[LUGargano] [Quasi Risolto] Problemone con squid (lungo).

Alessandro Rendina ale@seleneinformatica.it
Ven 6 Mar 2009 11:14:33 CET 

L'unica cosa che mi viene in mente è che potrebbe essere messa sul server come 
bridge insieme alla 192.168.0.1. 
E poi al bridge siano stati assegnati due indirizzi ip.

Ma vediamo di fare il riassunto delle puntate precedenti per fare qualche 
altra ipotesi.

Dati:
Hai un server che da una scheda di rete serve una LAN da un'altra scheda di 
rete serve una rete wifi e da un'altra scheda di rete accede ad internet. E' 
corretto?

Problema:
un computer linux all'interno della rete locale rileva una modifica della 
arp-cache sbagliata, nel dettaglio all'indirizzo 192.168.0.1 viene assegnato 
un MAC address che corrisponde a quello della scheda di rete 192.168.4.1 che 
corrisponde al gw della rete wifi e che è sullo stesso server.

Riflessioni:
Possiamo affermare che esiste all'interno della rete un computer che comunica 
(in modo intenzionale o meno) alla tabella arp una assegnazione di indirizzo 
mac all'indirizzo logico sbagliato.
Questo si chiama arp poisoning  o anche arp-spoofing.
Se è intenzionale vuol dire che c'è qualcuno che sta cercando di fare sniffing 
sulla rete per reperire eventuali password.

Se non è intenzionale potrebbe voler dire che il netmask della rete 
192.168.4.1 è 255.255.255.0 e quindi  è la seconda  scheda che invade lo 
spazio intergalattico della prima.
Io penso che non sia intenzionale e che ci sia qualche dettaglio subdolo in 
qualche configurazione, perchè per fare una cosa del genere ci vuole una 
buona competenza, però veniamo al caso intenzionale perchè lo trovo 
interessante.

Non so sotto windows, ma sotto linux esiste un software che si chiama ettercap 
che permette di inviare ad un computer dati di tipo arp assegnando un 
indirizzo logico ad un mac address. Quindi se io volessi prendere le password 
che passano in un computer cosa farei?

primo: avvio qualcosa che si chiama wireshark e comincio a monitorare la 
rete(sniffing). Scopro che non mi passa davanti niente perchè non ci sono hub 
(che mandano i dati in broadcast su tutte le porte) ma switch (che 
ottimizzano il flusso e hanno una tabella che gli indica su quale porta si 
trova il mac-address tal dei tali). 

secondo: a questo punto ho bisogno di sostituirmi ad un gateway in modo che 
qualcuno mi manda i dati io faccio sniffing così se passa qualche password in 
chiaro (le email e le loro password o password di siti passano quasi tutti in 
chiaro), probabilmente anche la password per superare ipcop.

terzo: avveleno la tabella arp sostituendo il mio mac-address a quello 
originale sull'indirizzo logico.

Questa è la tecnica, però qui noi non abbiamo l'indirizzo del colpevole 
abbiamo stranamente l'indirizzo della scheda di rete che apre alla rete wifi. 
e qui si blocca il mio intelletto! :)

Allora due ipotesi:
a) chi sta facendo esperimenti ha cambiato l'indirizzo  mac-address del suo 
computer con quello della scheda di rete del server per non essere scoperto e 
in questo modo man mano che lo switch cerca il mac-address assegnato 
all'indirizzo logico bussa anche da lui.
 
b) chi sta facendo esperimenti ha avuto paura e ha provato con 
quell'indirizzo.

Naturalmente non penso che a SGR ci sia gente così preparata. I ragazzi 
preferiscono alla playstation o a pallone. Però penso che lo spunto è 
interessante anche per capire meglio questi meccanismi.

Il venerdì 6 marzo 2009 09:12:39 Pietro Tamburrano ha scritto:

> Ho chiesto all'amministratore di rete di verificare a chi appartenesse
> il MAC Address incriminato e dopo una breve ricerca ha scoperto che si
> tratta di una scheda di rete presente sul firewall ipcop (quello con
> indirizzo 192.168.0.1 per intenderci) ma questa scheda è configurata con
> indirizzo 192.168.4.1 (?).
>
> Perchè i sistemi linux la vedono come 192.168.0.1?
>
> Ricordo che il netmask è 255.255.252.0 e quindi quell'indirizzo dovrebbe
> essere al di fuori degli indirizzi consentiti.
>
> Questa seconda scheda è usata dal firewall per gestire la rete wireless.
>
> Ciao.
>
> Il giorno gio, 05/03/2009 alle 11.24 +0100, Carmine Malice ha scritto:
> > La penso anch'io cosi'...
> >
> > Alessandro Rendina ha scritto:
> > > Potresti fare uno script che con un ciclo eterno sta sempre in memoria,
> > > sicuramente dovresti fare un link simbolico da /etc/init.d
> > > a /etc/rc<runlevel>.d (credo che Ubuntu di default utilizzi il 2).
> > >
> > > Ma secondo me sarebbe consigliabile utilizzare cron facendo uno script
> > > da lanciare ad esempio  ogni 5 minuti.
> > > per verificare la presenza della linea potresti fare un controllo sul
> > > comando arp oppure verificare direttamente se navighi con un "ping -c1"
> > > ad esempio.
> > >
> > > Il mercoledì 4 marzo 2009 15:16:41 Pietro Tamburrano ha scritto:
> > >> Il giorno mer, 04/03/2009 alle 13.25 +0100, Car
> > >>
> > >> mine Malice ha scritto:
> > >>> Gli script eseguiti all'avvio stanno in /etc/int.d/* o /etc/rc* a
> > >>> seconda delle distribuzioni...
> > >>
> > >> Io ho una Ubuntu ed è presente la cartela /etc/init.d.
> > >> Mi basta mettere lo script nella cartella o devo includerlo in qualche
> > >> elenco di script legati al runlevel?
> > >>
> > >> --
> > >> La permanenza in lista LUGargano e` regolata dal rispetto degli altri
> > >> e della Netiquette: http://www.nic.it/NA/netiquette.txt
> > >
> > > --
> > > La permanenza in lista LUGargano e` regolata dal rispetto degli altri e
> > > della Netiquette: http://www.nic.it/NA/netiquette.txt
> >
> > --
> > La permanenza in lista LUGargano e` regolata dal rispetto degli altri e
> > della Netiquette: http://www.nic.it/NA/netiquette.txt
>
> --
> La permanenza in lista LUGargano e` regolata dal rispetto degli altri e
> della Netiquette: http://www.nic.it/NA/netiquette.txt

Maggiori informazioni sulla lista LUGargano