Monitorare l'attività ARP con Arpwatch: differenze tra le versioni

aggiunto /etc/default/arpwatch e verificata
(Aggiunto template autori)
(aggiunto /etc/default/arpwatch e verificata)
Riga 1: Riga 1:
{{Versioni compatibili|}}
{{Versioni compatibili}}
__TOC__
__TOC__
==Monitorare l'attività di una rete LAN con Arpwatch: introduzione==
==Monitorare l'attività di una rete LAN con Arpwatch: introduzione==
Riga 27: Riga 27:
eth0 -a -n 192.168.0.0/24 -m amministratore@dominio.local
eth0 -a -n 192.168.0.0/24 -m amministratore@dominio.local
</pre>
</pre>
Per funzionare, Arpwatch richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim).
In questo esempio si specifica di controllare la rete LAN 192.168.0.0/24, inviando mail all'indirizzo indicato per notifica, e includendo anche pacchetti ''bogon'', ossia con indirizzi IP sorgente fasulli (opzione <code>-a</code>) perché esterni alla LAN.
 
Il comportamento di default, in assenza di personalizzazioni in questo file (che inizialmente è interamente commentato), è di inviare una mail a root (localmente) e aggiornare i log del sistema per ogni inizializzazione e cambiamento apportato agli indirizzi MAC della rete, ignorando quelli relativi a pacchetti ''bogon'' (opzione <code>-N</code>) e senza utilizzare una modalità promiscua (opzione <code>-p</code>), ossia intercettando soltanto i pacchetti broadcast o comunque indirizzati all'host. Per modificare il solo default, basta modificare <code>'''/etc/default/arpwatch'''</code>:
<pre>
# Global options for arpwatch(8).
 
# Debian: don't report bogons, don't use PROMISC.
ARGS="-N -p"
 
# Debian: run as `arpwatch' user.  Empty this to run as root.
RUNAS="arpwatch"
</pre>
Per motivi di sicurezza il demone <code>arpwatch</code> è eseguito come utente non privilegiato, con il nome utente definito dalla variabile <code>RUNAS</code>.
 
Possibili variazioni:
* controllare tutti i pacchetti, anche relativi a ''bogon'', indicando <code>-a</code> anziché <code>-N</code> (generalmente sono filtrati);
* modalità promiscua, rimuovendo l'opzione <code>-p</code>. Ha senso in particolare se l'host non deve soltanto proteggere la propria tabella di routing, ma monitorare tutte le variazioni nella LAN, in modo da proteggere anche gli altri host collegati;
* non inviare mail, aggiungendo l'opzione <code>-Q</code> tutti i cambiamenti saranno registrati soltanto nei log;
* ignorare un range di indirizzi IP (per esempio per non registrare DHCP, in caso si registrino anche i ''bogon'') con l'opzione <code>-z</code>.
 
Per funzionare, <code>arpwatch</code> richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim).
 
==Esempio di email di alert==
==Esempio di email di alert==
Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN.
Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN.
Riga 46: Riga 67:
previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100  
previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100  
</pre>
</pre>
==Manuale==
<code>man arpwatch</code>


{{Autori
{{Autori
|Autore = [[Utente:Ferdybassi|Ferdybassi]]
|Autore= [[Utente:Ferdybassi|Ferdybassi]]
|Estesa_da=
:[[Utente:HAL 9000|HAL 9000]]
|Verificata_da=
:[[Utente:HAL 9000|HAL 9000]] 11:40, 17 mag 2015 (CEST)
|Numero_revisori=1
}}
}}


3 581

contributi