Nel caso, ancora, un host sia riuscito ad associarsi all'access point, esso è di fatto in rete locale, anche non riuscendo eventualmente ad identificare i corretti parametri usati per lo scambio di dati: è quindi passibile di esser intercettato.
A tal fine, l'intercettazione, ho trovato esser molto utile (per lo meno in una rete di tipo misto, Wi-Fi e cablata) un software che viene solitamente utilizzato in un contesto leggermente diverso, ovvero rilevare tentativi di sniffing: arpwatch.
Arpwatch è un servizio per sistemi Linux e affini che monitora l'attività ARP di una rete LAN Ethernet IPv4, intercettando ogni pacchetto ARP broadcast che giunga all'interfaccia di rete correlata.
Arpwatch, nella fattispecie, tiene traccia delle terne (indirizzo IP, indirizzo MAC, adattatore di rete) associate agli host della rete ed informa l'amministratore, tramite e-mail, di eventuali sistemi aggiunti ad essa (anche wireless, dacché un host wireless, lato LAN cablata, deve comportarsi analogamente ai rimanenti, per potervi comunicare) e di ogni tipo di modifica alle stesse terne precedentemente memorizzate.
Nell'esempio che segue, arpwatch ha notato che un nuovo host, con IP 192.168.1.27, si aggira furtivo per la rete (che tra l'altro è del tipo 192.168.0.x e non 192.168.1.x).
Per e-mail invierà quindi un messaggio di "new station":
hostname: <unknown>
ip address: 192.168.1.27
interface: eth0
ethernet address: 0:c:29:a:26:1f
ethernet vendor: Vmware, Inc.
Potremmo anche ricevere una notizia di "changed ethernet address", nel caso di riutilizzo dello stesso indirizzo IP:
hostname: <unknown>
ip address: 192.168.0.10
interface: eth0
ethernet address: 0:3:47:ce:58:a6
ethernet vendor: Intel Corporation
old ethernet address: 0:11:11:33:fc:56
old ethernet vendor: Intel Corporation
Il programma dovrà girare su una macchina ovviamente sempre accesa; su un sistema Linux Debian/Ubuntu è installabile alla solita maniera: apt-get install arpwatch, essendone un pacchetto standard.
Per ciò che concerne la configurazione, posta l'esistenza di un mail transfer agent locale (un qualunque clone di sendmail) modificare il file /etc/arpwatch.conf come di seguito mostrato:
eth0 -a -n 192.168.0.0/24 -m report@to.me
report@to.me dev'esser evidentemente sostituito con l'indirizzo di posta elettronica del destinatario del monitoraggio.
Ultimi articoli Sicurezza
Forensics: NBTempo una GUI per le timelineUsiamo NBTempo, una GUI che consente di creare delle timeline dei... |
Nmap: tecniche per evadere un firewallVediamo come sfuggire ai controlli di un firewall utilizzando Nmap. |
Sfruttare vulnerabilità XSS con BeEFUsiamo BeEF per automatizzare lo sfruttamento di vulnerabilità Cross... |
Trojan Flashback: rimuoverlo da Mac OS XIndividuiamo e rimuoviamo il trojan Flashback da Mac OS X |
Individuare vulnerabilità in Joomla con JoomScanUsiamo JoomScan per verificare la sicurezza di Joomla e la presenza... |
Guide Sicurezza
Guida SQL Injection con SqlmapScopriamo se le nostre applicazioni web sono vulnerabili alle SQL... |
Guida sicurezza applicazioni WebLe tecniche di attacco più comuni, i metodi per verificare la... |
Guida rimozione malwareUn malware è un qualsiasi software nocivo per il computer. Questa... |
Newsletter @Sicurezza
Ogni lunedì, direttamente nella tua e-mail: approfondimenti e bollettini su virus, vulnerabilità e sicurezza informatica.
Iscriviti alla newsletter
Corsi in aula
|
|
Amministratore di Reti Windows Server 200811 Giugno 2012 a Milano |
|
Nessun corso previsto |
