3 581
contributi
Monitorare l'attività ARP con Arpwatch: differenze tra le versioni
Monitorare l'attività ARP con Arpwatch (visualizza wikitesto)
Versione delle 07:49, 28 lug 2019
, 28 lug 2019verificata per Stretch e Buster
Nessun oggetto della modifica |
m (verificata per Stretch e Buster) |
||
| (4 versioni intermedie di 2 utenti non mostrate) | |||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili|}} | {{Versioni compatibili|Jessie|Stretch|Buster}} | ||
__TOC__ | __TOC__ | ||
==Monitorare l'attività di una rete LAN con Arpwatch: introduzione== | ==Monitorare l'attività di una rete LAN con Arpwatch: introduzione== | ||
| Riga 5: | Riga 5: | ||
Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del MAC address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di ARP poisoning, tipiche di sniffer per ambienti switchati come <code>ettercap</code>) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.<br/> | Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del MAC address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di ARP poisoning, tipiche di sniffer per ambienti switchati come <code>ettercap</code>) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.<br/> | ||
Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria <code>libpcap</code>. | Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria <code>libpcap</code>. | ||
==Installazione== | ==Installazione== | ||
Per installare | Per installare <code>arpwatch</code> basta installare l'omonimo pacchetto. Per esempio con [[privilegi di amministrazione]]: | ||
<pre> | <pre> | ||
# apt | # apt install arpwatch | ||
</pre> | </pre> | ||
==Configurazione== | ==Configurazione== | ||
La configurazione è contenuta nel file <code>'''/etc/arpwatch.conf'''</code>: | La configurazione è contenuta nel file <code>'''/etc/arpwatch.conf'''</code>: | ||
| Riga 27: | Riga 29: | ||
eth0 -a -n 192.168.0.0/24 -m amministratore@dominio.local | eth0 -a -n 192.168.0.0/24 -m amministratore@dominio.local | ||
</pre> | </pre> | ||
Per funzionare, | In questo esempio si specifica di controllare la rete LAN 192.168.0.0/24, inviando mail all'indirizzo indicato per notifica, e includendo anche pacchetti ''bogon'', ossia con indirizzi IP sorgente fasulli (opzione <code>-a</code>) perché esterni alla LAN. | ||
Il comportamento di default, in assenza di personalizzazioni in questo file (che inizialmente è interamente commentato), è di inviare una mail a root (localmente) e aggiornare i log del sistema per ogni inizializzazione e cambiamento apportato agli indirizzi MAC della rete, ignorando quelli relativi a pacchetti ''bogon'' (opzione <code>-N</code>) e senza utilizzare una modalità promiscua (opzione <code>-p</code>), ossia intercettando soltanto i pacchetti broadcast o comunque indirizzati all'host. Per modificare il solo default, basta modificare <code>'''/etc/default/arpwatch'''</code>: | |||
<pre> | |||
# Global options for arpwatch(8). | |||
# Debian: don't report bogons, don't use PROMISC. | |||
ARGS="-N -p" | |||
# Debian: run as `arpwatch' user. Empty this to run as root. | |||
RUNAS="arpwatch" | |||
</pre> | |||
Per motivi di sicurezza il demone <code>arpwatch</code> è eseguito come utente non privilegiato, con il nome utente definito dalla variabile <code>RUNAS</code>. | |||
Possibili variazioni: | |||
* controllare tutti i pacchetti, anche relativi a ''bogon'', indicando <code>-a</code> anziché <code>-N</code> (generalmente sono filtrati); | |||
* modalità promiscua, rimuovendo l'opzione <code>-p</code>. Ha senso in particolare se l'host non deve soltanto proteggere la propria tabella di routing, ma monitorare tutte le variazioni nella LAN, in modo da proteggere anche gli altri host collegati; | |||
* non inviare mail, aggiungendo l'opzione <code>-Q</code> tutti i cambiamenti saranno registrati soltanto nei log; | |||
* ignorare un range di indirizzi IP (per esempio per non registrare DHCP, in caso si registrino anche i ''bogon'') con l'opzione <code>-z</code>. | |||
Per funzionare, <code>arpwatch</code> richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim). | |||
==Esempio di email di alert== | ==Esempio di email di alert== | ||
Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN. | Mail con oggetto "'''FLIP FLOP'''" o "'''Change ethernet address'''", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN. | ||
| Riga 46: | Riga 69: | ||
previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100 | previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100 | ||
</pre> | </pre> | ||
< | |||
< | ==Manuale== | ||
<code>man arpwatch</code> | |||
{{Autori | |||
|Autore= [[Utente:Ferdybassi|Ferdybassi]] | |||
|Estesa_da= | |||
:[[Utente:HAL 9000|HAL 9000]] | |||
|Verificata_da= | |||
:[[Utente:HAL 9000|HAL 9000]] 09:49, 28 lug 2019 (CEST) | |||
|Numero_revisori=1 | |||
}} | |||
---- | ---- | ||
[[Categoria:Configurazione ethernet]] | [[Categoria:Configurazione ethernet]] | ||
[[Categoria:Monitoraggio]] | [[Categoria:Monitoraggio]] | ||