Re: [ml] Tracciamento MAC ADDRESS ...

> E' possibile tracciare il MAC address in un file di log  ?

Ci sono alcuni prodotti interessanti. Quello che manca e' correlare
i log arpwatch/arpspoof/arpwhatever con una porta dello switch, che
e' un fattore importante qualora il MAC sia fake. Puoi farlo usando
uno script che vada a leggere il mib degli switch e logghi la porta
su cui e' apparso il mac. Si puo' fare in modo semplice alimentando
un correlatore (guarda sec.pl) coi log dell'arp* e facendogli usare
snmpwalk per fare la ricerca sul mib.

[Attenzione: lungo e prolisso]
> Nei miei log di APACHE/SQUID/POSTFIX c'è solo l'indirizzo IP !!!
> E gli IP utlizzati per compiere queste azioni risultano fuori dal 
> range del DHCP e quindi non riesco a risalire al PC con il MAC .
> [...]

E' improbabile ma, forse, potreste trovare ancora qualcosa.

Per esempio, prova a guardare nei log del server DHCP per vedere se
c'e', per caso, un lease e/o un NACK per dei nomi host non vostri o
strani (es: nome in maiuscolo quando di solito e' in minuscolo) nei
dintrorni del fattaccio (es: pc con dhcpd portato da casa ed acceso
per svista con la rete collegata, al quale e' poi stato cambiato l'
ip a mano), oppure una richiesta di rinnovo sempre in quel periodo,
senza che la macchina sia stata riavviata (macchina vostra che dopo
il cambio manuale d'ip, richiede un rinnovo). Sono soltanto indizi,
ovviamente.

Guarda se quell'ip non e' presente anche in qualche altro log. Puo'
essere che abbia lasciato tracce altrove, magari insieme al mac. Mi
viene in mente qualche firewall con una policy di forward a deny da
cui possa aver tentato di uscire, anche solo per sbaglio, o log dei
personal firewall d'altri host o anche servizi di host discovery di
qualche software di inventory o di qualche monitor di rete (ntop?),
ecc (ed ancora ecc). Prova anche a cercare degli altri elementi per
profilare la macchina usata (es: User Agent e relativa versione nei
log di squid e apache, l'helo dato a postfix, ecc). Infine i dischi
potrebbero ancora avere sulla superficie tracce dei file temporanei
scaricati durante la navigazione e/o l'invio di email, cosi' come i
file pst/dbx/whatever del MUA potrebbero contenere copie non purged
delle email uscite, benche' cancellate.

In ogni caso, potrebbe aver usato dei mac appartenenti ad altre nic
(momentaneamente spente) della tua rete o inventati a caso e client
con stringhe d'identificazione false/fuorvianti, e il tutto, ovvio,
_non_ da una delle vostre macchine.


Fabio