Re: mirror traffico client

Faccio un sunto di vari messaggi arrivati, per minimizzare il traffico sulla
lista visto che si tratta di argomenti gia' ampiamente trattati:

a leggere il messaggio originale credo anche io che si trattasse non
semplicemente di registrare (e allora snort/ethereal/tcpdump/etc.) possono
andare, ma di qualcosa di piu' "interpretabile", tipo netboy (o anche le
varie suite di cose tipo dsniff & co). Certo, avendo un file binario pcap e
tool di analisi che possano leggere da file, risulta piu' facile fare
analisi a posteriori, ma forse con gli strumenti attuale e' un pelo piu'
complicato per qualcuno non addentro queste cose.

bye
Koba (moderatore)

---
From: walter valenti <waltervalenti<at>yahoo.it>
Date: Fri, 27 Sep 2002 15:09:36 +0200

Se ho ben capito vuoi sniffare tutto il traffico relativo a quel pc ???

Mi viene in mente snort.

http://www.snort.org
[..]

---
From: Dido <dido<at>sicurweb.com>
Date: Fri, 27 Sep 2002 15:08:33 +0200

Da come la metti, non sembra tu abbia bisogno di 2 schede di rete..
Se hai una rete "su hub", basta che colleghi la linux box sull'hub, e metti
uno sniffer con un filtro relativo all'ip del client in oggetto...
Se hai una rete "switchata", configuri una mirror port sullo switch, e  
colleghi la linux a quella porta.Poi ? uguale a sopra...
Se non hai uno switch che ti consenta il mirroring, metti un hub a 3 porte
prima dello switch: a una colleghi lo switch, ad una la linux box,
all'ultima il cavo verso l'uscita..
In ultimo, se hai un firewall che puoi gestire, in teoria basta che metti
lo sniffer su di esso...
Ovviamente, ? superfluo aggiungere che quello che vuoi fare ? illegale
(please, non facciamo nascere un flame su questa mia affermazione...)
Dido
[..]

---
From: "Raistlin" <raistlin<at>gioco.net>
Date: Fri, 27 Sep 2002 15:27:27 +0200

> - Che siti visita,  che posta riceve, da chi e contenente cosa, che ftp
> effettua, quali file ha scaricato.

Se il client ha ip fisso, tcpdump con filtro sull'ip di sorgente e
destinazione. No ?

Stefano "Raistlin" Zanero
System Administrator Gioco.Net
public PGP key block at http://gioco.net/pgpkeys

---
From: "Federico Lombardo" <egopfe<at>hotmail.com>
Date: Fri, 27 Sep 2002 15:48:32 +0200

una macchina windows su di una SPAN PORT di uno switch o su di un hub, con
su montato netboy
www.ndgsoftware.com
[..]

---
From: Dario Bonacina <dario.bonacina<at>email.it>
Date: Fri, 27 Sep 2002 15:55:37 +0200

Sul tool confesso di non essere competente.
Comunque vanno considerate anche le implicazioni "giuridiche": ai sensi
della legge sulla privacy, l'attivita' del dipendente puo' essere
monitorata (che siti visita, che posta riceve, da chi e contenente cosa,
che ftp effettua, quali file ha scaricato) su incarico del datore di
lavoro, ma solamente dopo averlo preavvertito.
Non serve il consenso del dipendente, e' sufficienza portarlo a conoscenza
dell'attivita' di controllo che viene effettuata.
In mancanza del "preavviso" (dimostrabile con un'informativa scritta,
firmata per ricevuta), qualsiasi contestazione mossa al dipendente non ha
valore giuridico.
[..]

---
From: FELTRIN Alessandro <alessandro.feltrin<at>globalvalue.it>
Date: Fri, 27 Sep 2002 15:48:30 +0200


Prendi un Network Tap (Shomiti, Finisar ...), lo colleghi sezionando
fisicamente il segmento di Lan che dallo switch porta all'utente e derivi
due traffici distinti RX e TX. Sulla Linux box metti Snort e gli fai
monitorare le porte 10/100 sulle quali hai buttato il traffico in uscita dal
Network Tap.
Unica nota dolente .... il Tap costa caro. Ciao

Alessandro Feltrin
Global Value Services S.p.A.
............................
an IBM and FIAT Company
Service Delivery - Security and Contingency
Via Issiglio 63/A - 10141 Torino - Italia  
tel: (+39) 011 0052867
Mobile: ++39.335-7190961
[..]


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List