Re: lan ueberwachen
Also sprach Matthias Houdek <linux@houdek.de> (Sun, 1 May 2005 08:33:48 +0200):
> Am Samstag, 30. April 2005 17:22 schrieb Richard Mittendorfer:
> > Also sprach Matthias Houdek <linux@houdek.de> (Sat, 30 Apr 2005
> > 16:14:19
> >
> > +0200):
> > > Am Samstag, 30. April 2005 14:47 schrieb Richard Mittendorfer:
> > > > hallo menschen!
> > > >
> > > > ich bin auf der suche nach einem programm, dass mir ala "nmap
> > > > xxx.xxx.xxx.0/24" in regelmaessigen abstaenden das wlan und lan
> > > > scannt und gefundene hosts/services praktischerweise in txt oder
> > > > html ausgibt oder in eine datebank schmeisst.
> > > >
> > > > sollte ein vorher nicht definiertes host (mac/ip/services)
> > > > auftauchen: mail.
> > > >
> > > > bevor ich mir das selber schreibe, hab ich da einiges in den
> > > > deb.sourcen gefunden, aber keine zeit alle auszutesten - habt ihr
> > > > vorschlaege/empfehlungen?
> > >
> > > Bevor ich alle austeste, würde ich mir wahrscheinlich was eigenes
> > > schreiben.
> > > Tipp: arping $IP -i eth0 -c 1 -r macht ein ARP-Request an die
> > > angegebene IP-Adresse und gibt die dazugehörige MAC-Adresse aus
> > > (so sich der Host meldet). Kann man prima in einer Schleife laufen
> > > lassen, die den betreffenden IP-Bereich durchforstet.
> > > Wenn du nicht mehr willst, wäre das IMHO das schnellste und
> > > einfachste.
> >
> > danke fuer den arping-tipp. mit nmap lassen sich aber komplette
> > subnets recht bequem abchecken & wenn was gefunden wird gleich OS und
> > services abfragen.
>
> Aber dauert halt, oder man schränkt den Portbereich ein, der gescannt
> werden soll.
geht eigentlich recht flott: ~10 sec. fuer 2000 ports /24 subnetz
> > ich denke, so alle 10 minuten duerften reichen.
>
> Kommt drauf an, wofür.
>
> Um fremde Rechner schnell aufzuspüren, wäre vielleicht auch das schon
> vorgeschlagene arpwatch nicht schlecht. Das meldet dir sofort, wenn ein
> neuer Rechner ins Netz kommt, diese Meldung kannst du dann ja filtern.
ist in der tat ein nuetzliches tool.
> Andererseits ist das Fälschen einer MAC nun wirklich kein Problem mehr,
> das kann man sogar mit den Bordmitteln von W9x via Maus machen.
mit maus? wie cool! ;)
'hab mich fuer eine kombination von arpwatch und einen alle 10 minuten mit anderen optionen (ping/syn/stealth) laufenden nmap-scan entschieden.
die sache ist aber die: wenn wer das wireless lan knacken will, wird traffic benoetigt - und die produziere ich ihm/ihr so leider. ansonst laufen meist nur bei mail und internetanfragen daten drueber. ein einziger client nutzt das wlan intensiv(nfs & remote X apps). ansonst zeitweise samba/squid/http/ftp/imap.
addressen die erstmals auftauchen (vom nmap-subnetscan, arpwatch), und die nicht in der whitelist sind, werden dann noch mal genauer ge-nmap't & geloggt - sollte erst mal ausreichen. wie gesagt ist das schuetzenswerte interne netz durchaus gut gesichert.
schoenen dank fuer die info's & 'nen netten sonntag,
ritch.
Reply to: