Détection d'ip non déclarée dans un Vlan particulier

Pause Café
#1

Hello,

Je réfléchis à une solution pour mettre en place une sorte de monitoring de ce qui se passe sur le vlan de management de ma boîte.

En clair : sur ce vlan, il y a tous mes routeurs et tous mes switchs, si quelqu’un venait à placer un switch derrière un trunk, la compromission de notre réseau serait évidente.

Ma question est la suivante : par quel dispositif je peux savoir, sur un vlan particulier, quelles adresses apparaissent ? Admettons que j’ai une liste d’ip déclarées sur ce vlan, si jamais une autre ip est détectée, je voudrais en être avertis. J’imagine que l’on peut faire ça avec un Nids, mais comment mettre ça en place ? Des conseils ? Connaissez vous des solutions d’audit directement applicables sur Debian (une appli qui audite ce qui se passe sur mon vlan à partir d’une interface physique directement connectée sur le dit vlan par exemple) ?

#2

Le mieux est de regarder les requetes arp via tcpdump, tu verras passer les machines… Mais Pascal saura mieux te répondre.

#3

Il me semble que Nessus faisais cela, mais il est passé propriétaire. Son fork libre est openVAS.
Hum, non, en fait Nessus était un testeur de vulnérabilité… Ca serait plutôt Snort, le NIDS :017

#4

Après essai, ça n’est pas mal mais netdiscover est peut être plus rapide.

#5

Va regarder du coté arpwatch et arpalert… surtout arpalert qui doit faire ce que tu veux. Dans les deux cas, ça t’indique les machines qui se connecte à un réseau Ethernet (l’inconvénient est que ton interfaces est en mode promiscuous ce qui fait que des logiciels comme chkrootkit vont paniquer…).

#6

Dans tous les cas, j’installe ces applis sur une machine dont au moins une interface physique est dans le vlan à écouter ? J’entends par là qu’elles ne vont s’occuper que de l’interface dont je leur parle et pas toutes les prendre en compte ?

merci de vos réponses en tout cas

#7

après essais, arpalert semble vraiment répondre à tes besoins

#8

Eh bien ça marche, merci pour arpalert ;p

le seul truc qui me dérange, c’est qu’une fois qu’il a détecté une ip/mac nouvelle, si je me déco et reco, il ne la reverra plus. Pour les tests, c’est un peu galère, je dois tester avec une mac différente à chaque fois, mais sinon c’est tip top ce qu’il me faut.

#9

Les fichiers sont sous /var/lib/arpalert

Personnellement j’aime bien arpwatch qui m’envoie un mail à chaque connexion inconnue.

#10

[quote=“fran.b”]Les fichiers sont sous /var/lib/arpalert

Personnellement j’aime bien arpwatch qui m’envoie un mail à chaque connexion inconnue.[/quote]

Ben je l’ai vidé le fichier arpalert.leases et j’ai reconnecté ma machine, il ne voit toujours rien…

Sinon j’avais cru comprendre qu’arpwatch t’envoyait un mail à chaque connexion, connue ou non.

Sinon quelle serait la différence entre arpalert et arpwatch ?

#11

arpalert est là pour alerter en cas d’adresses MAC inconnues, tu le configures via les fichiers /etc/arpalert/maclist.allow et /etc/arpalert/maclist.deny

arpwatch permet de dresser un journal des connexions, il tient un log des machines s’étant connectées et conserve une trace des associations MAC/adresse IP. Il signale les nouveautés et les changements par email.

Les deux se complète. Je pense qu’arpalert est plus adapté pour une surveillance contre une intrusion d’une machine non désirée, arpwatch est plus destiné à la surveillance d’activité

#12

2 petites questions :

  1. j’utilise un script qui est livré dans les sources, pour l’action en cas de détection et il se trouve que ce script est bugué… en fait, dans le mail reçu, à l’emplacement du type d’alerte il renvoi l’interface… j’ai corrigé ça, par contre impossible de lui faire cracher le type d’alerte. Je n’arrive pas à récupérer cette variable… Tu utilises un script en particulier toi pour les alertes mail ?

  2. est-il possible d’écouter plusieurs interfaces ? J’ai un vlan à surveiller en particulier, mais j’aimerais bien en surveiller d’autres si c’est possible.

merci

/edit : pour la question 1), j’ai finis par trouver, en revanche, le getbyhostname pour avoir le hostname par l’ip, lui, il ne renvoi rien et n’a pas l’air de fonctionner. Si par hasard tu sais également comment obtenir le vendeur via la mac adresse, je suis preneur… A partir de la mac on pourrait taper directement sur le fichier oui du ieee, mais ça serait le bordel avec les regex et son application le fait déjà (cf les logs le sortent très bien), faut juste voire comment on peut sortir cette variable en perl.