Re: lan ueberwachen

To: debian-user-german@lists.debian.org
Subject: Re: lan ueberwachen
From: Richard Mittendorfer <jkerdawn@yahoo.com>
Date: Sun, 1 May 2005 11:54:55 +0200
Message-id: <[🔎] 20050501115455.517067d0.jkerdawn@yahoo.com>
In-reply-to: <[🔎] 200505010833.49451.linux@houdek.de>
References: <20050430144740.5e73c0bc.jkerdawn@yahoo.com> <200504301614.19962.linux@houdek.de> <20050430172243.55b42aba.jkerdawn@yahoo.com> <[🔎] 200505010833.49451.linux@houdek.de>

Also sprach Matthias Houdek <linux@houdek.de> (Sun, 1 May 2005 08:33:48 +0200):
> Am Samstag, 30. April 2005 17:22 schrieb Richard Mittendorfer:
> > Also sprach Matthias Houdek <linux@houdek.de> (Sat, 30 Apr 2005
> > 16:14:19
> >
> > +0200):
> > > Am Samstag, 30. April 2005 14:47 schrieb Richard Mittendorfer:
> > > > hallo menschen!
> > > >
> > > > ich bin auf der suche nach einem programm, dass mir ala "nmap
> > > > xxx.xxx.xxx.0/24" in regelmaessigen abstaenden das wlan und lan
> > > > scannt und gefundene hosts/services praktischerweise in txt oder
> > > > html ausgibt oder in eine datebank schmeisst.
> > > >
> > > > sollte ein vorher nicht definiertes host (mac/ip/services)
> > > > auftauchen: mail.
> > > >
> > > > bevor ich mir das selber schreibe, hab ich da einiges in den
> > > > deb.sourcen gefunden, aber keine zeit alle auszutesten - habt ihr
> > > > vorschlaege/empfehlungen?
> > >
> > > Bevor ich alle austeste, würde ich mir wahrscheinlich was eigenes
> > > schreiben.
> > > Tipp: arping $IP -i eth0 -c 1 -r macht ein ARP-Request an die
> > > angegebene  IP-Adresse und gibt die dazugehörige MAC-Adresse aus
> > > (so sich der Host  meldet). Kann man prima in einer Schleife laufen
> > > lassen, die den  betreffenden IP-Bereich durchforstet.
> > > Wenn du nicht mehr willst, wäre das IMHO das schnellste und
> > > einfachste.
> >
> > danke fuer den arping-tipp. mit nmap lassen sich aber komplette
> > subnets recht bequem abchecken & wenn was gefunden wird gleich OS und
> > services abfragen.
> 
> Aber dauert halt, oder man schränkt den Portbereich ein, der gescannt 
> werden soll.

geht eigentlich recht flott: ~10 sec. fuer 2000 ports /24 subnetz
 
> > ich denke, so alle 10 minuten duerften reichen.
> 
> Kommt drauf an, wofür. 
> 
> Um fremde Rechner schnell aufzuspüren, wäre vielleicht auch das schon 
> vorgeschlagene arpwatch nicht schlecht. Das meldet dir sofort, wenn ein 
> neuer Rechner ins Netz kommt, diese Meldung kannst du dann ja filtern.

ist in der tat ein nuetzliches tool.

> Andererseits ist das Fälschen einer MAC nun wirklich kein Problem mehr, 
> das kann man sogar mit den Bordmitteln von W9x via Maus machen.

mit maus? wie cool! ;) 

'hab mich fuer eine kombination von arpwatch und einen alle 10 minuten mit anderen optionen (ping/syn/stealth) laufenden nmap-scan entschieden.

die sache ist aber die: wenn wer das wireless lan knacken will, wird traffic benoetigt - und die produziere ich ihm/ihr so leider. ansonst laufen meist nur bei mail und internetanfragen daten drueber. ein einziger client nutzt das wlan intensiv(nfs & remote X apps). ansonst zeitweise samba/squid/http/ftp/imap.

addressen die erstmals auftauchen (vom nmap-subnetscan, arpwatch), und die nicht in der whitelist sind, werden dann noch mal genauer ge-nmap't & geloggt - sollte erst mal ausreichen. wie gesagt ist das schuetzenswerte interne netz durchaus gut gesichert. 

schoenen dank fuer die info's & 'nen netten sonntag,

ritch.

Reply to:

Follow-Ups:
- Re: lan ueberwachen
  - From: Ulf Volmer <u.volmer@u-v.de>

References:
- Re: lan ueberwachen
  - From: Matthias Houdek <linux@houdek.de>

Prev by Date: Re: Buffer I/O error on device fd0, logical block 0
Next by Date: Re: php5 unter Sarge ?
Previous by thread: Re: lan ueberwachen
Next by thread: Re: lan ueberwachen
Index(es):
- Date
- Thread