die falsche Sprache für Ihr System ausgewählt haben.

Manuell einen Adressbereich nach NetBios-Namen absuchen:

Um selber die zu durchsuchenden IP-Adressbereiche festzulegen, klicken Sie auf -> "NetBios -> Manuell einen Adressbereich nach NetBios Namen durchsuchen".

Wenn Sie diesen Menüpunkt selektieren, öffnet sich nachfolgendes Fenster:

Rechts neben dem Start -Knopf können Sie den zu durchsuchenden IP- Adressbereich festlegen. In diesem Beispiel wird der Bereich von 194.127.156.0 - 194.127.156.255 nach NetBios Informationen durchsucht. Nachdem Sie den Bereich festgelegt haben, können Sie die Suche mit einem Klick auf "Start" beginnen. Im unteren Teil des Fensters wird Ihnen die IP-Adresse, die MAC Adresse, der NetBios Name, die NetBios Gruppe sowie weitere abgefragte Informationen angezeigt. Die gefundenen Daten können Sie als CSV (Excel u.s.w.) oder HTML Datei speichern. Klicken Sie dazu auf den entsprechenden Knopf in der unteren rechten Ecke!

SNMP:

Wenn die entsprechende Zusatzlizenz vorliegt, kann der Adress-Wizard innerhalb des aktiven Scan-Vorgangs auch Informationen von SNMP-fähigen Geräten ermitteln.

Welche SNMP-Parameter automatisch erfragt werden sollen ist unter dem Menüpunkt SNMP -> SNMP Konfiguration festzulegen:

Bis zu 6 Variablen können abgefragt werden. Wenn ein SNMP-fähiges Geräte die Anfrage nicht bearbeiten konnte erfolgt ein Eintrag im -Log.

SNMP Anfragen können sowohl im aktiven Suchmodus als auch beim passiven Modus gestellt werden. Dies ist getrennt einstellbar, wobei für den passiven Mode das Zeitintervall anzugeben ist. Es werden Anfragen an alle gefundenen Stationen gestellt und die Antwortinformationen in der Adresstabelle angezeigt.

Um via SNMP Lesezugriff auf Ihre SNMP Agenten haben müssen Sie den korrekten Read Community String angeben. Die Standardeinstellung hierfür ist "public". Wenn Sie in Ihrem Netz unterschiedliche SNMP Read Community Strings verwenden, können Sie diese durch "," getrennt im Eingabefeld "Community Strings:" angeben. Der AdressWizard "lernt" die Zugriffswörter für jede Maschine und verwendet nur das gelernte Kennwort wenn "Immer die bereits gelernten CommunityStrings verwenden" gesetzt ist. Wenn Sie also einen Community Stringe auf einer Maschine ändern, müssen Sie diese Einstellung ausschalten, damit Sie von der betreffenden Maschine wieder SNMP Antworten erhalten.

Wenn eine der ausgewählten Variablen die SysUpTime ist, kann gewählt werden, ob eine Logmeldung erzeugt werden soll, wenn ein Reset des Gerätes anhand dieser Zeitangabe festgestellt wurde.

Wake on LAN:

Die Wake on LAN (WOL) Technik ermöglicht es, einen Rechner im lokalen Netzwerk von einem zweiten Rechner aus per (Broadcast-)Paket einzuschalten bzw. dessen Standby-Mode zu beenden.

Die Verwendung der Wake on LAN Funktion des Adress-Wizards bedingt eine spezielle Programmlizenz.

Wenn diese Lizenz vorliegt, können Sie einen Rechner "aufwecken", in dem Sie z.B. die entsprechende Zeile in der Adressliste auswählen und über die rechte Maustaste das Kontenxtmenü öffnen.
Alternativ: Hauptmenü: Wake on LAN Konfiguration:.

Um diese Funktion zu nutzen können Sie nach einem kompletten Netz-Scan die gefundenen Adressen in einer Datei speichern. Wollen Sie dann später einen dieser Rechner "aufwecken", starten Sie den Adress-Wizard, laden die Adressliste und senden das WOL-Paket an den entsprechenden PC. Sie können auch mit Hilfe des Kontextmenüs Adressen in die Liste für den WakeOnLAN Test übernehmen.

Über den Knopf Ping Test können Sie ein Programm starten, das dem Zielcomputer solange Ping-Pakete schickt, bis dieser antwortet, also verfügbar ist.
Der Knopf WakeOnLan-Paket senden und warte n sekunden vereint die beiden Funktionen, wobei n Sekunden lang versucht wird den Computer zu erreichen.

VLANs:

Der Adress-Wizard kann im passiven Scan-Modus dazu eingesetzt werden, VLANs zu erkennen. Vorraussetzung ist allerdings, dass die verwendete Netzwerkkarte den VLAN Header nicht aus dem Paket entfernt. Dies Verhalten zeigt. z.B. bei den Intel100pro Netzwerkkarte unabhängig davon ob bei der Karte das QoS Tagging (802.1Q) akiviert ist oder nicht.

Wenn der Adress-Wizard an einem Port eines Switches o.Ä. angeschlossen ist, an dem die Ethernet Pakete inkl. der VLAN-Information ausgegeben werden, kann er zu jeder IP-Adresse die verwendete VLAN-Nummer(n) in der Tabelle anzeigen.

Oracle Datenbankverbindung

Das als Option für den Adress-Wizard erhältliche Oracle Datenbankmodul ermöglicht es, eine spezielle Oracle Adressdatenbank über den Adress-Wizard zu aktualisieren.

Insbesondere wenn man den Adress-Wizard zur permanenten Kontrolle der Adressen im Netz einsetzt ist dies sinnvoll, da man so ständig über eine Oracle Datenbank verfügt, die z.B. zeigt, wann welche Adressen aktiv waren oder wann sich MAC-Adressen bzw. Hostnamen geändert haben.

Ablauf:

Der Adress-Wizard schreibt nach jedem Scan Listen von Adressinformationen, die sich seit dem letzten aktiven oder passiven Scan geändert haben.
Diese Informationen werden von einem zweiten Prozess, dem RzK Updater für die Oracle Adressdatenbank, gelesen und an die Datenbank übertragen.
Updateinformationen sind:

  1. MAC Adresse dieser Station,
  2. Hostname,
  3. Zeitpunkt des letzten Auftretens.

Beim ersten Aufruf des Konfigurations-Formulars für den Zugriff auf die Oracle Datenbank werden Sie gefragt, ob die für den Zugriff auf den Updateprozess notwendigen Registrierinformationen in die Windows Registry eingefügt werden sollen. Nachdem Sie diese Meldung bestätigt haben, können Sie im folgenden Menü alle Einstellungen vornehmen:

Sie können gesondert festlegen, ob bei aktiven Scans bzw. bei passiver Scans Listen mit aktualisierten Adressinformationen erstellt werden sollen. Beim passiven Scan können Sie zusätzlich angeben, in welchen Zeitintervallen die Ergebnisse des Scans an die Datenbank gemeldet werden

In dem Eingabefeld ist anzugeben, wo die Updateinformationen für die Datenbank gespeichert werden sollen. (Vorgabe: Unterverzeichnis des Programms \Oracle\DiffLists\

Im Bereich "Passiver Scan" können Sie festlegen, ob dabei nur die Adressen außerhalb der definierten Bereiche berücksichtiget werden sollen, oder alle. Der Schalter "Adressen aus Scanbereichen fremder AdressWizard Probes melden" hat direkten Einfluss auf den Report "Adressen aus falschen Segmenten".

Der Schalter "Automatisches Konfigurationsupdate nach jeden Scan" läßt diese Adresswizard-Probe nach jedem Scanvorgang überprüfen, ob über die Datenbank eine Konfigurationsänderung des Adresswizards gefordert wurde. D.h. der AdressWizard lässt sich so über die HTML Oberfläche der Datenbank-Administrierung konfigurieren.

Im Bereich "Schreibprozess für die Datenbank" geben Sie an zu welcher Datenbank der Update Prozess Verbindung aufnehmen soll. Erforderlich ist die IP-Adresse des Datenbank-Servers (oder 127.0.0.1 wenn die Datenbank auf der selben Maschine installiert ist), Datenbankname und SID sowie Name und Passwort eines Nutzers, der Zugriffsberechtigung auf die Datenbank hat.

Im Bereich "Webinterface für die RzK Oracle Datenbank" legen Sie die IP-Adresse des Webservers für das Datenbank-Webinterface fest. Die Knöpfe "Admin" und "Reports" bringen Sie direkt mit den entsprechenden Loginseiten des Webservers.

Die Portangabe ist bei Verwendung der Standardports optional.


Probleme:

Firewalls:

Falls der AdressWizard für ICMP Ping Anfragen (notwendig bei aktivem Scan von Adressen außerhalb des eigenen Netzes) oder NetBios Name Anfragen keine Antwort erhält, kann dies an einem aktivierten Firewall auf den remote Maschinen liegen.

Damit Stationen außerhalb des IP Subnetzes der AdressWizard Station gefunden werden, muss bei diesem im Firewall ICMP-Ping erlaubt sein.

Am Beispiel des Windows XP Firewalls ab ServicePack 2:  

Konfiguration -> Sicherheitscenter -> Firewall -> Registerkarte "Erweitert" -> ICMP -> "Eingehende Echoanforderung zulassen"

aktivieren. (Dies ist auch die Standardeinstellung)

Damit Stationen auf NetBios Name Anfragen vom AdressWizard antworten, muss bei diesen der Firewall für UPD Port 137 geöffnet sein. Dieser Port wird auch für die Datei- und Druckerfreigabe von Windows verwendet.

Um am Beispiel des Windows XP Firewalls auch Namen von Rechnern in anderen Netzen ermitteln zu können:

Konfiguration -> Sicherheitscenter -> Firewall -> Registerkarte "Ausnahmen" -> "Datei- und Druckfreigabe" auswählen -> Bearbeiten -> "UDP Port 137" auswählen -> Bereich ändern auf  "Alle Computer"

Die Standardeinstellung lässt nur Anfragen aus dem gleichen Netz den Firewall passieren.


NetControl:

Der Adress-Wizard Lite ist in seiner Grundfuktion auch Bestandteil von NetControl for Windows. Diese Software realisiert einen Fahrtenschreiber für Netzwerke, der die relevanten Netzwerk-Parameter permanent erfasst und überwacht.

NetControl liefert für das Netzwerkmanagement eine Informationsbasis von Langzeitstatistikdaten, wobei eine Unterteilung der Daten nach Jahren, Monaten, Tagen und Zeitintervallen vorgenommen wird. Neben den tagesorientierten Bewegungs- und Verbindungsdaten der Stationen werden stets auch Hitlisten erzeugt, aus denen das aktuelle Netzgeschehen abgelesen werden kann. Es ist direkt erkennbar, wer gerade wo im Netz mit welchen Protokollen aktiv wird. Alarme können mit externen Programmen z.B. über Email oder SMS weitergeleitet werden.

Die Software ist ideal für heterogene Netzwerke und lässt sich flexibel durch remote (Hardware- oder Software-) Statistik-Probes erweitern und damit der Größe des zu überwachenden Netzes anpassen. Auch der Einsatz in sehr großen Netzwerken ist möglich, da bis zu 50000 Stationsadressen kontrolliert und protokolliert werden können.

NetControl bildet somit die Zentrale für die Netzwerküberwachung. Die Software empfängt die Daten der im Netz verteilten Probes, wertet sie aus und generiert automatisch HTML-Seiten zur Darstellung der Daten. Diese Seiten können Sie sich dann mit einem Webbrowser (lokal) anschauen, oder mit einem Webserver auf Ihrem Inter-/Intranet veröffentlichen.


Begriffs-Erläuterungen:

MAC-Adresse:

MAC-Adressen (auch Hardware-Adressen genannt) sind 6 Byte (48 Bit) lange Adressen zur eindeutigen Identifizierung von Stationen im Ethernet. Die ersten drei Bytes der MAC-Adresse identifizieren den Hersteller des Ethernet Boards.

TCP/IP-Protokoll:

(Transmission Control Protocol und Internet Protocol).

TCP/IP ist eine Sammlung von Netzwerkprotokollen zur Realisierung der Kommunikation von Computer zu Computer. Es ist ganz wichtig zu verstehen, dass TCP/IP kein Produkt oder Programm ist. TCP/IP ist lediglich eine Sammlung von Vorschriften für den Aufbau von Datenpaketen und deren Weiterleitung. Niedergelegt sind diese Vereinbarungen in den Requests for Comments (RFC). TCP/IP bietet die Unabhängigkeit der Applikation von der darunterliegenden Netzwerkebene.

TCP ist ein Protokoll zur Steuerung der Übertragung von Datenpaketen. Es handelt sich um ein verbindungsorientiertes Bytestream-Protokoll. Die darunterliegende IP-Schicht sorgt für die Vermittlung der Datenpakete an den richtigen Empfänger.

IP-Adresse:

Jeder Rechner in einem TCP/IP Netz wird durch eine netzweit eindeutige, 32 Bit große IP-Adresse identifiziert. Der besseren Lesbarkeit halber wird die IP-Adresse als vier durch Punkte abgetrennte einzelne Byte, d.h. Zahlen zwischen 0 und 255, dargestellt.

Jede IP-Adresse setzt sich aus einem Netzwerkanteil (Netzwerkadresse) und einem Hostanteil (Hostadresse) zusammen.

Durch die Netzwerkadresse kann ein gesamtes Subnetz angesprochen werden. Die Netzwerkadresse besteht aus dem ersten Teil der IP-Adresse. Die Hostadresse aus dem zweiten Teil.

Die Verwaltung der IP-Adressen erfolgt durch das Network Information Center. Die IP-Adressen werden nicht einzeln, sondern in Blöcken, sog. Subnetzen zugewiesen.

Router:

Um Rechner erreichen zu können, die zu einem anderen Netzwerk gehören, sind Router (Gateways) nötig, die die Pakete in ein anderes Netz weiterleiten.

Routing-Tabelle:
Jeder Rechner eines Netzwerks besitzt eine Routing-Tabelle. Sie kann mit den Befehlen netstat -nr bzw. route angezeigt werden.

Bsp.:
Destination Gateway
127.0.0.1 127.0.0.1
194.127.157.0 194.127.156.1

Die erste Zeile verweist auf den loopback-device. Die zweite Zeile bedeutet, dass alle Pakete, die für das Netz 194.127.157.0 an die IP-Adresse 194.127.156.1 geschickt werden.

Diese ist die IP-Adresse des Rechners selbst. In diesem einfachen Fall ist dieses Netz mit keinem anderen verbunden. Der Host kann mit dieser Konfiguration nur Rechner erreichen, die in dem selben Netz liegen.

Gibt es nur einen Router im Netz (Default-Gateway) werden alle Anfragen an nicht direkt erreichbare Adressen zu diesem Router geschickt.

Netzmaske:

Um IP-Adressbereiche zu unterteilen, verwendet man Subnetzmasken. Eine Subnetzmaske trennt eine IP-Adresse in den Netzteil und den Hostteil.

Es gibt 3 Standard-Subnetzmasken: 255.0.0.0, 255.255.0.0 und 255.255.255.0

Die Stelle(n) an der 255 steht gibt den Netzwerkteil an:

Bsp.:
IP-Adr. 20.5.5.4
Subnetzmaske: 255.0.0.0
=> Netzwerk: 20.0.0.0
=> Host: 5.5.4

Mit der Subnetz-Maske 255.255.255.0 lässt sich ein B-Netz in 256 Netzwerke mit je 256 Adressen unterteilen.

Bsp 1: B-Klasse-Bereich 172.200.x.x, Subnetzmaske: 255.255.255.0. Alle Rechner, die an der Stelle des dritten Bytes die selbe Nummer haben, gehören zu einem Netzwerk . => 172.200.0-255.x (jede Zahl zwischen 0 und 255 bestimmt ein Netz)

Bsp 2: Subnetzmaske 255.255.240.0 => 16 Netze mit über 4000 Host-Adressen:
Netzwerknummer 172.16.0.0 (1.Adresse des Bereiches) Hosts: 172.16.0-15.1-254
 Netzwerknummer 172.16.16.0 (1.Adresse des Bereiches) Hosts: 172.16.16-31.1-254 usw...

Ein C-Klasse-Netz lässt sich mit den Standard-Subnetzmasken nicht mehr unterteilen. Hier wird das 4. Byte der Standard-Subnetzmaske 255.255.255.0 von links nach rechts mit 1en aufgefüllt.

Bsp.: 255.255.255.128 (10000000) unterteilt ein C-Klasse-Netz 192.168.10.x in 2 Bereiche: 192.168.10.0-127 und 192.168.10.128-255. Es sind so 2 Netzwerke entstanden, wobei 2 Nummern nicht für den Hostanteil verwendet werden können, da sie die Netzwerkadresse und die Broadcastadresse bezeichnen. Es sind dies jeweils die niedrigste und die höchste Nummer des Netzes.

Bsp. von oben:

192.168.10.0-127 => 192.168.10.0 Netzwerk-Adresse => 192.168.10.127 Broadcast-Adresse
192.168.10.128-255 => 192.168.10.128 Netzwerk-Adresse => 192.168.10.255 Broadcast-Adresse

ARP:

ARP dient zur Ermittlung von MAC-Adressen zu IP-Adressen. Soll ein Paket geschickt werden, von dessen Empfänger nur die IP-Adresse, aber nicht die MAC-Adresse bekannt ist, dann ermittelt das ARP-Protokoll mittels eines Rundrufs (Broadcast), welcher Station die entsprechende IP-Adresse gehört.

ICMP (PING):

ICMP (Internet Control Message Protocol) gehört zur TCP/IP Protokollfamilie. Während IP zum Datentransport dient, werden mit Hilfe von ICMP Fehler- und Informationsmeldungen ausgetauscht.

Eine Funktion von ICMP ist der Ping-Echotest. Hierbei wird das gesendete ICMP-Ping Paket vom Empfänger an den Sender zurückgeschickt.

Broadcasts:

MAC-Broadcast-Pakete sind nicht an eine bestimmte sondern an alle Stationen am Netz gerichtet. (Engl. für "Rundruf"). Die MAC-Zieladresse eines Broadcast-Paketes ist immer FF-FF-FF-FF-FF-FF (hex.).

IP-Broadcasts sind an ein ganzes IPSubnetz gerichtet. Die Definition von IP-Broadcasts ist abhängig von den im Netz verwendeten Adressen und der Netzmaske. Am allgemeingültigsten ist die IP-Adresse 255.255.255.255.

Broadcasts auf einem Netz können störend sein, wenn sie in Massen auftreten, da Broadcasts von allen Stationen empfangen und verarbeitet werden müssen (auch wenn das Ergebnis der Verarbeitung zum Wegwerfen der Nachricht führt). Es ist daher wichtig, dass man massive Broadcast-Sender abzustellen kann.


Das Programm verwendet das WinPCap interface, Copyright (c) 1999 - 2004 NetGroup, Politecnico di Torino (Italy).

WinPCap Copyright Notitz:

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.


Index


Adressbereiche
ARP
Bekannte Probleme:
Broadcasts
Eindringlingsalarm
Exportieren von Adresslisten
Export als HTML und XML
ICMP (PING)
Filter für die Anzeige der Adressen
Firewalls (XP Servicepack 2)
Hauptmenü
Installation
Intrusion Prevention
Kommandozeilenparameter
Kontextmenü
Lizensierung
Lizenzaktivierung
Netzmaske (Subnetmask)
Netzwerkkarte / Netzwerkinterface
Oracle Datenbankanbindung
Passiver Scanvorgang
Permanentes Absuchen des Netzes
Port Scanner
Router
SNMP
TCP/IP-Protokoll
VLANs