Автор Тема: Конфликт ip адреса в сети, уведомление по SMS, arpwatch  (Прочитано 2161 раз)

Оффлайн goba

  • Начинающий
  • *
  • Сообщений: 8
    • Email
Задача: В локальной сети есть сервер доступа в Интернет (или любой другой важный сервер). Сервер имеет IP 192.168.0.1
Есть опасение, что какой-то компьютер пользователя назначит себе адрес сервера (192.168.0.1) и тем самым создаст аварийную ситуацию в сети.

Необходимо: Чтобы при возникновении вышеописанной ситуации приходило (желательно бесплатно) уведомление в виде SMS-сообщения на сотовый телефон. Так же имелась возможность оперативно получить MAC адрес компьютера злоумышленника, присвоившего себе адрес сервера 192.168.0.1

Решение

Алгоритм решения: Используем возможности имеющегося в нашей сети севера, под управлением операционной системы ALT Linux, и проинсталлированного в него программного модуля arpwatch (программы для обнаружения аномалий в работе протокола ARP и, в частности, ARP-spoofing'а.)
Информация, сформированная программой arpwatch, будет забираться с сервера, публичным почтовым сервером gmail.com по протоколу POP3.
Штатными средствами почтового сервера gmail.com, требуемая нам информация, будет отфильтрована и переслана на почтовый сервер сотового оператора Мегафон, который в свою очередь уведомит нас виде СМС. 

I Как проинсталлировать и настроить в ALT Linux программный модуль arpwatch?

1. useradd arpw2009           # создаем пользователя arpw2009
2. passwd arpw2009             # меняем пользователю arpw2009 пароль
3. Редактируем  в файле /etc/passwd  пользователя  arpw2009 (скорее всего требуемая строка будет последней в списке)
следующим образом: arpw2009:x:501:501::/home/arpw2009:/dev/null
Запись “/dev/null” означает, что пользователь arpw2009 не сможет залогиниться
на сервере по SSH и в консоли. Это сделано для обеспечения безопасности,
так как пароль пользователя arpw2009 будет известен почтовому серверу gmail.com
4. apt-get install arpwatch    # устанавливаем из репозитариия  arpwatch
5. chkconfig arpwatch on   # включаем в автозагрузку arpwatch
6. service arpwatch start       # запускаем сервис arpwatch
7. Настраиваем arpwatch. В /etc/sysconfig/arpwatch прописываем:
ARPWATCH_ARGS=" -n 192.168.0.0/24 -e arpw2009"
8. service arpwatch restart   # рестартуем сервис arpwatch
9. Теперь все сообщения arpwatch пишутся в /var/log/deamons/info. База связок IP-MAC лежит в /var/lib/arpwatch/arp.dat Сообщения об ошибках в сети записываются в почтовый ящик нашего пользователя /var/mail/arpw2009

II Устанавливаем и настраиваем возможность получения почты с нашего сервера. Демон popa3d

1. apt-get install popa3d
2. /etc/xinetd.d/popa3d изменяем строку на  disable = no
3. /etc/xinetd.conf  коментим строку #only_from = 127.0.0.1
4. service xinetd restart    #это запустит демон popa3d


III Организация возможности бесплатного уведомления по СМС через сотового оператора Мегафон (я делал в Ярославской области)

1. Создаем почтовый ящик на Мегафоне. На номер 000990 сообщение Cmyarp arpcontrol Ip-Mac

2. В ответ сервер электронной почты пришлет сообщение, содержащее:
Username: myarp
Рassword: arpcontrol
E-mail: myarp @ nwgsm.ru
Name: Ip-Mac


2. Чтобы исключить вероятность переполнения ящика myarp @ nwgsm.ru можно отключить сохранение входящих писем в почтовом ящике:

Отправить на номер 000990 сообщение AI-
(при поступлении в почтовый ящик нового письма, сервер присылает уведомление, но не сохраняет письмо в почтовом ящике.)


IV Получение почтовых сообщения с нашего  ALT Linux сервера, выполнение требуемой фильтрации и пересылка результатов на myarp @ nwgsm.ru

1. Регистрируем почтовый ящик на gmail.com , к примеру arp @ gmail.com

2. Настраиваем сборщик почты. Настройки/Сбор почты с других аккаунтов:/ изменить информацию:

Адрес электронной почты: tttt @ test.ru (любой E-mail)
Имя пользователя: arpw2009
Пароль: пароль пользователя arpw2009 на сервере ALT Linux
POP-сервер: белый IP адрес нашего ALT Linux сервера; Порт: 110

3. Настройка фильтрации. Настройки/ Фильтры/Создать новый фильтр:
Тема: flip flop
Содержит слова: 192.168.0.1
Применить ярлык: Работа (необязательно- для наглядности)
Переслать на адрес: myarp @ nwgsm.ru


V Все готово!

Теперь как только в вашей сети появится компьютер злоумышленника, с IP адресом сервера, вам на телефон придет SMS сообщение “V Vashem yashchike novoe pismo ot <root @ my_altlinux_server.com>. Chtoby prochitat poslednee pismo, otpravte B.”

Можно отправить за 1.70 руб сообщение B на номер 000990 и тем самым прочитать МАС адреса нарушителя и сервера на телефоне.
Либо зайти на arp @ gmail.com . Нужное нам сообщение будет отмечено ярлыком Работа и будет иметь тему flip flop.

Дима. г. Рыбинск. Ноябрь 2009 года
« Последнее редактирование: 03.11.2009 10:39:13 от goba »

Drool

  • Гость
А можно это же, но на вики?

Оффлайн goba

  • Начинающий
  • *
  • Сообщений: 8
    • Email

Drool

  • Гость

Оффлайн Eric

  • Завсегдатай
  • *
  • Сообщений: 137
А можно это же, но на вики?

ловите ссылку

Димон молодец )) я же говорил твоя статья будет нужной )))

Оффлайн gvy

  • alt linux team
  • ***
  • Сообщений: 994
    • Email
На самом деле городить огород с отдельным пользователем и pop3 вовсе необязательно -- куда проще обойтись записью в /etc/aliases вида (следуя примеру в статье):

_arpwd: arp@gmail.com

с последующей командой newaliases.

PS: привет Рыбинску :)
--
Michael Shigorin