4 069
contributi
Monitorare l'attività ARP con Arpwatch: differenze tra le versioni
Monitorare l'attività ARP con Arpwatch (visualizza wikitesto)
Versione delle 18:40, 9 gen 2010
, 9 gen 2010nessun oggetto della modifica
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
| Riga 5: | Riga 5: | ||
Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del mac address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di arp poisoning, tipiche di sniffer per ambienti switchati come ettercap) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.<br/> | Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del mac address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di arp poisoning, tipiche di sniffer per ambienti switchati come ettercap) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.<br/> | ||
Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria libpcap. | Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria libpcap. | ||
=Installazione | =Installazione= | ||
Per installare Arpwatch basta usare apt: | Per installare Arpwatch basta usare apt: | ||
<pre> | <pre> | ||
# apt-get install arpwatch | # apt-get install arpwatch | ||
</pre> | </pre> | ||
=Configurazione= | |||
La configurazione è contenuta nel file <tt>'''/etc/arpwatch.conf'''</tt>: | La configurazione è contenuta nel file <tt>'''/etc/arpwatch.conf'''</tt>: | ||
<pre> | <pre> | ||
| Riga 27: | Riga 28: | ||
</pre> | </pre> | ||
Per funzionare, Arpwatch richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim) | Per funzionare, Arpwatch richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim) | ||
=Esempio di email di alert= | |||
Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN. | Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN. | ||
<pre> | <pre> | ||