Monitorare l'attività ARP con Arpwatch: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
(Aggiunto template autori) |
(aggiunto /etc/default/arpwatch e verificata) |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili | {{Versioni compatibili}} | ||
__TOC__ | __TOC__ | ||
==Monitorare l'attività di una rete LAN con Arpwatch: introduzione== | ==Monitorare l'attività di una rete LAN con Arpwatch: introduzione== | ||
| Riga 27: | Riga 27: | ||
eth0 -a -n 192.168.0.0/24 -m amministratore@dominio.local | eth0 -a -n 192.168.0.0/24 -m amministratore@dominio.local | ||
</pre> | </pre> | ||
Per funzionare, | In questo esempio si specifica di controllare la rete LAN 192.168.0.0/24, inviando mail all'indirizzo indicato per notifica, e includendo anche pacchetti ''bogon'', ossia con indirizzi IP sorgente fasulli (opzione <code>-a</code>) perché esterni alla LAN. | ||
Il comportamento di default, in assenza di personalizzazioni in questo file (che inizialmente è interamente commentato), è di inviare una mail a root (localmente) e aggiornare i log del sistema per ogni inizializzazione e cambiamento apportato agli indirizzi MAC della rete, ignorando quelli relativi a pacchetti ''bogon'' (opzione <code>-N</code>) e senza utilizzare una modalità promiscua (opzione <code>-p</code>), ossia intercettando soltanto i pacchetti broadcast o comunque indirizzati all'host. Per modificare il solo default, basta modificare <code>'''/etc/default/arpwatch'''</code>: | |||
<pre> | |||
# Global options for arpwatch(8). | |||
# Debian: don't report bogons, don't use PROMISC. | |||
ARGS="-N -p" | |||
# Debian: run as `arpwatch' user. Empty this to run as root. | |||
RUNAS="arpwatch" | |||
</pre> | |||
Per motivi di sicurezza il demone <code>arpwatch</code> è eseguito come utente non privilegiato, con il nome utente definito dalla variabile <code>RUNAS</code>. | |||
Possibili variazioni: | |||
* controllare tutti i pacchetti, anche relativi a ''bogon'', indicando <code>-a</code> anziché <code>-N</code> (generalmente sono filtrati); | |||
* modalità promiscua, rimuovendo l'opzione <code>-p</code>. Ha senso in particolare se l'host non deve soltanto proteggere la propria tabella di routing, ma monitorare tutte le variazioni nella LAN, in modo da proteggere anche gli altri host collegati; | |||
* non inviare mail, aggiungendo l'opzione <code>-Q</code> tutti i cambiamenti saranno registrati soltanto nei log; | |||
* ignorare un range di indirizzi IP (per esempio per non registrare DHCP, in caso si registrino anche i ''bogon'') con l'opzione <code>-z</code>. | |||
Per funzionare, <code>arpwatch</code> richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim). | |||
==Esempio di email di alert== | ==Esempio di email di alert== | ||
Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN. | Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN. | ||
| Riga 46: | Riga 67: | ||
previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100 | previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100 | ||
</pre> | </pre> | ||
==Manuale== | |||
<code>man arpwatch</code> | |||
{{Autori | {{Autori | ||
|Autore = [[Utente:Ferdybassi|Ferdybassi]] | |Autore= [[Utente:Ferdybassi|Ferdybassi]] | ||
|Estesa_da= | |||
:[[Utente:HAL 9000|HAL 9000]] | |||
|Verificata_da= | |||
:[[Utente:HAL 9000|HAL 9000]] 11:40, 17 mag 2015 (CEST) | |||
|Numero_revisori=1 | |||
}} | }} | ||