Arpmon

From NMS
Jump to: navigation, search

Monitorování stanic na síti (IP/IPv6)

arpmon (source)

Jak už název napovídá, jedna se o daemona, který monitoruje ARP pakety na síti, ICMPv6 neighbor solicidation a advertisement (RFC 2461). Tyto pakety musí poslat každá stanice, pokud chce IP protokolem komunikovat na sítí. Šíří se broadcastem na L2, takže na switchovaném segmentu je lze kdekoliv odposlechnout a získat tak informací o IP<->MAC běžících strojů (pominu teď ARP útoky na L2, které by nejen v monitoringu nadělali pěkný zmatek nebo privátní VLANy, kdy zařízení vidí pouze gateway). Získané informace slouží k detekci

  • neregistrovaných zařízení
  • zařízení s registraci pro jinou IP než aktuálně používají
  • konfliktu IP adres (není spolehlivě na 100%, viz. dále)
  • neschválených DHCP/DHCPv6 a RADVD serverů (detekuje se jiný typ paketů)

Vzhledem k detekci paketů z L2 vrstvy je nutné, aby monitorovací daemon běžel na lokální síti.

Neregistrovaná zařízení

Podle pravidel připojení k ČVUT/CESNET sítí, bychom měli být schopni identifikovat všechna zařízení připojena do naší sítě. Tento monitoring usnadní vyhledávání neregistrovaných zařízení o nichž bude správce segmentu informován mailem, který obsahuje další info (výrobce, odkazy na výskyt zařízení na sítí, port na switch, ...). Dokud nebude zařízení korektně zaregistrováno, budou se maily v pravidelném intervalu posílat znova. Existují také IP rozsahy pro neregistrovaná zařízení (není posílán mail správci) - takové IP dostává standardně neregistrované zařízení od DHCP serverů, aby mohla být provedena jeho registrace


Špatná registrace

Některá zařízení mohou v průběhu času změnit svoji IP adresu. Pokud došlo k nějaké chybě, bude správce upozorněn na vznikly problém. Pokud šlo o záměr, tak informační mail poslouží k tomu, aby bylo zařízení (pře)zaregistrováno s aktuální adresou. Zaregistrována adresa je také použita v případě, že zařízení získává IP od DHCP serverů. Práva měnit registrace IP mají pouze správci, protože tyto informace jsou slouží pro konfiguraci DHCP serverů. Uživatelské zařízení má po registraci na https://nms.fjfi.cvut.cz/user/register.php automaticky nastavenou IP adresy na "dynamic".


Konflikty IP

Konflikty IP adres jsou detekovány tak, že je měřen čas mezi výskytem různých MAC adres používajících stejnou IP adresu. Pokud je rozdíl menší než 2 minuty, je poslán mail s informacemi o konfliktu. Vzhledem k použité metodě může docházet občas k falešným poplachům v případě, že by DHCP server uvolněnou adresu recykloval během 2 minut (nepravděpodobné pro ISC DHCP, vcelku možné pro Microsofti DHCP). Další problém může nastat u zařízení, které mají více síťových interfacu a používají linux (všechny notebooky) - tam se občas stává, že se na sítí objeví ARP z druhé síťovky s její MAC ale IP první síťovky. Z toho důvodů nejsou posílány informace o konfliktu v případě, že obě síťovky jsou zaregistrovány u jednoho zařízení. Bohužel většina zařízení se dvěma interfacema má také dvě registrace (dáno mechanizmem fungování registraci přes register.php resp. přes autentizaci do wifi sítě). V tom případě správci může dojít falešné info o konfliktu, které se bude vyznačovat tím, že administrátorem obou konfliktních zařízení by měla být jedna osoba - to je pak nutné vzít křišťálovou koulí... (jistou indicií může být to, že jedna MAC patří ethernetovemu a druhá wireless interfacu).


Neschválený DHCP resp. RADVD server

Odchytáváním DHCP broadcastu na L3 je možné detekovat neschválený / omylem zapnutý DHCP server, který může na sítí nadělat pěknou paseku. Informace je ihned odeslána na adresy správců daného segmentu + správce budovy. Vzhledem k povinným registracím by snad neměl být problém rychle dohledat viníka a DHCP server zastavit. Další možností je pořídit lepší switche s podporou filtrovaní DHCP zpráv z nedůvěryhodných portů.

Podobným způsobem jsou pomocí ICMPv6 "Router Advertisement Messages" packetů detekovány také neschválené IPv6 routery, které se inzerují na lokální síti.


Informace pro uživatele

Každé registrované zařízení má svého správce. V případě výše popsaných problémů je (v některých případech) posílán informační mail i na adresu tohoto správce. V tuto chvíli se posílají informace o neschváleném DHCP a o konfliktu IP adres (jen takových, kdy jde o konflikt mezi zařízeními, které nemají stejného správce viz. výše, a zařízení nemá rezervovanou statickou IP adresu). Jde o to, že správcem je prakticky kdokoliv, kdo si zaregistruje svůj počítač a nemusí tomu moc rozumět. Z toho důvodů jsou mu posílány informace jen o nejzávažnějších problémech. Ostatní by měli řešit správci příslušných IP rozsahu.

Spolehlivost

Monitorování stanic uvedeným způsobem je relativně přesné a spolehlivé. Není však úplně dokonalé a zkušenější uživatel ho může obejít (pro pořádné zabezpečení sítě je potřeba využít jiné prostředky). Uložené časové udaje také nemusí být zcela přesné, protože nebyl kladen důraz na absolutní spolehlivost. Pokud nenastal nějaký problém (výpadek monitoringu, databáze, ...) tak by přesnost ve většině případů měla být ~ 1 minuta.