[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: problem z arpwatchem ...

Witajcie,

sprawa staje sie dla mnie coraz bardziej pilna, rzeklbym staje sie
powoli sprawa krytyczna...
[sorki dla Pana Marka - dostanie dwa razy tego maila bo przez
przypadek dalem reply do niego a nie popatrzylem ze nie na grupe]

m>> prosze pomozcie, nie moge sobie poradzic. nie wiem co jest
m>> przyczyna...ale do rzeczy...

m>> Ostatnio neka mnie dosc mocno problem arpwatcha.
m>> w konfigu arpwatch.conf wpisuje :

...i dodam ze siedze w linuxie nie od miesiaca czy 2 lat.
o wiele dluzej. Jednak tutaj mam problem ktory mnie bardzo zasnatawia
i denerwuje jednoczesnie bo z chwila wlaczenia proxyarpa zaczely sie
dziac takie chece.

M> polecam popatrzez z godzinke co pokazuje
M> # tcpdump -ntvi eth0 arp
M> bo moze komus w lanie sie nuuuuudzi

nie, nikomu sie nie nudzi, to nie jeden komp tylko kazdy jeden
jestem prawie pewien ze to cos z konfiguracja.

moze grsecurity ? jest zpatchowane, troche rzeczy wlaczone...

arp who-has 192.168.1.1 tell 192.168.1.64
arp reply 192.168.1.1 is-at 0:a:5e:4:f4:15
arp who-has 192.168.1.6 tell 192.168.1.210
arp who-has 192.168.0.43 tell 192.168.1.144
arp who-has 192.168.0.20 tell 192.168.1.144
arp reply 192.168.0.20 is-at 0:a:5e:4:f4:15
arp reply 192.168.0.43 is-at 0:a:5e:4:f4:15

czyli kazdy IP ma adres 0:a..:15 ?
tu jest wlasnie cos nie tak. stad arpwatch podejrzewam cos znajduje.
ale skad takie pakiety ? 24h/dobe.
wlam nie wchodzi w gre
kombinatorzy rowniez.

> z tego wynika ze masz na necie losia, ktory sobie wpisal IP twojego
> serwera. Wydaje mi sie ze to jest najbardziej prawdopodobna przyczyna.

nie nie, gdyby sobie wpisal to ludzie wogole by neta nie mieli lub
mieli go skokowo. a siec dziala normalnie.

> po prostu w sieci sa dwa kompy, serwer i komp tego losia, ktore maja
> ustawiony ten sam IP. z punktu widzenia arpwatcha to tak, jakby jeden
> komputer w kolko zmienial swoj MAC, bez zmiany IP.
> taki stan pozwala to na przechwytywanie konekcji. tak ze jesli
> masz na serwerze jakies zasoby do ktorych sie trzeba zalogowac, to lepiej
> uwazaj.

wiem, ale to nie to.

> na takie dziadostwo jedynym lekarstwem jest ustawienie statycznego ARP na
> firewallu dostepu do internetu. ale jak ten los sie naumie zmieniac MAC,
> wowczas jedynym lekarstwem bedzie albo switch ktory umozliwia ustawienie
> statycznej tablicy adresow MAC, albo odlaczenie losia od sieci.

jest statyczne od samego powstania kazdej z sieci.

to nie dotyczy jednej sieci, lecz zdecydowanej wiekszosci. nie jest to
mozliwe by w kazdej sieci kazdy komp sial takimi adresami. Ten
argument odpada na 100%.
Bardziej podejrzewam cos na firewallu nie tak, lub w grsecurity.
Ale nie mam pomyslu. a problem jest dosc upierdliwy.

Zauwazcie ze podobny efekt jest jesli wlaczy sie proxyarp - wtedy
kazdy host w sieci ktory wysyla MACi jest logowany przez arpwatcha -
bo proxy arp przechodzi. ale to inna bajka.

rpfilter=1

-- 
Pozdrowienia,
 Marcin.
Reply to: