Monitorare l'attività ARP con Arpwatch: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
(Nuova pagina: ==Monitorare l'attività di una rete LAN con Arpwatch== ===Introduzione=== Arpwatch è un ottimo strumento per sistemi Unix-like che tiene monitorata tutta l'attività ARP di una rete ...)
 
Riga 26: Riga 26:
</pre>
</pre>
Per funzionare, Arpwatch richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim)
Per funzionare, Arpwatch richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim)
<br/>
<br/>
Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN.
<pre>
From: "Arpwatch" <arpwatch@dominio.local>
To: <ferdy@dominio.local>
Sent: Tuesday, February 26, 2008 4:13 PM
Subject: flip flop (preview) eth0
hostname: vm-debian
ip address: 192.168.0.42
interface: eth0
ethernet address: 0:40:f4:b1:a5:88
ethernet vendor: Cameo Communications, Inc.
old ethernet address: 0:c:29:47:3f:f7
old ethernet vendor: Vmware Inc.
timestamp: Tuesday, August 27, 2008 19:21:01 +0100
previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100
</pre>
<br/>
<br/>
<br/>
<br/>
: [[Utente:Ferdybassi|Ferdybassi]]
: [[Utente:Ferdybassi|Ferdybassi]]

Versione delle 20:32, 25 set 2008

Monitorare l'attività di una rete LAN con Arpwatch

Introduzione

Arpwatch è un ottimo strumento per sistemi Unix-like che tiene monitorata tutta l'attività ARP di una rete LAN Ethernet IPv4, intercettando ogni pacchetto di broadcast ARP che giunge sull'interfaccia di rete configurata. Appena avviato, Arpwatch genera un log contenente tutte le coppie Indirizzo IP / Indirizzo MAC associate ai PC della LAN, correlandole a un timestamp che indica quando la coppia monitorata è stata rilevata nella rete LAN.
Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del mac address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di arp poisoning, tipiche di sniffer per ambienti switchati come ettercap) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.
Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria libpcap.

Installazione e configurazione

Per installare Arpwatch basta usare apt:

# apt-get install arpwatch

La configurazione è contenuta nel file /etc/arpwatch.conf:

# /etc/arpwatch.conf: Debian-specific way to watch 
# multiple interfaces. 
# Format of this configuration file is: 
# 
#<dev1>   <arpwatch options for dev1> 
#<dev2>   <arpwatch options for dev2> 
#... 
#<devN>   <arpwatch options for devN> 
# 
# You can set global options for all interfaces by editing 
# /etc/default/arpwatch 

eth0 -a -n 192.168.0.0/24 -m amministratore@dominio.local

Per funzionare, Arpwatch richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim)

Mail con oggetto "FLIP FLOP" o "Change ethernet address", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN.

From: "Arpwatch" <arpwatch@dominio.local> 
To: <ferdy@dominio.local> 
Sent: Tuesday, February 26, 2008 4:13 PM 
Subject: flip flop (preview) eth0 

hostname: vm-debian 
ip address: 192.168.0.42 
interface: eth0 
ethernet address: 0:40:f4:b1:a5:88 
ethernet vendor: Cameo Communications, Inc. 
old ethernet address: 0:c:29:47:3f:f7 
old ethernet vendor: Vmware Inc. 
timestamp: Tuesday, August 27, 2008 19:21:01 +0100 
previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100 



Ferdybassi